超级会员免费看
联邦与国际信息安全标准对比解析
在信息安全和风险管理领域,NIST(美国国家标准与技术研究院)安全标准和ISO/IEC(国际标准化组织/国际电工委员会)标准是两个重要的参考体系。NIST安全标准由FISMA(联邦信息安全管理法案)推动,为联邦机构和承包商的信息系统使用提供强制性认证框架;而ISO/IEC标准则为非政府组织提供自愿认证流程,以确认其管理体系融入了普遍接受的信息安全最佳实践。
1. 边界与范围定义
NIST RMF(风险管理框架)和ISO/IEC的“Plan-Do-Check-Act”(PDCA)循环都强调采用结构化、基于风险的方法来整合信息安全。两者都要求确定信息系统的边界,但在ISO/IEC流程中,范围通常包括组织以及维护和控制信息系统的相关部分。为了有效界定保护的边界和范围,组织需要明确相关的政策、资产、技术、位置和人员。
| 标准 | 边界与范围定义要点 |
| ---- | ---- |
| NIST | 授权边界是指由授权官员授权运行的信息系统的所有组件,不包括单独授权的连接系统 |
| ISO/IEC | 范围通常涵盖组织和对信息系统有维护和控制权的部分 |
2. 安全政策
在定义边界和范围后,组织需要制定信息安全政策。NIST SP 800 - 53 XX - 1控制和ISO/IEC 27001中的ISMS(信息安全管理体系)政策都涉及到这一点。安全政策至少应包括目的和范围、角色和职责、合规声明以及组织实体之间的协调。
- 目的和范围 :明确安全政策所涵盖的内容和目标。
- 角色和职责 :确定各
订阅专栏 解锁全文
扫一扫
1122
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
