四川大学硕士论文-电信运营企业网络信息安全管理体系研究(3)

任何事物都不是绝对的。我们也必须承认不存在绝对的安全，只有相对的安全，今天看起来再牢不可破的系统，最终也会经不起时间的攻击！信息安全技术追求的不是滴水不漏的完美，这其实也是不可能达到的，而是根据系统的特性订出系统所需要的安全强度。理论可以追求无限的完美，技术只能实现有限的平衡。因此，对于信息安全，无论技术的能力发展到什么程度，它始终只是一种工具。所以今天信息安全的各项措施的手段中，信息安全管理成为相对薄弱的环节。在有限的资源下，合理对信息安全技术和信息安全管理分配资源，抓住问题的关键点是解决问题的关键，提高信息安全管理水平是保障信息安全中最快捷最有效的举措。

在信息安全系统中，不同的手段对应不同的威胁。信息安全管理和信息安全技术的比较如下表３—１所示：

表３—１：信息安全技术和管理对比表

信息安全

涉

包含

的内容涉及对象

领域

信息

信

息安

全技

术安全的各项产品，比ＩＴ系统如防火墙、入侵检测

等产品。软硬件技术和网络技术技术漏洞和攻击等各种信息安全技术，包括密码技术、ＩＴ实现手段及的对应的威胁和风险源自网络的

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运营企业同络信息安全管理体系研究

ＩＴ系统

ｅ

息安

全管

理信息安全的支撑、监管、控制。有关系的建‘，僖凌篡磨黧持；…用特定的专职机构．“妒”，＃《ｗ！～。法律、管源自于ＩＴ系统干系人的各种依据选定的信息安全设和维护框架和模型，在相关者、使用者、范围内确立相关策管理者等的

略，并实行风险评估

全体人员

和风险管理面等各方育等失、错误、人为制理、教破坏因素，包括过造的漏洞和跨患

３．２信息安全管理的主要的法规、典型标准和方法

３．２．１萨班斯法案

３．２．１．１萨班斯法案及ＣＯＳＯ内控模型

针对安然、世通等财务欺诈事件，美国国会出台了｛２００２年公众公司会计改革和投资者保护法案》，简称萨班斯（ＳＯＸ）法案。制定该法案的目的是提高公司信息披露的准确性和可靠性，增加公司责任，为上市公司会计和审计的小适当行为规定更加严厉的处罚，同时保护投资者。该法案适用于所有根据美国１９３４年证券交易法向ＳＥＣ＜证券交易委员会）或者被要求向ＳＥＣ递交定期报告的公司，包括美国和非美国公司，同时也包括已经上市的我国各大电信运营商【８ｌａ

萨班斯法案的基木目标是什么？萨班斯法案的第一句话是：“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”这句话较好地阐述了萨班斯法案的基本目标【９ｌ。那就是依靠法律的力量提高企业财务状况报表的真实性，提高投资者对企业的信心。

１９９２年，美国五家会计协会（注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会）组成了一个委员会叫ＣＯＳＯ（Ｃｏｎｍｉｔｔｅｅ

Ｏｒｇａｎｉｚａｔｉｏｎｓ）［１０ｌ。ｏｆＳｐｏｎｓｏｒｉｎｇ

ＣＯＳＯ委员会把内部控制系统化，提出内部控制的三大目的：即取得经营效果和效率，确保财务报告的可靠性和遵循适当的法律法规。按照ＣＯＳＯ的解释，内部控制是一个过程，有企业存在，就有内部控制。内部控制是企业所有人的事情，企业的流程和制度制约每一个人。

ＣＯＳＯ组织提出了著名的ＣＯＳＯ模型，认为内部控制主要由控制环境、风险评估、控制活动、信息交流、监督五项要素构成【１１１。１２

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士挚位论文电信运营企业网络信息安全管理体系研究３．２．１．２萨班斯法案与信息安全

萨班斯法案共有十一章，核心内容是确保公司财务信息的真实性、完整性并要求公司承担美国法律规定的刑事责任。强化企业内部控制。但这些工作的基础都是基于ＩＴ实现。ＩＴ系统的信息安全将对最终财务报告产生直接影响。为遵循萨班斯法案，企业内部受影响最大的是ＩＴ部门。原有的ＩＴ系统因投资、技术等因素在设计上可能只满足基本业务需求，而没有考虑信息安全的因素。例如，系统可能没有为审计和评审员保存相关的变更记录的日恚系统等。萨班斯法案以法律的形式严格确立业务流程，应用和信息基础设施的完整性、可用性。企业的ＩＴ系统尤其是信息安全系统部分将有一个重大的整改。企业可能重新确立信息安全系统框架，设定信息安全系统目标，并付诸实施。

为遵从ＳＯＸ方案，保证会计帐务、财务报告、流程、财务应用和底层ＩＴ基础结构的完整性、可用性和准确性要求ＩＴ在三方面有所准备如表３－－２所示；【１２Ｊ

表３—２：萨班斯法案涉及的审计层次表

财务账目与财

务报告应用

支

持流程流程底层基础结构支持应用帐务、信息等预算、核

算等的基础结果（数据中心、网络和

安全）

内部控制体系、流程系统

审计

ＩＴ审计一

萨班斯法寨给电信企业带来了相当大的成本支出和财务压力。使得企业得到一个及时修补、更正企业流程和提升企业信息系统安全性的机会。避免漏洞堆积到一定的极限而爆发出更大的缺赂。同时给电信企业高管层规定了更多的责任和压力。将推进我国电信企业流程、商务流程管理等相关系统的转变和改革。增强直接对ＩＴ系统进行充分的控制。因此，电信企业需要对ＩＴ基础架构和系统进行改造和完善萨班斯法案要求完善与财务报告有关的ＩＴ环境的控制。法案的要求，企业需要对ＩＴ基础架构的安全性和信息系统在鉴别认证、访问控制、内容安全、审计等方面进行相应的改造和加固，建立风险管理系统、开展专业咨询、建设和改造生产、计费等系统【１３】。

本文是作者参与国内某大型电信运营商省级单位的信息安全分析建设的一些工作经历和成果。主要的分析对象是基于安全域的信息安全策略和信息安全管理体系。

四川大学工程硕士学位论文电信运蕾企业孵络信息安全管理体系研究３．２．２ＩＳＭＳ的典型标准－－ＢＳ７７９９

ＢＳ３．２．２．１７７９９概述

ＢＳ７７９９作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段，该标准通过保证信息的机密性，完整性和可用性来管理和保护组织的所有信息资产，通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制，组织按照这套标准管理信息安全风险，可持续提高管理的有效性和不断提高自身的信息安全管理水平，降低信息安全对持续发展造成的风险，最终保障组织的特定安全目标得以实现【１４】。

新版本Ｂｓ７７９９—２：２００２于２００２年９月５日在英国发布。新版本同ＩＳ０９００１：２０００（质量管理体系）和ＩＳＯ１４００１：１９９６（环境管理体系）等国际知名管理体系标准采用相同的风格，使信息安全管理体系更容易和其它管理体系相协调【１５】。

３．２．２．２ＢＳ７７９９包含的内容

第一部分（ＢＳ７７９９一１）信息安全管理实施规则包括十大管理要项，三十六个执 …… 此处隐藏：2324字，全部文档内容请下载后查看。喜欢就下载吧 ……