五大安全治理规范
五大安全治理规范
一、经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其它23个成员国,以 及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供1个通常性的框架以辅助信息系统 安全度量方法、操作流程和实践的制定和实施,鼓励关注信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促 进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包含法律、行动准则、技术评估、管 理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息 、信息系统和传送信息的人、通信设施的利益不由于信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准 则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完 整性);信息系统在必须时可用和有用(可用性)。机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用 信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也 可能来自内部或外部。信息安全事故的发生可能是由于技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。此外, 业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO17799(根据BS 7799第一部分制定)作为明确控制范围的单一参考点, 在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其它重要商业资 产一样,这种资产对组织有价值,因此必须恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户 访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在必须时能够访问信息和相关资产。信息安全保护 信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当 的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制 协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT必须传递组织为达到业务目标所需 的信息这个前提,至今已有3个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全 的必须,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进 1步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践 的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、 控制必须和技术手段来协助满足管理当局多样化的需求。它提供了通过1个范围和过程框架的最佳惯例,以形成1个可控和逻辑结构 内的活动。
五、美国申请注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
SysTrust服务是一种保证服务,用于增强管理者、顾客和商业伙伴对支持业务或某 种特别活动的系统的信任。SysTrust服务授权申请注册会计师承担的保证服务包含:申请注册会计师从可用性、安全性、完整性和可维护性4个 基本方面评估和测试系统是否可靠。
SysTrust定义在特定环境下及特定阶段内,没有重大错误、缺 陷或故障地运行的系统为可靠系统。系统界限由系统所有者明确,但必须包含基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统4个标准的判断组成对系统 整体可靠性的判断。申请注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。可是这种判断仅仅对特定标准的可靠性做出 判断,不是对系统整体可靠性的判断。
今日通过对《五大安全治理规范》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
五分钟带你解读两化融合和两化融合贯标
两化融合的背景
由于国内因素与国外因素的共同制约,民营经济进入到瓶颈期,穷则思变,正在面临的种种问题倒逼民营企业反思、突破,追求产业转型升级成为众多民营企业家们必然要做出的抉择与转变。
党的“十六大提出“以信息化带动工业化、以工业化促进信息化,也就是两化融合的概念首次被提出,到党的“十七大,进1步加强两化融合的深化,要“促进信息化与工业化融合,走新型工业化道路。连续多年组织开展了企业两化融合评估理论研究和应用实践工作,经过“实践-理论-实践多轮次循环,制定了两化融合评估规范国家标准,在评估规范的统一框架下,制定了通用两化融合评估指标体系和评价方法。通过工信部的大力宣传和鼓励,几年的行动,在企业中树立了一批标杆和示范单位,通过两化融合行动为企业的转型升级助力,实际的效果,让还在观望中的企业看到了希望,纷纷投入到两化融合的学习与实际行动中。
两化融合的定义
两化融合是指工业化和信息化深度融合,集中精力发展研发、设计、销售、管理等高附加值产业链环节,实现产业高端环节的集聚和产业的快速增长。
两化融合管理体系贯标的含义
两化融合管理体系贯标,是企业两化融合工作的提升和规范化。被认定两化融合贯标成功的企业相当于拥有一些项目资质,毫无疑问会带来一些国家政策项目和项目背后的资金,这也是能够积极推动两化融合贯标工作的因素。
两化融合管理体系贯标的意义
1、建立可持续优化的两化融合管理体系,规范企业两化融合工作;
2、协助企业打造信息化环境下的新型能力;
3、诊断出企业信息化的现状,必须改进的问题和方向;
4、推动企业的管理的提升和改善;
5、提高新技术企业业信息化的应用和绩效
6、申报国家及各地智能制造试点示范等小牧的基本条件。
