五大安全治理規(guī)范

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

一、經(jīng)濟(jì)合作和發(fā)展組織，《信息系統(tǒng)安全指南》（1992）

《信息系統(tǒng)安全指南》用于協(xié)助國(guó)家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。美國(guó)、OECD的其他23個(gè)成員國(guó)，以及十幾個(gè)非OECD成員國(guó)家都批準(zhǔn)了這一指南。該指南旨在提高信息系統(tǒng)風(fēng)險(xiǎn)意識(shí)和安全措施，提供一個(gè)一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實(shí)踐的制定和實(shí)施，鼓勵(lì)關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作，促進(jìn)人們對(duì)信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)，方便國(guó)家間和國(guó)際間信息系統(tǒng)的開發(fā)、使用和安全防護(hù)。這個(gè)框架包括法律、行動(dòng)準(zhǔn)則、技術(shù)評(píng)估、管理和用戶實(shí)踐，及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標(biāo)桿，通過此標(biāo)桿測(cè)量進(jìn)展。

二、國(guó)際會(huì)計(jì)師聯(lián)合會(huì)，《信息安全管理》（1998）

信息安全目標(biāo)是“保護(hù)依靠信息、信息系統(tǒng)和傳送信息的人、通信設(shè)施的利益不因?yàn)樾畔C(jī)密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準(zhǔn)則時(shí)可認(rèn)為達(dá)到信息安全目標(biāo):數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（機(jī)密性）;數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）;信息系統(tǒng)在需要時(shí)可用和有用（可用性）。機(jī)密性、完整性和可用性之間的相對(duì)優(yōu)先級(jí)和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。 信息安全因急速增長(zhǎng)的事故和風(fēng)險(xiǎn)種類而日益重要。對(duì)信息系統(tǒng)的威脅既有可能來自有意或無意的行動(dòng)，也可能來自內(nèi)部或外部。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問或病毒。另外，業(yè)務(wù)依賴性（依靠第三方通信設(shè)施傳送信息，外包業(yè)務(wù)等等）也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。

三、國(guó)際標(biāo)準(zhǔn)化組織，《ISO 17799國(guó)際標(biāo)準(zhǔn)》（最新版是2005）

ISO 17799（根據(jù)BS 7799第一部分制定）作為確定控制范圍的單一參考點(diǎn)，在大多數(shù)情況下，這些控制是使用業(yè)務(wù)信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，像其他重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對(duì)組織有價(jià)值，因此需要恰當(dāng)保護(hù)它。ISO 17799認(rèn)為信息安全有下列特征:機(jī)密性，確保信息只被相應(yīng)的授權(quán)用戶訪問;完整性，保護(hù)信息和處理信息程序的準(zhǔn)確性和完整性;可用性，確保授權(quán)用戶在需要時(shí)能夠訪問信息和相關(guān)資產(chǎn)。信息安全保護(hù)信息不受廣泛威脅的損毀，確保業(yè)務(wù)連續(xù)性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機(jī)遇。安全是通過實(shí)施一套恰當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。該控制措施由策略、實(shí)踐、程序、組織結(jié)構(gòu)和軟件組成。

四、信息系統(tǒng)審計(jì)和控制協(xié)會(huì)，《信息和相關(guān)技術(shù)的控制目標(biāo)》（CoBIT）

CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提，至今已有三個(gè)版本。除了鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外，CoBIT還考慮到組織對(duì)信用、質(zhì)量和安全的需要，它提供了組織用于定義其對(duì)IT業(yè)務(wù)要求的幾條信息準(zhǔn)則:效率、效果、可用性、完整性、機(jī)密性、可靠性和一致性。CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域（計(jì)劃和組織，獲取和實(shí)施，交付和支持，監(jiān)控），共計(jì)34個(gè)IT業(yè)務(wù)流程。CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提供了超過300個(gè)詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動(dòng)指南。COBIT框架通過聯(lián)結(jié)業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)手段來幫助滿足管理當(dāng)局多樣化的需求。它提供了通過一個(gè)范圍和過程框架的最佳慣例，以形成一個(gè)可控和邏輯結(jié)構(gòu)內(nèi)的活動(dòng)。

五、美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(加拿大特許會(huì)計(jì)師協(xié)會(huì))，《SysTrust TM系統(tǒng)可靠性原理和準(zhǔn)則V20》（2001）

SysTrust服務(wù)是一種保證服務(wù)，用于增強(qiáng)管理者、客戶和商業(yè)伙伴對(duì)支持業(yè)務(wù)或某種特別活動(dòng)的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊(cè)會(huì)計(jì)師承擔(dān)的保證服務(wù)包括:注冊(cè)會(huì)計(jì)師從可用性、安全性、完整性和可維護(hù)性四個(gè)基本方面評(píng)估和測(cè)試系統(tǒng)是否可靠。

SysTrust定義在特定環(huán)境下及特定時(shí)期內(nèi)，沒有重大錯(cuò)誤、缺陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)界限由系統(tǒng)所有者確定，但必須包括基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)這幾個(gè)關(guān)鍵部分。SysTrust的框架可升級(jí)，企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來驗(yàn)證系統(tǒng)的可靠性。對(duì)系統(tǒng)四個(gè)標(biāo)準(zhǔn)的判斷組成對(duì)系統(tǒng)整體可靠性的判斷。注冊(cè)會(huì)計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對(duì)特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對(duì)系統(tǒng)整體可靠性的判斷。(amt)