信息安全管理与管理体系

目前我国的信息安全管理主要依靠传统的管理方法和手段来实现,传统的管理模式缺乏现代的系统管理思想,而技术手段又有其局限性。保护信息安全,国际公认的、最有效的方式是采用系统的方法(管理+技术)。目前国际性标准 ISO/IEC 17799就是这样一套系统的信息安全管理方法。本栏目特别邀请出版了《信息安全管理概论—BS7799理解与实施》、《BS7799和 ISO/IEC17799信息安全管理体系及其认证认可相关知识问答》两书的科飞管理咨询有限公司的顾问专家,阐述运用相关国际标准实施信息安全管理体系应该注意的问题。

信息安全管理系列专题之六——PDCA过程模式在信息安全管理体系的应用

BS7799是国际上具有代表性的信息安全管理体系标准，其第二部分《信息安全管理体系规范》，是组织评价信息安全管理体系有效性，符合性的依据，它的最新版本（BS 7799-2：2002是2002上9月5日修订的。

信息安全管理系列专题之七 信息安全管理体系之风险评估

风险评估是信息安全管理体系(ISMS)建立的基础，是组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。

信息安全管理体系的文件化

文化化管理模式为当前管理体系所普遍采用。这种模式主张，在管理某项工作或活动时，应建立和实施程序，程序的执行需要保留可追溯的记录。文件可以沟通意图，统一行动。通过文件落实责任、加强相关接口协调、提高工作的系统性和可追溯性，避免推诿扯皮、避免依赖经验、习惯和长官意志、避免无章可依，随意为之。

信息安全管理系列专题之八 让信息安全体系走入企业

信息安全是企业关注的永恒话题。信息技术的应用,或许在一段时期内使企业有了“安全感”,但随着企业系统的日益复杂和安全需求的不断增加,建立与管理相结合的信息安全机制和体系成为必然趋势。本栏目举办“信息安全管理系列专题”,就是通过介绍目前为全球所关注的信息安全管理体系规范,让企业了解,信息安全不仅是技术问题,更是与企业的安全战略、业务目标和管理体系紧密结合的、一整套体系的建立和持续优化过程。我们希望这样一个抛砖引玉的专题内容,使读者在了解信息安全管理领域的最新进展和相应知识要点之外、还能激发思考与讨论,进而付诸实践。因此,本专题的最后一期,邀请科飞管理咨询有限公司吴昌伦、王毅刚先生结合一个虚拟电信运营商A公司的管理细节,进一步介绍读者关心的“为什么要建立信息安全管理体系,以及建立这个体系需要具备什么条件”等话题。

BS7799-2:2002及风险评估

介绍了BS7799-2:2002《信息安全管理体系规范》的由来、其修订版的特点及其与其他管理标准的相容性。对于建立信息安全管理体系的重点部分—风险评估,亦作了简要的介绍。

信息安全风险评估的策划

提出了组织在进行信息安全风险评估时,在策划阶段应关注的一些问题,以保证整个风险评估过程的有效性。

我国可再生能源发展现状与展望

在国家计委、国家科委和国家经贸委共同组织编制的《1996～2000年中国新能源和可再生能源发展纲要》中,明确提出了我国今后15年可再生能源发展的总目标,即“提高转换效率,降低生产成本,增大在能源结构中所占比例。新技术、新工艺有大的突破,国内外已成熟的技术要转化为生产力,实现规模化生产。

信息安全策略研究(二)

(二)信息安全策略的主体内容 信息安全策略通常不是一篇文档,根据组织的复杂程度还可能分成几个层次,其主题内容各不相同.但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的,提供足够的信息,保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的,是适用于哪些信息资产和处理过程的.

信息安全策略研究(一)

在当前形势下对组织信息安全策略的必要性、开发和贯彻实施做了有益探讨,提供了一个成文的《Email安全策略》,并对信息安全策略的优劣评价考虑的因素提供了参考。

对“众数”教学的疑惑

教材中的数学概念、定义应该具有科学性．数学定义应浅显易懂，准确无误．数学概念含混不清，不能概括所有的问题现象．致使解决问题难以下手，总存在模棱两可的心理．现将我在教学“众数”时产生的疑惑供同行赐教．