[其他] 信息安全体系建设与服务过程

Allan

说明：安言咨询出的文档
格式：PDF格式
页数：63页


内容摘要

信息安全建设要依据有效蓝图来进行，蓝图要求完整、可实施可操作，这就是个体系的问题了。本文即从信息安全基本概念引入，介绍了信息安全建设可以依据的各类体系结构，最终得出结论：信息安全体系应该是融合了技术和管理内容在其中，并且充分考虑人、流程和工具三个因素综合作用的结构，这是我们从事信息安全建设工作最终希望看到的东西。当然，要促成蓝图的实现，信息安全实践者必须有一套得力的操作流程，基于先后关联的一系列关键活动来实现信息安全体系蓝图，本文对此也做了详细论述，即有效的信息安全服务过程。

在行文过程中，作者参考了大量文献资料，并将长期积累的实践经验融合进来，最终成此专题。当然，本文虽专门论述安全体系和服务过程，但仅限于基本概念的阐述，并不涉及具体实施和详细步骤。

由于成文仓促，难免不周和错误，请读者持批判的态度审阅，若有建议和意见，欢迎直接致函作者，交朋纳友乃作者平生之好。

目录
1. 信息安全概述.......................................................................5
1.1 信息和信息安全------------------------------------------------------------------ 5
1.1.1 什么是信息......................................................................5
1.1.2 什么是信息安全................................................................5
1.1.3 信息安全要素...................................................................6
1.2 组织的信息安全需求------------------------------------------------------------ 7
1.3 信息安全技术--------------------------------------------------------------------- 8
1.4 信息安全管理----------------------------------------------------------------------10
1.5 对信息安全的正确认识----------------------------------------------------------11
2. 信息安全体系建设.................................................................15
2.1 什么是信息安全体系------------------------------------------------------------15
2.2 信息安全体系的发展历程------------------------------------------------------15
2.2.1 ISO 7498-2 安全体系结构....................................................16
2.2.2 P2DR 安全模型.................................................................17
2.2.3 PDRR 安全模型................................................................19
2.2.4 IATF 信息保障技术框架.....................................................20
2.2.5 BS 7799 标准提出的信息安全管理体系..................................22
2.3 信息安全的典型特点-----------------------------------------------------------23
2.4 提出一种新的安全体系模型——P-POT-PDRR -----------------------------25
2.5 如何建设信息安全体系--------------------------------------------------------28
3. 信息安全服务过程...............................................................30
3.1 信息安全服务概述--------------------------------------------------------------30
3.2 信息安全服务模型——P-PADIS-T --------------------------------------------31
3.3 信息安全服务分类--------------------------------------------------------------34
3.4 信息安全服务过程详解--------------------------------------------------------36
3.3.1 安全策略........................................................................37
3.3.2 准备阶段........................................................................40
3.3.3 评估阶段........................................................................41
3.3.4 设计阶段........................................................................45
3.3.5 实施阶段........................................................................46
3.3.6 支持阶段........................................................................49
3.3.7 安全培训........................................................................53
3.5 安全服务的有效保障-----------------------------------------------------------56
4. 可供借鉴的标准和规范.........................................................58
4.1 BS7799 标准----------------------------------------------------------------------58
4.2 ISO13335 标准------------------------------------------------------------------58
4.3 NIST SP800-35 ------------------------------------------------------------------59
4.4 其他标准和规范---------------------------------------------------------------60