1.等級保護

　　1）主要內(nèi)容

　　等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過程的一項基礎性管理制度，其核心內(nèi)容是對信息安全分等級、按標準進行建設、管理和監(jiān)督。

　　2）優(yōu)點

　　等級保護適用于宏觀層面，是一種大范圍“基線安全”，適用于行業(yè)主管部門對信息安全的總體把握與監(jiān)控。

　　3）缺點

　　具體到某個組織的信息安全保護而言，等級保護的粒度劃分較粗，在滿足組織對信息安全的精細控制要求方面還存在不足。因此，在滿足監(jiān)管部門的等級保護要求之后，組織還可進一步把等級細化到各種層次的安全域，直至對一個個的信息資產(chǎn)進行有效管理。

　　2.信息安全管理體系（ISMS）

　　1）主要內(nèi)容

　　類似于質(zhì)量之于ISO9000，ISMS是組織為提高信息安全管理水平，按照ISO27001的要求，在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

　　2）優(yōu)點

　　ISMS涉及了信息安全的11個領域，133個控制措施，基本涵蓋了信息安全的方方面面，適用于各種類型的組織用來建立一個總體的安全控制框架;ISMS更注重于把“安全管理”當作一種制度來建設，通過建立統(tǒng)一的方針、策略，以及規(guī)范化安全規(guī)則，使ISMS實施主體能有效地識別風險，持續(xù)不斷地采取管控措施，以把風險降低到組織可接受的程度。

　　3）缺點

　　它只是描述了建立ISMS的思想、框架，但對如何建立ISMS并沒有一個詳細明確的定義，也沒有描述ISMS的最終形態(tài);沒有確定建立信息安全體系的具體方法與技術。因此，ISMS對實施者來說留下來很大的可操作空間，不同的組織和不同實施著對ISMS標準的把握可能差別很大，ISMS總體水平也會有高下之分。

　　3.風險評估

　　1）主要內(nèi)容

　　風險評估是獲知組織當前風險水平的一種手段，在金融、電子商務等許多領域都是有風險及風險評估需求的存在。當風險評估應用于IT安全領域時，就是對信息安全的風險評估。

　　2）優(yōu)點

　　風險評估從早起簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

　　國內(nèi)這幾年對信息安全風險評估的研究進展較快，具體的評估方法也在不斷改進。原國信辦2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定，并在其中規(guī)定了信息安全風險評估的工作流程、評估內(nèi)容、評估方法和風險判斷準測，對規(guī)范我國信息安全風險評估的做法具有很好的指導意義。

　　3）缺點

　　《信息安全風險評估指南》所確定的風險評估方法還只是一個通用的方法論，具體到一個特定的單位，要對其中的風險進行準確地識別與量化仍熱是一件困難的事情，在很大程度上要取決于評估者的經(jīng)驗。

　　另一方面，《信息安全風險評估指南》主要是對所識別的一個個靜態(tài)資產(chǎn)進行風險評估，涉及IT治理、IT管理流程、IT運維、IT審計、IT價值實現(xiàn)等方面的風險，并不能完全套用以上信息資產(chǎn)的風險評估方法，由于這類風險涉及組織的核心業(yè)務，組織對此更加關心，因此，在實施信息安全過程中，準確地識別其中的風險并能加以控制，對組織具有重要意義。

　　通過以上比較，我們認為這3中方法都是實現(xiàn)信息安全的有效手段，但各有不同的側(cè)重點，要真正實現(xiàn)信息安全要把這3者結合起來，并進行相應的擴展，探索出一條適合中國特色的信息安全保障之路。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：3種信息安全保障方法的比較

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839512582.html