本文关于求信息安全解决方案及执行标准,据
亚洲金融智库2022-11-03日讯:
信息安全指防止信息财产被故意地和偶然地非法授权、泄漏、更改、破坏或使信息被非法系统识别、控制。信息安全范围主要包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、
加密 、 鉴 别 7 个 方 面。
信息安全解决方案涉及到这7个方面,不同客户对信息安全的侧重要求不一样,业界的方案也十分多。比如一般对于大型企业(比如中国移动),其通信网络的信息安全主要由网络设备提供商(比如思科)等设计部署,但是小型企业,估计只简单买一些防病毒软件和防火强。
业界不同网络的安全标准不一样,比如移动网络一般用3GPP的安全协议做执行标准,城域/局域网用IETF定义的安全协议做执行标准
信息安全管理体系审核应该遵循的原则?
1.通用的审核原则
审核的特征在于其遵循若干原则。这些原则使审核成为支持管理方针和控制的有效与可靠的工具,并为组织提供可以改进其绩效的信息。遵循这些原则是得出相应和充分的审核结论的前提,也是审核员独立工作时,在相似的情况下得出相似结论的前提。
第 5 章~第 7 章给出的指南是基于下列6项原则:
a)诚实正直:职业的基础
审核员和审核方案管理人员应:
以诚实、勤勉和负责任的精神从事他们的工作;
了解并遵守任何适用的法律法规要求;
在工作中体现他们的能力;
以不偏不倚的态度从事工作,即对待所有事务保持公正和无偏见;
在审核时,对可能影响其判断的任何因素保持警觉。
b)公正表达:真实、准确地报告的义务
审核发现、审核结论和审核报告应真实和准确地反映审核活动。应报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。沟通必须真实、准确、客观、及时、清楚和完整。
c)职业素养∶在审核中勤奋并具有判断力
审核员应珍视他们所执行的任务的重要性以及审核委托方和其他相关方对他们的信任。在工作中具有职业素养的一个重要因素是能够在所有审核情况下做出合理的判断。
d)保密性∶信息安全
审核员应审慎使用和保护在审核过程获得的信息。审核员或审核委托方不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。这个概念包括正确处理敏感的、保密的信息。
e)独立性;审核的公正性和审核结论的客观性的基础
审核员应独立于受审核的活动(只要可行时),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,审核员应独立于被审核职能的运行管理人员。审核员在整个审核过程应保持客观性,以确保审核发现和审核结论仅建立在审核证据的基础上。
对于小型组织,内审员也许不可能完全独立于被审核的活动,但是应尽一切努力消除偏见和体现客观。
f)基于证据的方法:在一个系统的审核过程中,得出可信的和可重现的审核结论的合理的方法
审核证据应是能够验证的。由于审核是在有限的时间内并在有限的资源条件下进行的,因此审核证据是建立在可获得信息的样本的基础上。应合理地进行抽样,因为这与审核结论的可信性密切相关。
> ISMS 审核原则
ISMS的审核还应遵循如下原则:
a)保密性:
ISMS的审核由于其特殊性,审核员应对保密性给予充分的重视,如注意受审核方的保密管理规程,关注受审核方对保密的特殊要求。
b)基于风险:
ISMS本身是基于业务风险管理的体系,需要审核员专注受审核方的业务风险,特别是实际残余风险;同时,对一些特殊的组织的审核会有特殊的风险,需要充分认识认证带来的风险。
专题推荐:
信息网络系统安全检查方案(9)