????一、經(jīng)濟(jì)合作和發(fā)展組織��,《信息系統(tǒng)安全指南》(1992)
《信息系統(tǒng)安全指南》用于協(xié)助國(guó)家和企業(yè)構(gòu)建信息系統(tǒng)安全框架����。美國(guó)��、OECD的其他23個(gè)成員國(guó)����,以 及十幾個(gè)非OECD成員國(guó)家都批準(zhǔn)了這一指南。該指南旨在提高信息系統(tǒng)風(fēng)險(xiǎn)意識(shí)和安全措施��,提供一個(gè)一般性的框架以輔助信息系統(tǒng) 安全度量方法����、操作流程和實(shí)踐的制定和實(shí)施,鼓勵(lì)關(guān)心信息系統(tǒng)安全的公共和私有部門(mén)間的合作���,促進(jìn)人們對(duì)信息系統(tǒng)的信心�����,促 進(jìn)人們應(yīng)用和使用信息系統(tǒng)�����,方便國(guó)家間和國(guó)際間信息系統(tǒng)的開(kāi)發(fā)���、使用和安全防護(hù)��。這個(gè)框架包括法律�����、行動(dòng)準(zhǔn)則、技術(shù)評(píng)估���、管 理和用戶實(shí)踐�����,及公眾教育或宣傳�����。該指南目的是作為政府����、公眾和私有部門(mén)的標(biāo)桿,通過(guò)此標(biāo)桿測(cè)量進(jìn)展��。
二��、國(guó)際會(huì)計(jì)師聯(lián)合會(huì)�����,《信息安全管理》(1998)
信息安全目標(biāo)是“保護(hù)依靠信息 ��、信息系統(tǒng)和傳送信息的人����、通信設(shè)施的利益不因?yàn)樾畔C(jī)密性、完整性和可用性的故障而遭受損失”����。任何組織在滿足三條準(zhǔn) 則時(shí)可認(rèn)為達(dá)到信息安全目標(biāo):數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人(機(jī)密性);數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改(完 整性);信息系統(tǒng)在需要時(shí)可用和有用(可用性)。機(jī)密性�����、完整性和可用性之間的相對(duì)優(yōu)先級(jí)和重要性根據(jù)信息系統(tǒng)中的信息和使用 信息的商業(yè)環(huán)境而不同。 信息安全因急速增長(zhǎng)的事故和風(fēng)險(xiǎn)種類而日益重要�。對(duì)信息系統(tǒng)的威脅既有可能來(lái)自有意或無(wú)意的行動(dòng),也 可能來(lái)自內(nèi)部或外部�。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害�、環(huán)境方面、人的因素�、非法訪問(wèn)或病毒。另外�����, 業(yè)務(wù)依賴性(依靠第三方通信設(shè)施傳送信息�����,外包業(yè)務(wù)等等)也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力��。
三�����、國(guó)際標(biāo)準(zhǔn)化組織����,《ISO 17799國(guó)際標(biāo)準(zhǔn)》(最新版是2005)
ISO17799(根據(jù)BS 7799第一部分制定)作為確定控制范圍的單一參考點(diǎn), 在大多數(shù)情況下�����,這些控制是使用業(yè)務(wù)信息系統(tǒng)所必須的�����。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織�����。它把信息作為一種資產(chǎn)�����,像其他重要商業(yè)資 產(chǎn)一樣�����,這種資產(chǎn)對(duì)組織有價(jià)值�����,因此需要恰當(dāng)保護(hù)它。ISO 17799認(rèn)為信息安全有下列特征:機(jī)密性�,確保信息只被相應(yīng)的授權(quán)用戶 訪問(wèn);完整性,保護(hù)信息和處理信息程序的準(zhǔn)確性和完整性;可用性�����,確保授權(quán)用戶在需要時(shí)能夠訪問(wèn)信息和相關(guān)資產(chǎn)�����。信息安全保護(hù) 信息不受廣泛威脅的損毀����,確保業(yè)務(wù)連續(xù)性,將商業(yè)損失降至最小�,使投資收益最大并抓住各種商業(yè)機(jī)遇。安全是通過(guò)實(shí)施一套恰當(dāng) 的控制措施實(shí)現(xiàn)的�。該控制措施由策略、實(shí)踐�����、程序���、組織結(jié)構(gòu)和軟件組成�。
