COBRA 17799.docx
- 文档编号:8804992
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:14
- 大小:673.03KB
COBRA 17799.docx
《COBRA 17799.docx》由会员分享,可在线阅读,更多相关《COBRA 17799.docx(14页珍藏版)》请在冰豆网上搜索。
COBRA17799
ISO17799和眼镜蛇
ISO17799于2000年12月出版,它是适用于所有的组织,建议成为强制性的安全标准。
它是基于BS7799之上的,BS77991995年2月首版,最后一次修订和改进是在1999年5月。
在一段时间里我在各地跑来跑去的时候包包里总是放着一份中文的ISO17799一有空的时候就拿出来看,对于我来说它就是这个行业里的畅销小说一样有一种魔力吸引着我。
ISO17799在安全问题的范围上是全面的。
它包含大量实质性的控制要求,有些是极其复杂的。
要符合ISO17799,或其他真正的任何详细安全标准,都不是一项简单的事情。
甚至对于最有安全意识的组织来说,认证就更令人头痛了。
ISO17799是一个详细的安全标准。
包括安全内容的所有准则,由十个独立的部分组成,每一节都覆盖了不同的主题和区域:
1、商业持续规划
这节的主要内容包括:
1)防止商业活动的中断;2)防止关键商业过程免受重大失误或灾难的影响。
2、系统访问控制
这节的主要内容有:
1)控制访问信息;2)阻止非法访问信息系统3)确保网络服务得到保护4)阻止非法访问计算机5)检测非法行为。
6)保证在使用移动计算机和远程网络设备时信息的安全
3、系统开发和维护
这节的主要内容有:
1)确保信息安全保护深入到操作系统中;2)阻止应用系统中的用户数据的丢失,修改或误用;3)确保信息的保密性,可靠性和完整性;4)确保IT项目工程及其支持活动是在安全的方式下进行的;5)维护应用程序软件和数据的安全。
4、物理和环境安全
这部分的主要内容有:
阻止对业务机密和信息非法的访问,损坏干扰;阻止资产的丢失,损坏或遭受危险,使业务活动免受干扰;阻止信息和信息处理设备的免受损坏或盗窃。
5、符合性
这部分的主要内容有:
1)避免违背刑法、民法、条例或契约责任、以及各种安全要求;2)确保组织系统符合安全方针和标准;3)使系统审查过程的绩效最大化,并将干扰因素降到最小。
6、人员安全
这部分的主要内容包括:
1)减少错误,偷窃,欺骗或资源误用等人为风险;2)确保使用者了解信息安全的威胁和,在他们的正常的工作中有相应的训练,以便利于信息安全政策的贯彻和实施;3)通过从以前事件和故障中汲取教训,最大限度降低安全的损失。
7、安全组织
这节的主要内容包括:
1)在公司内部管理信息安全;2)保持组织的信息采集设施和可被第三方利用的信息资产的安全性;3)当信息处理的责任需借助于外力是时,维持信息的安全。
8、计算机与网络管理
这节的目的是:
1)确保信息处理设备的正确和安全的操作;2)降低系统失效的风险到最小;3)保护软件和信息的完整性;4)维护信息处理和通讯的完整性和可用性;5)确保网络信息的安全措施和支持基础结构的保护;6)防止资产被损坏和业务活动被干扰中断;7)防止组织间的交易信息遭受损坏,修改或误用。
9、资产分类和控制
这节的主要阐述了:
对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。
10.安全政策
这节的目的是:
为信息安全提供管理方向和支持。
ISO17799:
符合策略
在考虑认证,或任何这方面问题上正式的公共的声明之前,在你潜在的符合水平上获得信心是重要的。
定位你当前的符合位置是要做的第一步。
做起来比看起来要难得多。
对于较大的组织来说,他们需要建立全部范围内的每个信息系统的定位系统。
这可能是比较强化的而很昂贵的运作。
完成了上面的步骤后,需要制订计划以便确保组织在迈向ISO17799的目标有了必要的改进。
同时,这个代价也可能很昂贵的。
