|
|
| 来源 |
|
作者 |
张耀疆 |
日期 |
2007-2-25 11:33:01 |
对组织来说,信息是需要采取措施加以保护的重要资产,但在具体采取安全措施之前,组织必须先明确自己的安全需求,需要保护哪些信息资产?需要投入多大力度?应该达到怎样的保护程度?这些都要通过需求分析来加以明确。一般来讲,组织的信息安全需求有三个来源。
1).法律法规与合同条约的要求
与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵循BS7799 标准。
2).组织的原则、目标和规定
组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保支持业务运作的信息处理活动的安全性。
3).风险评估的结果
除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。 |
| 上一篇:信息安全基本知识(7):什么是信息安全的根本目标? |
| 下一篇:信息安全基本知识(9):如何做好信息安全整体规划? |
|
