五大安全治理規(guī)范

時間：2021-12-31作者：中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司瀏覽：174

 一、經(jīng)濟合作和發(fā)展組織，《信息系統(tǒng)安全指南》（1992） 

     《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。美國、OECD的其他23個成員國，以 及十幾個非OECD成員國家都批準(zhǔn)了這一指南。該指南旨在提高信息系統(tǒng)風(fēng)險意識和安全措施，提供一個一般性的框架以輔助信息系統(tǒng) 安全度量方法、操作流程和實踐的制定和實施，鼓勵關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作，促進人們對信息系統(tǒng)的信心，促 進人們應(yīng)用和使用信息系統(tǒng)，方便國家間和**間信息系統(tǒng)的開發(fā)、使用和安全防護。這個框架包括法律、行動準(zhǔn)則、技術(shù)評估、管 理和用戶實踐，及公眾教育或宣傳。該指南目的是作為**、公眾和私有部門的成員，通過此成員測量進展。 

     二、**會計師聯(lián)合會，《信息安全管理》（1998） 

     信息安全目標(biāo)是“保護依靠信息 、信息系統(tǒng)和傳送信息的人、通信設(shè)施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準(zhǔn) 則時可認(rèn)為達(dá)到信息安全目標(biāo):數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（機密性）;數(shù)據(jù)和信息保護不受未經(jīng)授權(quán)的修改（完 整性）;信息系統(tǒng)在需要時可用和有用（可用性）。機密性、完整性和可用性之間的相對**級和重要性根據(jù)信息系統(tǒng)中的信息和使用 信息的商業(yè)環(huán)境而不同。 信息安全因急速增長的事故和風(fēng)險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動，也 可能來自內(nèi)部或外部。信息安全事故的發(fā)生可能是因為技術(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問或病毒。另外， 業(yè)務(wù)依賴性（依靠第三方通信設(shè)施傳送信息，外包業(yè)務(wù)等等）也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。 

     三、**標(biāo)準(zhǔn)化組織，《ISO 17799**標(biāo)準(zhǔn)》（較新版是2005） 

     ISO17799（根據(jù)BS 7799**部分制定）作為確定控制范圍的單一參考點， 在大多數(shù)情況下，這些控制是使用業(yè)務(wù)信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，像其他重要商業(yè)資 產(chǎn)一樣，這種資產(chǎn)對組織有**，因此需要恰當(dāng)保護它。ISO 17799認(rèn)為信息安全有下列特征:機密性，確保信息只被相應(yīng)的授權(quán)用戶 訪問;完整性，保護信息和處理信息程序的準(zhǔn)確性和完整性;可用性，確保授權(quán)用戶在需要時能夠訪問信息和相關(guān)資產(chǎn)。信息安全保護 信息不受廣泛威脅的損毀，確保業(yè)務(wù)連續(xù)性，將商業(yè)損失降至較小，使投資收益較大并抓住各種商業(yè)機遇。安全是通過實施一套恰當(dāng) 的控制措施實現(xiàn)的。該控制措施由策略、實踐、程序、組織結(jié)構(gòu)和軟件組成。 

     四、信息系統(tǒng)審計和控制 協(xié)會，《信息和相關(guān)技術(shù)的控制目標(biāo)》（CoBIT） 

     CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需 的信息這個前提，至今已有三個版本。除了鼓勵以業(yè)務(wù)流程為中心，實行業(yè)務(wù)流程負(fù)責(zé)制外，CoBIT還考慮到組織對信用、質(zhì)量和安全 的需要，它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進 一步把IT分成4個領(lǐng)域（計劃和組織，獲取和實施，交付和支持，監(jiān)控），共計34個IT業(yè)務(wù)流程。CoBIT為正在尋求控制實施較佳實踐 的管理者和IT實施人員提供了**過300個詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動指南。COBIT框架通過聯(lián)結(jié)業(yè)務(wù)風(fēng)險、 控制需要和技術(shù)手段來幫助滿足管理當(dāng)局多樣化的需求。它提供了通過一個范圍和過程框架的較佳慣例，以形成一個可控和邏輯結(jié)構(gòu) 內(nèi)的活動。 

