ISO13335标准简介
- Threats(威胁)——可能引起对我们的系统、组织和财富的,我们所不希望的不良影响。这些威胁可能是环境方面的、人员方面的、系统方面等等。
- Vulnerabilities(漏洞)——漏洞就是存在于我们系统的各方面的脆弱性。这些漏洞可能存在于组织结构、工作流程、物理环境、人员管理、硬件、软件或者信息本身。
- Impact(影响)——影响就是我们不希望出现的一些事故,这些事故导致我们在保密性、完整性、可用性、负责性、确实性、可靠性等方面的损失,并且造成我们信息资产的损失。
- Risk(风险)——风险是威胁利用我们的漏洞,引起一些事故,对我们的信息财富造成一些不良影响的可能性。我们整个的安全管理实际上就是在做风险管理。
- Safeguards(防护措施)——是我们为了降低风险所采用的解决办法。这些措施有些是在环境方面的,比如:门禁系统、人员安全管理、防火措施、 UPS等。有些措施是技术方面的,比如:网络防火墙、网络监控和分析、加密、数字签名、防病毒、备份和恢复、访问控制等等。
- Residual Risk(剩余风险)——在经过一系列安全控制和安全措施之后,信息安全的风险会降低,但是绝对不会完全消失,会有一些剩余风险的存在。对这些风险可能我们就需要用其他方法转嫁或者承受。
- Constraints(约束)——是一些组织实施安全管理时不得不受到环境的影响,不能完全按照理想的方式执行。这些约束可能来自组织结构、财务能力、环境限制、人员素质、时间、法律、技术、文化和社会等等。
风险管理关系模型
对上面的一些安全管理要素,ISO13335给出了一个非常有意思的风险管理关系模型。
应当如何利用ISO13335
ISO13335和BS7799(ISO17799)比较起来对安全管理的过程描述得更加细致,而且有多种角度的模型和阐述。ISO13335有几个方面比较突出:
第一, 对安全的概念和模型的描述非常独特,具有很大的借鉴意义。在全面考虑安全问题,进行安全教育,普及安全理念的时候,完全可以将其中的多种概念和模型结合起来。
第二, 对安全管理过程的描述非常细致,而且完全可操作。作为一个企业的信息安全主管机关,完全可以参照这个完整的过程规划自己的管理计划和实施步骤。
第三, 对安全管理过程中的最关键环节——风险分析和管理有非常细致的描述。包括基线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法学的阐述,对风险分析过程细节的描述都很有参考价值。
第四, 在标准的第四部分,有比较完整的针对6种安全需求的防护措施的介绍。将实际构建一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。
第五, 这个标准是一个开发的标准,标准还在不断的增加和改进中。现在标准的第五部分即将发布。
ISO13335标准简介相关推荐
- 【转】dicom通讯的工作方式及dicom标准简介!!
转自:dicom通讯的工作方式及dicom标准简介 - assassinx - 博客园 本文主要讲述dicom标准及dicom通讯的工作方式.dicom全称医学数字图像与通讯 其实嘛就两个方面 那就是 ...
- 以太网标准-802.3各个标准简介
以太网标准-802.3各个标准简介 1 Experimental Ethernet 1973 2.94 Mbit/s (367 kB/s) over coaxial cable (coax) bus, ...
- BT.656标准简介-内同步并口-以及波形测量
BT.656标准简介-以及波形测量 1.定义 2.协议 2.1. 帧的概念(Frame) 2.2. 场的概念(field) 2.3. 每一行的组成(Lines) 2.4. EAV和SAV 3 波形测量 ...
- [医疗信息化][DICOM教程]DICOM标准简介
[医疗信息化][DICOM教程]DICOM标准简介 使用OsiriX的DICOM标准简介 内容 介绍 什么是DICOM 医院系统内的图像传输 了解DICOM服务 OsiriX提供的DICOM服务 其他 ...
- dicom通讯的工作方式及dicom标准简介
转自:http://www.cnblogs.com/assassinx/p/3223460.html 本文主要讲述dicom标准及dicom通讯的工作方式.dicom全称医学数字图像与通讯 其实嘛就两 ...
- RS-232、RS-422与RS-485串口标准简介
RS-232.RS-422与RS-485串口标准简介 一.RS-232C.RS-422与RS-485的由来 RS-232.RS-422与RS-485都是串行数据接口标准,最初都是由电子工业协会(EIA ...
- html中w3c标准,W3C是什么意思 W3C标准简介
W3C是什么意思 W3C标准简介 发布时间:2012-10-26 14:58:03 作者:佚名 我要评论 W3C是英文 World Wide Web Consortium 的缩写,中文意思是W ...
- 数字对讲机通信标准简介
数字对讲机通信标准简介 通信标准 全称 标准制定者 应用行业 主要应用地区 技术 信道带宽 特点 联盟主要成员 主要厂商 P25 Project 25 APCO美国国际公共安全通信官员协会 NASTD ...
- 飞行类手册国际标准简介
在业界有这个说法:三流的企业卖产品,二流的企业卖技术,一流的企业卖标准.一流企业是行业的标杆,行业的制定者.现在标准已经成为最重要的行业发展因素,谁的产品标准一旦为世界所认同,谁就会引领整个产业的发展 ...
最新文章
- Angular 4+ HttpClient
- iPhone游戏编程教程一步步教你游戏开发
- Windows下命令行Git无法显示中文问题解决方案
- scala整型的类型及取值范围
- Discuz!NT 和网站整合
- 前端构建新世代,Esbuild 原来还能这么玩!
- 2021年,这是你们收到的第一份礼物
- httos双向认证配置_idou老师教你学Istio 15:Istio实现双向TLS的迁移
- 漫步数理统计六——条件概率与独立(下)
- LOCK TABLES
- cocos2D创建一组单选按钮菜单
- 设计模式学习(三):确保对象的唯一性—单例模式
- 日历java代码_java 日历代码实现
- js控制5秒后页面自动跳转
- linux 系统找回密码,Linux系统密码忘记后的五种恢复方法
- 单细胞测序之scater包数据分析教程复现
- Android stdio调试程序闪退或者报错:xxx keeps stopping解决方案
- (5)项目合同管理--信息系统项目管理师考试系列
- linux虚拟网桥 docker,Docker 使用自定义网桥
- JAVA使用barcode4j生成条形码和二维码图片以及带logo的二维码,验证码图片