The Role of Information Security Development （ISD） in Effective Information Security Management （ISM） Implementation in the Banks： A Nigerian Case

This research discusses the role of information security development （ISD） using organizational factors such as information security plans, information security awareness, perceived quality training programs, information security policies and procedures, and organizational culture in effective information security management （ISM） implementation in the banks （a Nigerian case）. This paper explores the existing literature and a proposed framework that consists of ISD such as information security plans, information security awareness, perceived quality training programs, information security policies and procedures, and organizational culture in ISM implementation. ISD factors are found to be statistically significant, because it motivates an organization to implement effective ISM in the banks. Hence, it could be said that the role of ISD practices in an effective implementation of ISM among banks in Nigeria will be of great value.

通用准则(CC)与信息安全管理体系(ISMS)的比较分析

本文从CC和ISMS的发展过程、现状、应用的风险模型以及框架设计四个方面进行了比较。

ISMS概念模型探索

ISO 27001给出了信息安全管理体系要求方面的最佳实践标准,但并没有说明体系要求方面内在的逻辑关系。该文将ISO 27001分解为过程方法要求和安全控制要求2个部分,在过程方法上按照PDCA的循环模型重新解构了过程方法要求之间的关系,在安全控制上按照主体访问客体的方式重组了安全控制要求之间的关系。

信息安全管理测量的集成综合评价方法

把系统评价方法应用到信息安全管理测量的领域,依据ISO/IEC27004《信息安全管理测量》标准,为信息安全管理体系的测量提出一种层次分析法与多级模糊综合评价的集成模型。实例应用表明,该方法能把专家的主观定性判断转化为客观性较好的定量评价结果。在目前ISO/IEC27004尚未提供可操作性强的测量方法的状况下,不失为一种有效的综合评价方法。

国际信息安全管理标准的相关研究

从研究国际信息安全管理标准的角度出发,介绍了国际信息安全管理标准化的研究现状和几个重要的信息安全管理标准,分析了国际信息安全管理标准路线图研究的发展趋势,最后介绍了我国信息安全管理标准的研究现状与展望。

信息安全合规性的实施路线探讨

本文在分析现有规范性文件的基础上,探讨了信息安全合规性的实施路线,主要给出了信息安全管理体系或/和信息系统安全等级保护两条比较可行的思路。

从标准营销角度重新审视信息安全管理体系

论文结合ISO/IEC 27000标准族的发展过程,从标准营销的角度总结了3个信息安全管理体系从诸多标准中脱颖而出的原因。

信息安全管理体系在国内的发展及其产业链

首先分析了ISO/IEC 27000标准族的架构及其进展,然后介绍了对应的国家标准的开发进展,最后概述了对应的管理体系产业链。

信息安全管理体系审核与信息系统安全等级保护测评的整合实施初探

在信息安全实践中,许多企业既需要实施信息系统安全等级保护,又需要部署信息安全管理体系,这两者在诸多方面存在一致之处。本文对信息安全管理体系审核与信息系统安全等级保护测评从过程到控制措施的整合进行了初步的探讨,以最大化地降低两者的重复成本,提高组织的信息安全工作效率。

ISO/IEC 27001:2013概述与改版分析

本文简要介绍了ISO/IEC 27001:2013,并分别按正文和附录A与ISO/IEC 27001:2005进行了对比,总结了其主要的变化之处,可以作为已经部署信息安全管理体系(ISMS)的用户作为升级参考。

科研院所安全信息系统管理体系构建

对集团内相关安全机制和管理方法进行了研究。在此基础上,提出了对“系统、网络、运维、用户”四个层面的信息安全管理举措,形成了统一的一体化安全管理体系,实现了从管理理念到技术保障、系统建设、运维支持和用户应用的全方位信息安全管理架构。在有关单位执行过程中,保证了系统的安全性、完整性、实用性;能有效提高安全信息系统的安全管理水平和安全保障能力。该体系对安全信息系统建设、评价、运维具有指导作用。

互联网资源协作业务信息安全管理系统探讨

互联网资源协作业务是指利用架设在中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供互联网的业务服务。在网络信息安全监管形势下,对于互联网业务、公有云、IDC业务的重视程度逐渐提高,本文从信息安全管理系统架构、与SMMS关系,功能架构等角度出发,探讨基于弹性计算、数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务的信息安全管理系统的建设。

智慧城市信息安全影响因素研究

智慧城市的信息安全问题随着建设进程的不断推进而日益突出,为了提高信息安全风险应对能力,文章基于信息生态理论视角确立了智慧城市信息安全影响因素指标体系,并将决策实验分析法与解释结构模型法相结合,确立各因素间的作用关系,识别出关键影响因素,建立5级3阶的结构模型,使其更直观地呈现层级关系及作用路径。结果表明,信息安全管理制度和信息安全知识的教育与宣传、公众信息安全意识是关键影响因素,信息安全法律环境是根本影响因素,并针对分析结果提出相应建议。

电力系统数字安全智能系统研究

以电力系统数字安全管理为目标,采用人工智能技术,构建数字化电力系统数字安全智能模型,研究电力系统数字安全智能系统设计和实现方法,提出了新的数据安全智能系统解决方案,同时开发了一套新的电力系统数据安全智能系统。具有强大深度学习能力、清晰规则引擎的特点,能够广泛应用到现代化电力企业信息安全和数据安全管理工作中,对促进电力企业新型数字安全智能化管理具有重大的现实意义。

结合安全域的思想建设安全运营中心

安全域的规划和安全运营中心的建设均是安全建设过程中的重要工作,二者的有机结合可以使网络更加清晰,安全管理更加有效。特别是对金融行业,此建设思路能更有效地计划、实施、检验和改进ISO/IEC17799国际标准中提出的信息安全管理系统(ISMS),也是信息安全技术手段向管理手段过渡的重要里程碑。

检察院信息安全主要问题与其对策初探

虽然目前中国各级检察院的信息化程度提高了,但信息安全问题仍不容忽视。加强信息安全管理对于检察事业稳健发展,具有深远的意义。为了防止信息安全事故或事件的发生,尽管有相应技术防范措施,但是人为等因素造成的安全风险仍然占有很高的比率。检察院的信息系统一个显著特征就是对安全性有着严格的要求,因此如何确保信息安全是当前各级检察院在信息化过程中关注的重点之一。文章通过介绍了某检察院在建设ISMS中的经验,为各级检察院提供参考素材。