国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應用案例 網(wǎng)絡威脅系統(tǒng)安全 應用安全 數(shù)據(jù)安全 云安全

若何選擇合適的IT安然框架及尺度

時間:2013-09-13 12:12來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
實施信息安然打算的挑戰(zhàn)很是大年夜。我們需要考慮良多方面,從加密到利用安然,再到災害恢復。當然還有合規(guī)標題問題,企業(yè)需要遵循良多律例要求,例如HIPAA、PCI DSS和Sarbanes-Oxley。安然專
Tags信息安全(528)系統(tǒng)安全(735)IT安全(38)  

  實施信息安然打算的挑戰(zhàn)很是大年夜。我們需要考慮良多方面,從加密到利用安然,再到災害恢復。當然還有合規(guī)標題問題,企業(yè)需要遵循良多律例要求,例如HIPAA、PCI DSS和Sarbanes-Oxley。安然專業(yè)人士應當若何放置其工作來成立和保護信息安然打算呢?

  這恰是IT安然框架和尺度的用武之地。在本文中,我們將深進研究甚么是信息安然框架,并會商一些比較風行的框架和若何利用它們。

  甚么是IT安然框架?

  信息安然框架是指一系列文檔化流程,這些流程用來定義在企業(yè)環(huán)境擺設和延續(xù)治理信息安然節(jié)制所觸及的政策和法度。這些框架根基上是一個“藍圖”,用來幫忙企業(yè)成立信息安然打算,從而治理風險和削減縫隙。信息安然專業(yè)人員可以操縱這些框架對構(gòu)建安然性到企業(yè)的任務來定義和優(yōu)先排序。

  這些框架常常被定制來解決具體信息安然標題問題,就像建筑藍圖用來知足其所需要的規(guī)格和用處一樣。這些框架都是針對特定的行業(yè)和不合的合規(guī)性方針。這些框架還有不合程度的復雜性和范圍。但是,你會發(fā)現(xiàn),跟著這些框架的改進,從一般安然概念來看,這些框架存在相當多的堆疊。

  框架案例

  COBIT

  信息系統(tǒng)和手藝節(jié)制方針(COBIT)是ISACA(IT治理專業(yè)人士的自力組織)在90年代中期開辟的框架。ISACA目前提供馳名的認證信息系統(tǒng)審計師認證(CISA)和信息安然治理員認證(CISM)。該框架開端首要專注于削減企業(yè)的手藝風險,但在COBIT5中還涵蓋了讓IT遵循企業(yè)計謀方針的內(nèi)容。這個框架是知足Sarbanes-Oxley律例最常常利用的框架。

  ISO 27000系列

  ISO 27000系列是由國際尺度化組織開辟的。它供給很是遍及的信息安然框架,可以利用于所有類型和范圍的企業(yè)。它也能夠被覺得是相當于制造業(yè)的ISO 9000質(zhì)量尺度,乃至還包含一個近似的認證過程。從內(nèi)容來看,該系列被劃分成不合的子尺度。例如,ISO 27000包含概述和詞匯,而ISO 27001則定義了該項目標要求。ISO 27002從英國尺度BS7799演變而來,定義了信息安然項目中需要的可把持步調(diào)。

  在ISO 27000系列中,還有良多其它尺度和最好實踐。例如,ISO 27799定義了醫(yī)療保健范疇的信息安然,這對需要HIPAA合規(guī)的企業(yè)來講很有效。新的ISO27000尺度則供給了云計較、存儲安然和數(shù)字取證的具體建議。ISO 27000很遍及,可以用于任何行業(yè),但該認證首要用于想要揭示積極的安然打算的云辦事供給商。

  NIST SP 800系列

  美國國度尺度與手藝研究所已匯集了大年夜量的信息安然尺度和最好實踐文檔。他們在1990年初次出版了NIST Special Publication 800系列,該系列此刻已成長到供給觸及幾近每個方面的信息安然建議。當然不是具體的信息安然框架,但NIST SP 800-53是其它框架的“原始”模型。美國當局機構(gòu)操縱NIST SP 800-53來遵循聯(lián)邦信息措置尺度(FIPS )的200條要求。雖然這是針對當局機構(gòu)的尺度,這個NIST框架可以合用于其它任何行業(yè),對試圖成立信息安然打算的企業(yè),不該該忽視這個框架。

  所有這些框架的優(yōu)勢在于,它們之間存在良多堆疊,所以我們可以在它們之間成立“通道”來顯示不合監(jiān)管尺度的合規(guī)性。例如,ISO 27002在第5節(jié)定義了信息安然政策;COBIT則在“打算和組織”中進行了定義;Sarbanes Oxley將其定義為“內(nèi)部環(huán)境”;HIPAA將其定義為“指定的安然責任”;而PCI DSS則將其定義為“保護信息安然政策”。經(jīng)由過程利用共同的框架(例如ISO 27000),企業(yè)可利用這個通道法度來遵循多種律例,例如HIPAA、Sarbanes Oxley、PCI DSS和GLBA。

  建議和總結(jié)

  具體利用哪個IT安然框架由多個身分影響。但行業(yè)類型或合規(guī)要求將是決定性身分。公開上市的企業(yè)可能想要利用COBIT來更好地遵循Sarbanes Oxley法案。而ISO 27000系列是信息安然框架的代表作,可以或許用于任何行業(yè),雖然擺設過程很漫長。并且,該框架最好用在企業(yè)需要經(jīng)由過程ISO 27000認證奉行信息安然功能的范疇。NIST SP 800-53則是美國聯(lián)邦機構(gòu)劃定的尺度,但也能夠幫忙企業(yè)構(gòu)建特定的手藝信息安然打算。這些框架將幫忙安然專業(yè)人士組織和治理信息安然打算。別的,企業(yè)最糟的做法就是不利用任何框架。

------分隔線----------------------------

推薦內(nèi)容