电力信息安全管理体系应用及发展研究

2013-11-27 15:47:53 智能电网知识库网  点击量: 评论 (0)
摘 要 信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一,在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实
管理体系运行的效果很大程度上取决于风险管理方法的适宜性和有效性。
 
2.2 信息安全管理体系的持续改进机制
 
信息安全管理体系的一个突出特点是持续改进,通过体系的建设,可以有效实现信息安全工作的持续改进,不断提高信息安全的防护水平和能力,应对不断涌现的新的信息安全威胁。
 
信息安全管理体系的持续改进机制主要体现在下列方面:
 
(1)过程方法
 
在管理活动中,过程单元是控制的基本要素,过程方法已成为管理活动的基本方法,研究过程之间的相互联系和作用,有利于对这些过程进行有效的、连续的控制,从而确保整体管理的有效性。过程方法模型如图1所示。
 
 
图1 过程方法模型
 
为使组织有效运作,必须识别和管理众多相互关联的活动,通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成下一个过程的输入。而过程方法则是指组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理。
 
(2)PDCA循环
 
PDCA模型又叫戴明环,是管理学中的一个通用模型,如图2所示。
 
 
图2 PDCA模型PDCA模型在实施时,呈现出如下特点:
 
1)循环进行
 
2)相互嵌套
 
3)不断改进
 
(3)内部审核
 
信息安全管理体系内部审核的总目标是以规定的时间间隔(一般不超过一年)检查信息安全管理体系的各方面是否按预期功能运行。审核的次数应按计划进行,使得审核工作能均匀地分布在所确定的期间。当信息安全管理体系有重大变化或发生重大不符合项时,要增加审核频次。
 
(4)管理评审
 
信息安全管理体系管理评审是管理者按照计划的时间间隔组织实施的信息安全管理体系的评审,其目标是要检查信息安全管理体系是否有效,识别可以改进的地方,并采取措施,以保证信息安全管理体系保持持续的适宜性、充分性和有效性。当确定当前的安全状况是满意时,为了预见未来信息安全管理体系的变化和确保其持续的有效性,注意力应放在变化中的技术与业务要求、新威胁与脆弱性的攻击上。
 
(5)纠正和预防措施
 
首先应该认识到纠正与纠正措施的区别:纠正是指为消除已发现的不符合所采取的措施,而纠正措施是指为消除已发现的不符合或其他不期望情况的原因所采取的措施,其目的是消除不符合的原因,防止不符合项的再次发生。采取纠正措施的范围和程度要根据不符合项对组织的综合影响程度而定,包括风险、利益和投入成本等,要评价确保不符合项不再发生的措施需求。
 
2.3 信息安全管理体系的实施方法
 
组织需要信息安全,一方面是业务连续性发展的要求,另一方面是适用的法律法规和标准的要求。这些要求是不断发展和变化的,组织必须持续的增强其信息安全能力和改进其信息安全水平以满足不断发展的信息安全要求。
 
信息安全管理体系方法指导组织分析信息安全要求,识别和规定相关过程,并使其持续受控,以实现组织能接受的信息安全目标。信息安全管理体系提供持续改进的框架,以增强组织信息安全能力,同时向组织的其它利益相关方提供信心和信任。信息安全管理体系的实施方法应重点关注下列三个方面:
 
1)应用PDCA模型
 
在信息安全管理体系的建设过程中,应用PDCA模型,可以有效规范各类活动的阶段性,充分体现其持续改进机制,最大程度发挥信息安全管理体系的特点
大云网官方微信售电那点事儿

责任编辑:和硕涵

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