信息安全管理体系的研究

时间：2023-03-31 22:50:48 信息安全毕业论文我要投稿

信息安全管理体系的研究

　　以下是关于信息安全管理体系的研究的论文，希望对各位毕业生有所帮助!

信息安全管理体系的研究

　　摘要：对信息安全体系的定义、功能以及构建方法进行介绍，在信息安全管理标准和安全特性的基础上构建信息安全管理模型，分析如何有效地进行信息安全的风险评估、安全策略以及安全控制。

　　关键词：信息安全管理体系

　　1 引言

　　随着计算机技术、网络通信技术和高密度存储技术的发展，电子信息化进程在各个领域中得到了广泛推广和不断深入研究。结合当今社会的信息量爆炸式的增长情况，以及现阶段的研究成果得出结论，当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点。

　　信息安全管理可以借助一些必要的技术措施来实现，但是仅仅从技术层面上是无法彻底保证信息的安全性和有效性，因为互联网本身是不可控制的，这无疑给网络安全埋下了巨大的隐患，很多情况下，防火墙成为了确保网络信息安全的重要措施，要想最大限度的发挥防火墙的技术优势，就必须考虑防火墙的安全策略设置以及对其进行物理保护和访问控制。这就要求安全管理必须拥有足够的基础程序予以支持，否则安全技术难以发挥其技术优势，或者一旦外部环境发生变化，安全技术难以适应，无法起到应有的安全保护作用。由此可见，对于信息安全团里的研究有着非常重要的理论意义和实践意义。

　　2 信息安全管理体系的特点和功能

　　信息安全管理体系(Information Security Management System，简称为ISMS)，是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性;信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

　　信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。信息安全管理体系的主要功能有：

　　(1)规范组织的信息安全管理行为，提升员工的安全管理意识。

　　(2)对组织内部的关键信息进行全面保护，有效维持自身的竞争优势。

　　(3)提升合作伙伴和客户的满意度，是其对组织拥有强烈的信心。

　　(4)促使组织的决策层坚持贯彻落实信息安全管理体系。

　　(5)确保组织定期的考虑新的安全威胁和潜在的安全脆弱点，对信息安全管理体系进行持续的更新。

　　3 信息安全的风险评估与策略

　　3.1 信息安全的风险评估

　　信息安全管理属于风险管理，即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此，管理的核心要素就是对风险进行准确识别和有效的评估，通过对信息安全进行风险评估可以获得安全管理的需求，帮助组织制定出最佳的信息安全管理策略，并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。风险管理的结构如图1所示。

　　3.2 信息安全策略

　　信息安全策略(Information Security Policy)是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部，通常是由技术管理者指定信息安全策略，如果是一个较为庞大的组织，制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定，它是组织管理人员在建立、使用和审计信息系统时的信息来源。

　　信息安全策略具有非常广泛的应用范围，在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。

　　3.3 信息安全管理措施

　　信息加密技术是网络安全管理的核心问题，通过对网络传输的信息资源进行加密，以确保传递过程中的安全性和可靠性。密码技术主要包括古典密码体系、单钥密码体系、公钥密码体系、数字签名以及密钥管理。其中古典密码体系可以分为替代式密码和移位式密码，替代式密码是字母或者字母群作有系统的代换，直到信息被替换成其它比较难以破译的文字;移位式密码是字母本身不变，但是在信息中的顺序是依照一个定义明确的计划进行改变的。单钥密码体系是指加密密钥和解密密钥同属于一个密码算法，即通过一对密钥进行信息加密并且解密。公钥密码体系又称为公开密钥密码体系，它是现代密码学最重要的发明之一，主要原理是加密密钥和解密密钥相分离，这样一来，用户就可以根据自己的需求设计加密密钥和算法，并且不用担心加密密钥和算法外泄，通过解密密钥来确保数据库中信息资料的完整性、安全性以及可靠性。病毒对互联网的安全威胁最为严重，主要可以通过病毒防御技术提升信息管理安全性。现阶段所使用的病毒防御软件主要可以分为网络防御病毒软件以及单机防病毒软件这两种类型。其中网络防御病毒软件主要用来防御隐藏在互联网上的病毒，一旦计算机网络遭受到病毒的入侵或者是被互联网中的其他资源所感染，网络防病毒软件则会通过实时检测，查询出异常情况并且立即清除;相对于网络防御病毒软件，单机防病毒软件主要是安装在单独的计算机上，即通过采用分析扫描等方式检测本地和本地工作站连接的远程信息资源，查明计算机所存在的任何异常情况，并且有效地清除一切隐藏病毒。

　　信息管理的安全性、可靠性以及稳定性不仅在于所采用的安全防范措施和防御技术，而且还应该对信息管理安全管理的措施以及相关的信息管理安全保护法律、法规予以足够的重视。因为只有将政策法规和技术措施有效地的结合起来，才能更加科学、合理的提升信息管理的安全性，为互联网的发展提供一个健康的环境。计算机网络的安全管理主要是指对计算机用户进行必要的安全教育，并且进一步完善信息安全管理体系，进一步改善和提升计算机网络安全管理功能、强化计算机以及互联网的立法和执法力度。加强信息安全管理以及工作人员的法律、法规、道德观念，提高其自身的管理素质和安全意识，对防止计算机网络犯罪，抵制黑客攻击和防止计算机病毒干扰也有很大地作用。

　　4 结束语

　　综上所述，由于电子信息越来越涉及到各类隐私信息或者秘密数据，因此对于信息的安全管理将会愈来愈被重视。信息安全管理体系是一门集合设备要求、技术手段和管理方法于一身的研究课题。只有在电子信息安全性较高的前提下，才能更好的进行信息有效利用的研究，合理统筹人力、物力和财力，带来电子信息利用效益的最大化。

　　参考文献：

　　[1] 曲成.在企业建立有效的信息安全管理体系[J].计算机安全，2011(11).

　　[2] 肖锟.基于风险驱动的企业信息安全管理体系构建[J].计算机安全，2010(04).

　　[3] 赵刚，王兴芬.电子商务信息安全管理体系架构[J].北京信息科技大学学报，2011(01).

　　[4] 刘晓红.信息安全管理体系认证及认可[J].认证技术，2011(05)

【信息安全管理体系的研究】相关文章：

信息安全管理体系研究10-05

电力企业信息安全管理体系分析研究10-08