ISO27001信息安全风险分类参考标准发表时间:2022-04-07 09:01 ISO27001信息安全风险极其庞杂而又非常普遍,每种信息安全风险都是不同的。 信息安全风险可能是一个单一的风险,也可能是多种风险的组合;它可能是一般性的,也可能是特殊的;可能是人为有意的,也可能是无意的;可能在一个环节出现,也可能在多 个不同的层面、不同的时间出现。如果能系统地考虑所有信息安全风险,通过对不同层面、不同来源、不同阶段的风险实施分门别类的管理,用一个系统的、稳定 的、具备一致性的方法应对风险,就能把信息安全风险降到最低。 ISO27001信息安全风险分类参考标准 目前国际上对信息安全风险进行分类管理的权威标准有: ①ISO/IEC17799:2005 ——《信息技术-安全技术-信息安全管理实施细则》(Informati-on technology Security technology Code of practice for Information SecurityManagement); ②NISTSP800-26——美国国家标准技术局NIST(NationalInstitute of Standards and Technology )2001年12月发布的信息技术系统风险安全自评估指南; ③NISTSP800-53——美国联邦信息系统最低安全控制准则。 1)ISO/IEC 17799《信息安全风险管理细则》为大多数工商业组织提供了一个通用的信息安全风险管理参考标准,已被世界上许多国家所采用。ISO/IEC17799 主要是侧重于组织安全风险和业务风险管理方面,是一个系统化、程序化和文档化的信息安全风险管理体系。它涉及十一个安全风险的管理方面,36个控制目 标,134项安全控制。这十一个安全风险管理方面是: ①安全策略; ②机构安全; ③资产管理 ; ④人力资源安全; ⑤物理和环境安全 ; ⑥通信和操作管理; ⑦访问控制; ⑧信息系统获取、开发 ; ⑨信息安全事件管理; ⑩业务连续性管理; ⑾符合性。 2)NISTSP800-26 《信息技术风险安全自评估指南》,是为信息系统管理人员进行组织内部风险评估、开发风险转移计划和进行安全决策提供一个参考的文档,是组织对自身信息系统 开展风险管理的一个好的选择。评估指南是以调查问卷形式,采用层次结构设计,调查范围涉及主要信息系统、通用信息系统、支撑系统和内部互联系统。调查问题 分为管理控制、操作控制和技术控制三个主要方面,每个方面有一系列子项,共17项: ①风险管理; ②安全控制回顾 ; ③生命周期; ④资格认证、鉴别; ⑤安全计划; ⑥人员安全; ⑦物理安全; ⑧输入输出控制; ⑨连续性计划; ⑩硬件和系统软件维护; ⑾信息完整性; ⑿文档; ⒀意识、培训和教育; ⒁事件反应能力 ; ⒂身份认证; ⒃访问控制; ⒄审计和审核。 3)NISTSP800-53《美国联邦信息系统最低安全控制准则》,根据IT系统对机密性、完整性和可用性的低、中、高关注度,为其建立一组标准的最低安全控制。它分为管理控制、操作控制和技术控制三个种类,每一类都覆盖了安全问题的不同方面,共十六个方面,包括: ⑴风险管理; ⑵系统开发和采集; ⑶配置管理; ⑷系统交互; ⑸人员安全; ⑹安全意识提升、教育培训; ⑺物理以及环境保护; ⑻媒介保护; ⑼应急计划; ⑽硬件与系统软件维护; ⑾系统和数据的完整性; ⑿文档记录; ⒀事故响应能力; ⒁识别和认证; ⒂存取控制; ⒃审计和通讯。 确定了联邦信息系统管理、技术和操作控制的底线。 |