     五、美國注冊會計師協(xié)會(加拿大特許會計師協(xié)會)，《SysTrust TM系統(tǒng)可靠性原理和準(zhǔn)則 V20》（2001） 

     SysTrust服務(wù)是一種保證服務(wù)，用于增強管理者、客戶和商業(yè)伙伴對支持業(yè)務(wù)或某 種特別活動的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊會計師承擔(dān)的保證服務(wù)包括:注冊會計師從可用性、安全性、完整性和可維護性四個 基本方面評估和測試系統(tǒng)是否可靠。 

     SysTrust定義在特定環(huán)境下及特定時期內(nèi)，沒有重大錯誤、缺 陷或故障地運行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)界限由系統(tǒng)所有者確定，但必須包括基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)這幾個關(guān)鍵部分。 SysTrust的框架可升級，企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來驗證系統(tǒng)的可靠性。對系統(tǒng)四個標(biāo)準(zhǔn)的判斷組成對系統(tǒng) 整體可靠性的判斷。注冊會計師也能單獨判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標(biāo)準(zhǔn)的可靠性做出 判斷，不是對系統(tǒng)整體可靠性的判斷。


中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司專注于ISO9001質(zhì)量管理體系認(rèn)證,ISO14001環(huán)境管理體系認(rèn)證,ISO45001職業(yè)健康安全管理體系認(rèn)證,IATF16949認(rèn)證,GB/T27922售后服務(wù)認(rèn)證,GB/T27925品牌認(rèn)證,GB/T31950誠信管理體系認(rèn)證,ISO39001道路交通安全管理體系認(rèn)證,ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證,GB/T35770合規(guī)管理體系認(rèn)證等

• 詞條

  詞條說明

• SA8000認(rèn)證的過程

  準(zhǔn)備：了解SA8000標(biāo)準(zhǔn)的要求，評估企業(yè)的現(xiàn)狀和與標(biāo)準(zhǔn)的符合程度，改進計劃。實施：根據(jù)SA8000標(biāo)準(zhǔn)的要求，建立和實施符合標(biāo)準(zhǔn)的管理體系，包括政策、程序、培訓(xùn)和溝通等。內(nèi)部審核：進行內(nèi)部審核，評估管理體系的有效性和符合性，發(fā)現(xiàn)問題并進行改進。外部審核：選擇認(rèn)證機構(gòu)進行外部審核，審核員會對企業(yè)的文件、記錄和實際運營進行檢查和評估，以確認(rèn)其符合SA8000標(biāo)準(zhǔn)的要求。認(rèn)證頒發(fā)：如果企業(yè)通過了認(rèn)證審

• ISO9001：設(shè)計開發(fā)評審的程序

  1)申請??????? 某個階段工作按規(guī)定完成后，由設(shè)計項目負(fù)責(zé)人填寫設(shè)計評審申請報告，報總設(shè)計師審批：設(shè)計項目可以是全系統(tǒng)，也可以是分系統(tǒng)；可以是整機，也可以是部件或零件。(2)準(zhǔn)備??????? 在申請的同時，設(shè)計者或設(shè)計部門應(yīng)做好有關(guān)的準(zhǔn)備工作，并向評審

• ISO9001質(zhì)量管理體系基本思想

  任何組織首先關(guān)心的是其產(chǎn)品質(zhì)量。影響產(chǎn)品質(zhì)量的因素很多，單純依靠檢驗,只不過是從生產(chǎn)的產(chǎn)品中挑出合格的產(chǎn)品，不可能以較佳成本持續(xù)穩(wěn)定地生產(chǎn)合格品。??一個組織所建立和實施的質(zhì)量體系應(yīng)能滿足該組織規(guī)定的質(zhì)量目標(biāo)，確保影響產(chǎn)品質(zhì)量的技術(shù)、管理和人的因素處于受控狀態(tài)，無論是硬件、軟件、流程性材料還是 服務(wù)， 所有的控制應(yīng)針對減少、消除不合格，尤其是預(yù)防不合格。這就是成都ISO9000

• 如何制定環(huán)境方針目標(biāo)指標(biāo)及管理方案

  ?一、概述??組織在建立ISO14001環(huán)境管理體系時，在初始環(huán)境評審告一個段落后，即必須針對組織的產(chǎn)品、服務(wù)及活動特性及其所鑒別出的重大環(huán)境因素制定環(huán)境方針、目標(biāo)、指標(biāo)及管理??方案，以便環(huán)境管理體系的實施運作能夠順利地推展。??本文將簡單地介紹組織在制定環(huán)境方針、目標(biāo)、指標(biāo)及管理方案時所需考慮的重點及一般常被忽略的要項，期望