????一、經(jīng)濟合作和發(fā)展組織��,《信息系統(tǒng)安全指南》(1992)
《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構(gòu)建信息系統(tǒng)安全框架��。美國�����、OECD的其他23個成員國����,以 及十幾個非OECD成員國家都批準(zhǔn)了這一指南。該指南旨在提高信息系統(tǒng)風(fēng)險意識和安全措施�����,提供一個一般性的框架以輔助信息系統(tǒng) 安全度量方法�、操作流程和實踐的制定和實施,鼓勵關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作��,促進(jìn)人們對信息系統(tǒng)的信心�����,促 進(jìn)人們應(yīng)用和使用信息系統(tǒng)�����,方便國家間和國際間信息系統(tǒng)的開發(fā)���、使用和安全防護���。這個框架包括法律��、行動準(zhǔn)則�、技術(shù)評估����、管 理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標(biāo)桿���,通過此標(biāo)桿測量進(jìn)展。
二、國際會計師聯(lián)合會�,《信息安全管理》(1998)
信息安全目標(biāo)是“保護依靠信息 �����、信息系統(tǒng)和傳送信息的人、通信設(shè)施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”�。任何組織在滿足三條準(zhǔn) 則時可認(rèn)為達(dá)到信息安全目標(biāo):數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人(機密性);數(shù)據(jù)和信息保護不受未經(jīng)授權(quán)的修改(完 整性);信息系統(tǒng)在需要時可用和有用(可用性)�。機密性�、完整性和可用性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用 信息的商業(yè)環(huán)境而不同。 信息安全因急速增長的事故和風(fēng)險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動�����,也 可能來自內(nèi)部或外部��。信息安全事故的發(fā)生可能是因為技術(shù)方面的因素���、自然災(zāi)害���、環(huán)境方面���、人的因素、非法訪問或病毒���。另外, 業(yè)務(wù)依賴性(依靠第三方通信設(shè)施傳送信息�,外包業(yè)務(wù)等等)也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力���。
三�、國際標(biāo)準(zhǔn)化組織���,《ISO 17799國際標(biāo)準(zhǔn)》(最新版是2005)
ISO17799(根據(jù)BS 7799第一部分制定)作為確定控制范圍的單一參考點�, 在大多數(shù)情況下,這些控制是使用業(yè)務(wù)信息系統(tǒng)所必須的���。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)���,像其他重要商業(yè)資 產(chǎn)一樣,這種資產(chǎn)對組織有價值�,因此需要恰當(dāng)保護它��。ISO 17799認(rèn)為信息安全有下列特征:機密性��,確保信息只被相應(yīng)的授權(quán)用戶 訪問;完整性,保護信息和處理信息程序的準(zhǔn)確性和完整性;可用性���,確保授權(quán)用戶在需要時能夠訪問信息和相關(guān)資產(chǎn)。信息安全保護 信息不受廣泛威脅的損毀�����,確保業(yè)務(wù)連續(xù)性��,將商業(yè)損失降至最小�,使投資收益最大并抓住各種商業(yè)機遇�。安全是通過實施一套恰當(dāng) 的控制措施實現(xiàn)的。該控制措施由策略����、實踐、程序�、組織結(jié)構(gòu)和軟件組成���。
四��、信息系統(tǒng)審計和控制 協(xié)會,《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)
CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需 的信息這個前提���,至今已有三個版本。除了鼓勵以業(yè)務(wù)流程為中心��,實行業(yè)務(wù)流程負(fù)責(zé)制外��,CoBIT還考慮到組織對信用�、質(zhì)量和安全 的需要���,它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則:效率����、效果、可用性�、完整性�����、機密性、可靠性和一致性���。CoBIT進(jìn) 一步把IT分成4個領(lǐng)域(計劃和組織,獲取和實施�,交付和支持���,監(jiān)控)�����,共計34個IT業(yè)務(wù)流程���。CoBIT為正在尋求控制實施最佳實踐 的管理者和IT實施人員提供了超過300個詳細(xì)的控制目標(biāo)��,以及建立在這些目標(biāo)上的廣泛的行動指南����。COBIT框架通過聯(lián)結(jié)業(yè)務(wù)風(fēng)險����、 控制需要和技術(shù)手段來幫助滿足管理當(dāng)局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例,以形成一個可控和邏輯結(jié)構(gòu) 內(nèi)的活動�����。
五�、美國注冊會計師協(xié)會(加拿大特許會計師協(xié)會),《SysTrust TM系統(tǒng)可靠性原理和準(zhǔn)則 V20》(2001)
SysTrust服務(wù)是一種保證服務(wù),用于增強管理者�����、客戶和商業(yè)伙伴對支持業(yè)務(wù)或某 種特別活動的系統(tǒng)的信任�����。SysTrust服務(wù)授權(quán)注冊會計師承擔(dān)的保證服務(wù)包括:注冊會計師從可用性����、安全性、完整性和可維護性四個 基本方面評估和測試系統(tǒng)是否可靠。
SysTrust定義在特定環(huán)境下及特定時期內(nèi)�����,沒有重大錯誤�、缺 陷或故障地運行的系統(tǒng)為可靠系統(tǒng)����。系統(tǒng)界限由系統(tǒng)所有者確定,但必須包括基礎(chǔ)設(shè)施、軟件、人�����、程序和數(shù)據(jù)這幾個關(guān)鍵部分���。 SysTrust的框架可升級�����,企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來驗證系統(tǒng)的可靠性����。對系統(tǒng)四個標(biāo)準(zhǔn)的判斷組成對系統(tǒng) 整體可靠性的判斷����。注冊會計師也能單獨判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標(biāo)準(zhǔn)的可靠性做出 判斷����,不是對系統(tǒng)整體可靠性的判斷�����。
貴州ISO9001質(zhì)量體系認(rèn)證
自貢CCC認(rèn)證
德陽ISO14001環(huán)境體系認(rèn)證
眉山強制性產(chǎn)品認(rèn)證
樂山ISO27001信息體系認(rèn)證
成都企標(biāo)企業(yè)管理有限公司-專業(yè)體系認(rèn)證咨詢
聯(lián)系人:周老師 聯(lián)系電話: 18980962772
