隨著社會資訊化的不斷發展,資訊本身蘊含了巨大的價值,成為財富的主要**之一。因此,資訊保安的保障建設工作得到了越來越多組織和企業的關注和重視。為了有效管理組織內部與資訊保安相關的風險,基於iso27001建立的資訊保安管理體系(isms)被認為是最全面有效的方式。
通常企業在建設資訊保安管理體系(isms)時,可以根據自身需要,引入isms標準,來指導其isms建設,如國際標準iso27001。企業可以自行實施,也可以請外部諮詢顧問,來協助企業進行整個體系建設的過程。從資產收集和分析、風險評估,到建立資訊保安管理的框架,並從資訊系統的所有層面進行整體安全建設,並將其文件化,保持檔案化的資訊保安管理體系。進行審核與批准並發布實施,資訊保安管理體系進入執行階段。組織通過加強運作力度,充分發揮體系本身的各項功能,並通過內審,自我安全檢查等手段不斷完善體系和執行,並最終通過外審獲得資質認證。
在以往國內實施isms建設的組織當中,大多是按照這樣的過程來進行的。isms建設的實施人員,除了要具備必要的知識技能和管理意識外,還要面臨大量具體、繁瑣而枯燥的工作,例如對資訊資產的收集和維護過程,以及對其進行風險評估時的大量文案工作;當isms體系建立起來以後,對體系的審核與維護過程非常複雜,面臨整改措施的跟蹤、流程的運轉、資訊的管理、知識庫的沉澱等問題。
在管理實踐過程中,將管理工作資訊化是一種提高管理效率、落實管理效果的常見手段。那麼,將資訊保安管理體系(isms)建設和運轉過程固化到資訊系統中是否可行呢?從體系的實施過程來說,國內已經有不少企業和組織都建立了資訊保安管理體系,可以將風險管理與控制體系建設方法及過程在軟體系統中固化下來,並建立與各種資訊保安風險控制相關,與法規制度、標準指南相對應的資訊保安風險控制的知識庫。
谷安天下作為國內領先的資訊保安諮詢機構,協助了上百家大型企業建立isms資訊保安管理體系。很多客戶提出了這個問題,希望推薦資訊系統來協助iso27001體系的長期管理與維護。為此,谷安天下研發團隊結合多年的資訊保安管理體系建設經驗及知識庫,定製了資訊保安風險評估與isms體系管理系統(goo-isms),得到了很多客戶的歡迎和好評。
goo-isms首先為不同的安全角色定製了不同的檢視,isms管理小組成員,各部門安全管理員、部門和公司領導登陸系統後分別能看到自己在資訊保安工作中用到的資訊。
化繁為簡的風險管理工作
系統固化了多種資訊保安風險評估方**。各部門安全管理員從軟體自帶的風險知識庫中選擇各類資產的推薦風險,快速完成風險評估工作。而isms安全管理小組成員則能非常方便的完成對各類發現的風險進行分析、統計、報告等,並能對歷次評估的風險結果進行比對,了解風險的趨勢變化,這些都是以前靠手工統計難以完成的。
體系執行的協調平台
體系建立完成後,iso27001體系的執行,整改措施的跟蹤,體系的內審、安全檢查、管理評審、外部審核等工作,通過軟體系統也很容易進行管理落地,方便isms管理小組開展工作,真正做到了體系的長期有效執行。
建立和維護iso27001資訊保安管理體系是一條漫長的路,使用適當的資訊系統進行支援,建立全生命週期的資訊管理系統,符合pdca,大大減輕組織的管理成本和資源投入,這也是isms體系建設的必然發展趨勢。(谷安天下 溫旭)
ISO 9126 軟體質量模型
在軟體開發過程中,軟體的質量是乙個重要的因素,而軟體體系結構在整個過程中顯得尤為重要。軟體的質量需求是在開發初期的非功能性需求,對軟體的體系結構影響很大。但是並不意味著一味的追求質量,必須在效率和質量之間尋求乙個平衡點。為了實現高的軟體質量,軟體體系結構必須具有良好地可移植性,可靠性,可維護性,適應...
ISO9126軟體質量模型
iso9126軟體質量模型,是評價軟體質量的國際標準。6個特性27個子特性組成。iso iec9126軟體質量模型是一種評價軟體質量的通用模型,包括3個層次 1 質量特性 2 質量子特性 3 度量指標 功能性如xia 適合性 軟體產品為指定的任務和使用者目標提供一組合適功能的能力。1 軟體提供了使用...
軟體質量特徵 ISO9126
iso iec9126軟體質量模型是一種評價軟體質量的通用模型,包括3個層次 1 質量特性 2 質量子特性 3 度量指標 其中各六個質量特性與二十七個質量子特性的關係如下表 1.功能性 是指當軟體在指定條件下使用,軟體產品滿足明確和隱含要求功能的能力,即適合性 並且能夠得到正確或相符的結果或效果,即...