基于等級(jí)保護(hù)的信息安全管理體系研究

高磊， 李晨旸， 趙章界

(北京信息安全測(cè)評(píng)中心，北京，100101)

基于等級(jí)保護(hù)的信息安全管理體系研究

高磊， 李晨旸， 趙章界

(北京信息安全測(cè)評(píng)中心，北京，100101)

構(gòu)建信息安全管理體系(ISMS)是組織機(jī)構(gòu)提高信息安全保障水平的重要手段。近年來，隨著信息安全等級(jí)保護(hù)工作的深入開展，ISMS與等級(jí)保護(hù)兩者之間的融合也越來越成為研究的熱點(diǎn)。本文提出了一種基于等級(jí)保護(hù)的信息安全管理體系構(gòu)建方式，分析和闡述了組織機(jī)構(gòu)如何在等級(jí)保護(hù)的要求下持續(xù)改進(jìn)、不斷完善自身的信息安全管理體系。此外，還針對(duì)組織機(jī)構(gòu)的風(fēng)險(xiǎn)評(píng)估工作提出了新的思路和想法。

等級(jí)保護(hù)；信息安全；信息安全管理體系；風(fēng)險(xiǎn)評(píng)估

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，其涌現(xiàn)出來的信息安全問題以及組織機(jī)構(gòu)的安全管理問題越來越受到人們的重視，管理體系(MS)作為管理學(xué)的重要分支，其思想和方法逐步被引入到信息安全領(lǐng)域。1998年，英國信息安全領(lǐng)域提出了信息安全管理體系(ISMS)的概念，首次將信息安全與管理體系進(jìn)行融合，開辟了嶄新的研究領(lǐng)域，信息安全管理體系也從此成為國內(nèi)外學(xué)者的重點(diǎn)研究對(duì)象。相關(guān)國際標(biāo)準(zhǔn)的制定(如ISO/IEC 27001:2005[1])，也使得信息安全管理體系成為企業(yè)和單位渴求的認(rèn)證目標(biāo)。1999年，我國提出了《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》(GB17859－1999)[2]，成為我國信息安全工作的指導(dǎo)性準(zhǔn)則，也使得信息安全的意識(shí)深入人心。隨著信息安全管理活動(dòng)的不斷實(shí)踐和摸索，等級(jí)保護(hù)和ISMS之間的區(qū)別與聯(lián)系也廣泛的受到人們的重視，另一方面，隨著我國信息安全等級(jí)保護(hù)工作的深入開展，兩者之間的研究也成為近年來研究的熱點(diǎn)問題。……