论文部分内容阅读
随着科技和经济的迅速发展,信息日渐遍布世界各个角落、各个行业,不仅成为各国重要的战略资源,也深深的影响了人们的生产和生活方式。信息的开发、利用成为当前各国研究的热点,美国通过对信息技术和信息资源的有效利用,构建了信息安全体系,促进了本国经济和科技的迅猛发展。随着信息时代的快速发展,信息安全隐患也日益突出,比如计算机病毒、木马、黑客等,这不仅关系到个人、企业、部门、行业,甚至关乎国家安危。当前,我国也面临同样地挑战,企业基本都在组织中引入了信息系统,以降低成本,增加效益,但网络病毒、犯罪率居高不下,严重影响了企业的业务运转。“没有规矩不成方圆”,同样在信息安全领域,也应该制定一系列相关标准与法则更好的约束和引导企业,促进信息时代朝着良性、健康的方向发展。标准的含义就是科学、技术和实践经验的总结。橘皮书TCSEC《可信计算机系统评估准则》用于对操作系统的评估,是IT历史上的第一个安全评估准则,随着信息时代的发展,到了20世纪90年代信息安全技术和管理方面的标准引起了世界各国的普遍关注。随着经济的发展,我国相关部门十分重视信息资源的开发和利用,信息安全建设的步伐也正在逐步加快,取得了一定的成绩,等同采用了许多国际信息安全方面的标准。但是信息安全建设的范围很广,包括政治、经济、文化、国防安全,信息安全标准化工作也十分艰巨,需要长期的努力,我国与国际上很多国家还是存在一定的差距,这就需要我们更全力以赴加强我国信息安全建设。ISO27000系列标准是国际标准化组织ISO (International Organization for Standardization)特意为信息安全管理方面预留的标准序列号,具体包含了ISO27000、ISO27001、ISO27002、ISOO27003、ISO27004、ISO27005、ISO27006等八个标准,其中ISO27000系列的主标准是ISO27001,本文也将会予以重点研究。SSE-CMM (Information technology Systems security engineering Capability maturity mode)信息安全工程能力成熟度模型属于过程参考模型,在信息安全的领域内它关注信息安全具体的实现过程及这些过程的成熟度。在信息安全建设方面ISO27001和SSE-CMM可以相互借鉴应用于组织中,IS027001最终的目标是构建一个相对完善的信息安全管理体系,并制定了一些相关的的控制措施来实现,而SSE-CMM提出的一些具体过程域也可以帮助组织者去建立完善的信息安全系统。本文主要分为五个部分:第一章绪论,主要有研究意义、方法和创新;第二章是研究综述与基本理论,主要介绍了国内外相关信息安全标准内容及现状;第三章主要对ISO27000系列标准与SSE-CMM进行了介绍;第四章是ISO27000系列标准与SSE-CMM标准的比较;最后第五章,通过第四章对比分析进一步提出二者的相互借鉴与融合。本文的重点在后两章,通过研究发现:在实施流程过程中,二者在信息安全需求分析方面的流程相似,都是通过风险评估来确定信息安全需求;ISO27000系列标准的重点是ISO27001以及ISO27002两个标准,它的优势体现在最佳控制实践相对完善,安全管理比较全面等;SSE-CMM则通常用于过程改进、能力评估、保证,因此二者可以优势互补,相互借鉴。