微信公众号:计算机与网络安全
信息安全控制措施宜适合于目的(即适用于当前的任务,能够缓解信息安全风险)、有效(如适宜地指定、设计、实现、使用、管理和维护)和高效(为组织提供收益)。本文件说明了如何评估组织的信息安全控制措施,以确认其确实适宜、有效且高效(提供信任),或识别变更(改进机会)需求。信息安全控制措施作为一个整体,最终目的是以合理的成本效益和与业务一致的方式,充分缓解组织认为不可接受和不可避免的信息安全风险。本文件为基于业务使命和目标、组织策略和要求、已知的新出现的威胁与脆弱性、运行考虑、对信息系统和平台的依赖性,以及组织的风险偏好定制必要的评审提供了所需的灵活性。
本文件为评审和评估信息安全控制措施的实施与运行提供指南,包括对信息系统控制的技术性评估,该评审和评估基于组织所建立的信息安全要求及技术性评估准则。本文件在如何评审和评估由GB/T 22080-2016规定的信息安全管理体系所管理的信息安全控制措施方面提供指南。本文件适用于各种类型和规模的组织开展信息安全评审和技术符合性检查。
信息安全控制措施是处置不可接受的信息风险、使其处于组织可接受风险水平之内的主要手段。组织的部分信息安全控制措施通常是通过采用技术性信息安全控制措施实现。
组织的技术性安全控制可根据信息安全技术标准来定义、记录、实施和维护。随着时间的推移,信息系统改进、安全功能配置和信息系统环境的变化等内部因素及攻击技能的提高等外部因素可能对信息安全控制措施的有效性产生不利影响,并最终影响组织信息安全水平。技术性评估是GB/T 22081中控制措施之一。技术性评估通常通过手动和/或借助自动化工具进行。技术性评估可以由不参与执行控制的角色实施,如:系统的所有者,或者具体控制的责任人,或者内部或外部的信息安全专家来执行。
技术性评估的输出反映了组织在技术上遵守信息安全实施标准的实际程度。当技术性控制措施符合信息安全标准时,该证据提供了保证,否则将作为改进的依据。评估报告链宜在评估开始时就明确建立,并宜保证报告过程的完备性。
评估前,所委派的信息安全审核员需要做好控制方面和测试方面的准备(如适用工具的操作、测试的技术目标)。各项评审工作可依据预知的风险来排列优先顺序,也可按照特定的业务流程或系统进行安排,或者简单地按照顺序覆盖评估范围的所有领域。
在评估单个信息安全控制措施时,信息安全审核员通常先收集初步信息,评审策划的工作范围,联络组织相关部门的管理者和其他联系人,开展风险评估,以编制用于指导实际评估工作的评估文件。
信息安全控制评估指南
▼
(全文略)
办理公众号VIP会员,在公众号会话窗口回复:VIP 可查看相关介绍。
▲
– The end –
信安在线