四���、信息系統(tǒng)審計(jì)和控制 協(xié)會(huì)�����,《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)
CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需 的信息這個(gè)前提�����,至今已有三個(gè)版本��。除了鼓勵(lì)以業(yè)務(wù)流程為中心�,實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外���,CoBIT還考慮到組織對(duì)信用����、質(zhì)量和安全 的需要�����,它提供了組織用于定義其對(duì)IT業(yè)務(wù)要求的幾條信息準(zhǔn)則:效率����、效果�����、可用性�����、完整性��、機(jī)密性��、可靠性和一致性�。CoBIT進(jìn) 一步把IT分成4個(gè)領(lǐng)域(計(jì)劃和組織�,獲取和實(shí)施,交付和支持�����,監(jiān)控)�����,共計(jì)34個(gè)IT業(yè)務(wù)流程。CoBIT為正在尋求控制實(shí)施最佳實(shí)踐 的管理者和IT實(shí)施人員提供了超過(guò)300個(gè)詳細(xì)的控制目標(biāo)�,以及建立在這些目標(biāo)上的廣泛的行動(dòng)指南。COBIT框架通過(guò)聯(lián)結(jié)業(yè)務(wù)風(fēng)險(xiǎn)�、 控制需要和技術(shù)手段來(lái)幫助滿足管理當(dāng)局多樣化的需求�����。它提供了通過(guò)一個(gè)范圍和過(guò)程框架的最佳慣例���,以形成一個(gè)可控和邏輯結(jié)構(gòu) 內(nèi)的活動(dòng)��。
五�、美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(加拿大特許會(huì)計(jì)師協(xié)會(huì))�����,《SysTrust TM系統(tǒng)可靠性原理和準(zhǔn)則 V20》(2001)
SysTrust服務(wù)是一種保證服務(wù)��,用于增強(qiáng)管理者�、客戶和商業(yè)伙伴對(duì)支持業(yè)務(wù)或某 種特別活動(dòng)的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊(cè)會(huì)計(jì)師承擔(dān)的保證服務(wù)包括:注冊(cè)會(huì)計(jì)師從可用性��、安全性�、完整性和可維護(hù)性四個(gè) 基本方面評(píng)估和測(cè)試系統(tǒng)是否可靠。
SysTrust定義在特定環(huán)境下及特定時(shí)期內(nèi),沒(méi)有重大錯(cuò)誤���、缺 陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)�����。系統(tǒng)界限由系統(tǒng)所有者確定��,但必須包括基礎(chǔ)設(shè)施����、軟件�����、人��、程序和數(shù)據(jù)這幾個(gè)關(guān)鍵部分���。 SysTrust的框架可升級(jí)���,企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來(lái)驗(yàn)證系統(tǒng)的可靠性。對(duì)系統(tǒng)四個(gè)標(biāo)準(zhǔn)的判斷組成對(duì)系統(tǒng) 整體可靠性的判斷��。注冊(cè)會(huì)計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對(duì)特定標(biāo)準(zhǔn)的可靠性做出 判斷��,不是對(duì)系統(tǒng)整體可靠性的判斷�����。
貴州ISO9001質(zhì)量體系認(rèn)證
自貢CCC認(rèn)證
德陽(yáng)ISO14001環(huán)境體系認(rèn)證
眉山強(qiáng)制性產(chǎn)品認(rèn)證
樂(lè)山ISO27001信息體系認(rèn)證
成都企標(biāo)企業(yè)管理有限公司-專業(yè)體系認(rèn)證咨詢
聯(lián)系人:周老師 聯(lián)系電話: 18980962772
