前事不忘,后事之师,不忘国耻!

 立即注册  找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1318|回复: 0

依据BS7799标准 实施企业信息资产管理

[复制链接]

依据BS7799标准 实施企业信息资产管理

[复制链接]
ehxz

主题

0

回帖

3万

积分

管理员

积分
37090
2006-10-17 20:44:37 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×

信息安全管理是一个融合了管理和技术层面的动态防护和持续改进的系统工程,其方法论、相关标准和具体实施内容都相当繁复,本文仅讨论其中最基础的部分─“信息资产管理”。

信息资产管理,既有别于传统意义上的固定资产管理,也和ERP(企业资源计划)、EAM(企业资产管理)等系统中资产管理的概念有所不同,它更关注于对信息系统及其附属设施中的相关资源进行识别和集中管理,进而实施有效的ISMS(信息安全管理体系)或SOC(安全运营中心),以保证信息系统所承载的企业业务的持续、有效的发展。

BS7799标准(由英国标准协会制订的一个信息安全管理标准,分为三部分,其中前两部分已纳入ISO国际标准)提供了一个信息资产分类的基础框架,即把信息资产划分为信息(如数据库、数据文件等)、软件(如应用软件、系统软件等)、物理资产(如处理和通讯设备等)、服务(如处理和通讯服务等)、人员以及无形资产(如企业信誉和形象等)等几部分。

BS7799标准为企业实施信息资产管理提供了理论基础和指导建议。依据其分类方法,结合对企业业务流程、信息系统以及网络基础架构的综合分析,可以比较科学、系统的对企业内部信息资产进行统计和管理。

企业的网络基础架构,是企业信息系统的支撑平台,主要由固定资产组成,如主机、服务器、网络及其附属设施等等,基本属于物理资产的范畴。

企业业务流对于企业发展的重要程度,直接决定了承载他的信息系统(如OA、ERP、CRM等)的重要性,也影响着企业的信誉和形象(无形资产)。企业信息系统构建在网络基础架构之上,承载着企业各类业务流,我们可以把特定的信息系统分解为具体信息资产进行识别和统计,可以考虑:资产类型(如服务、应用、数据库等,还可以细化);需开放的端口;隶属的特定信息系统(如ERP)、所关联的物理资产(前面已经统计过);相关的维护和管理人员;重要级别(该资产在隶属的信息系统中的重要性关联的信息系统自身的重要性)、该资产可以通过哪些方式(关联到其他资产)进行监控或管理等等。

综上所述,我们依据BS7799,通过对资产的分类、统计、关联和分析,可以完整地勾勒出企业信息资产的整体视图,从而进行有效的企业信息资产管理。这种信息资产管理模式,便于扩展或耦合补丁管理、脆弱性管理等功能,同时易于平滑过渡到ISMS或SOC的建设。另外,人员和无形资产的管理更侧重于管理层面,可以在企业安全策略及相关程序文件中进行描述。

免责申明1、欢迎访问本站,本文内容及相关资源来源于网络,版权归版权方所有!本站原创内容版权归本站所有,请勿转载!
2、本文内容仅代表作者观点,不代表本站立场,作者自负,本站资源仅供学习研究,请勿非法使用,否则后果自负!请下载后24小时内删除!
3、本文内容,包括但不限于源码、文字、图片等,仅供参考。本站不对其安全性,正确性等作出保证。但本站会尽量审核会员发表的内容。
4、如本帖侵犯到任何版权问题,请立即告知本站 ,本站将及时删除并致以最深的歉意!客服邮箱:admin@fmlist.com
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|小黑屋|爱谁谁社区 ( 鲁ICP备14013101号-3 )

GMT+8, 2024-12-29 08:11 , Processed in 0.035851 second(s), 8 queries , MemCached On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表