|
3种信息安全保障方法的比较等级保护、风险评估、建立信息安全管理体系这3种实现信息安全的方法都是当前国家信息安全保障体系建设中的热点话题。 等级保护、风险评估、建立信息安全管理体系这3种实现信息安全的方法都是当前国家信息安全保障体系建设中的热点话题。在这里,我们对这3种信息安全保障方法进行分析和比较,以了解其优缺点。 1.等级保护 1)主要内容 等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。 2)优点 等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。 3)缺点 具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。 2.信息安全管理体系(ISMS) 1)主要内容 类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 2)优点 ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|