然而,完成了这进程后,组织就达到了一定符合水平上,已经努力作了大多数工作。
下一步将考虑一种能够简化上述过程的方法和完成符合标准的最小努力。
一种被证明了的解决方案:
怎样符合ISO17799
管理符合ISO17799不是一件简单的事情。
为信息系统评定符合水平,然后导出并且实现计划,可能是个很强化复杂的过程。
然而,只要拥有了正确的方法,就会使得努力减到最小。
完成上述过程最有效的方法是利用一个软件包来管理,使得进程半自动化。
软件COBRA(眼镜蛇)7799咨询特别为符合ISO17799更容易、更简单而设计的。
此产品将通过通过一系列在线问题引导你通过全部的标准符合,COBRA(眼镜蛇)指导组织一步一步通过标准。
并将得到必要的报告:
根据ISO17799的每节报告来告知当前你的组织所处的符合位置识别组织的缺陷在哪里,给出关于如何实施必要的建议以便修整文件并完成所有的标准符合。
简而言之,本软件将客观地并细致地根据ISO17799评估组织当前的符合水平和所处的位置,生成适当的解决方案和建议为每个鉴别出来的异常情况。
COBRAISO17799咨询方法把一条唯一的、独特的途径提供给ISO17799符合,实践证明本软件对于所有类型的组织,无论多大的部门都是无价的。
在COBRA启动后第一件事情是讲自己公司或者组织的名字输入程序,以后所有的报告中都会用到的。
COBRA风险顾问咨询和ISO符合性分析是我们在启动程序后的第一个选择,其实我感觉里面具体的东西内容都差不多,我选择的是进行风险顾问咨询。
这里只有一个ISO17799的咨询库可以选择
风险分析我们选择创立一个新的测量标准知识库
当然ISO17799还是我们唯一的选择
这次测量的测试人当然是我SQL了,测试的简单描述我就起ISO17799这个名字了。
填入我们要进行测量部门的范围
ISO17799所涉及到的十个部分,我们可以选择是部分认证还是全部。
我这次选择的是物理环境安全第7章节
上面是记录具体测量人的名字和职务
具体问题的界面非常像BOSON这种考试软件的界面,另外本软件没有中文版本你如果感兴趣的话可以自己来汉化它。
问题类型比较简单就是单选和多选两类型题目。
被测试人需要对每一个问题认真进行答复,好在每个章节的题目并不是很多,这其实也是我们在做一些实际ISO符合性分析的时候必要要考虑到的问题,毕竟长时间单纯的技术问答会让被测试人产生一定抵触情绪。
全部问题答复完毕以后就会自动退出,回到上一个界面整个问题的答复分析并不会马上显示。
想了解整个问题后的分析结果,需要启动报告程序填好上面的内容选择你想要查看的内容等等。
这些就是报告的具体内容细节了
程序会自动把每一个问题的正确符合ISO标准的答案和测试人的答案进行比较然后给出一个分数,上面的测试因为我是随便乱答的所以看到我得到的分数是非常低。
正确的流程是我们应该参照这个报告结果来好好的规划部门的下一步安全策略的改进方向。
我们也可以一次创建一个问题的全列表打印出来方便被调查人一次全部答复。
同样是只有一个ISO17799的规则库
全部的题目85页按照ISO17799所涉及到的十个部分出题目,全部答完需要一段时间但是程序并没有提供自动分析这些答复的工具,看来手动分析是免不了的。
看看和BOSON的CISSP的考试题的程序是不是很像,国内一直都是考试热在IT界也是一样你如果碰巧是个考试狂人呵呵这些大题库绝对可以满足你了,就是自己做一做其实也不错可以看到自己都有那些实际的差距。
但是也不用过分迷信CIWCISSP的书,他们虽然是独立于厂家的但是有些理论和技巧其实也是有偏颇的,本来安全理论到现在来说就没有一个太权威的标准,所以实际工作中的经验积累才是最最重要的,然后回过头来再多看些理论方面的书才会是有帮助的。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- COBRA 17799
![提示](https://static.bdocx.com/images/bang_tan.gif)