企业网络安全管理的标准与规范.pdfVIP

企业网络安全管理的标准与规范

随着互联网的发展，对于企业的网络安全管理也越来越重要，

许多企业都已经开始重视网络安全问题，对此国家和行业组织也

相继发布了网络安全管理的标准和规范，使企业能够更好地保护

其网络安全。

一、网络安全管理标准的实施

网络安全是企业的头等大事，如何建立一个行之有效的网络安

全体系，是保障企业网络安全的重要关键。当前，在网络安全管

理中，企业需要遵循以下几个方面的标准和规范：

1.信息安全管理系统(ISMS)ISO27001

信息安全管理系统是为维护信息资源的安全性而实施的一个完

整的体系，其目的是建立和维持一个正式的信息安全管理系统，

使企业能够保障其信息资源的安全，这个标准既包括基础设施安

全，还包括信息安全人员、信息安全管理、信息安全控制等方面。

同时，在实施这套体系时，企业也需要具备风险管理的能力，

这涉及到一系列的政策制定、流程和系统设置等。

通过实施ISO27001标准，企业能够为自己的信息资源安全提

供行之有效的解决方案，并从外部攻势或内部犯错中得到有效的

保护。

2.网络安全产品显示标准CC、FIPS

网络安全产品显示标准是指表示企业网络产品和解决方案的一

些安全要求，其中最为常见的是CC(通用审定标准)和FIPS(联邦

信息处理标准)。

CC标准是由国际标准组织提出，主要用于评估个人或组织所

使用的网络安全设备、系统、组件等产品的安全性能，其评定的

过程是基于国际标准组织制定的一系列测试方法和安全分级体系。

FIPS标准则是由美国政府发起的一项安全标准，主要用于评价

计算机系统和网络安全产品的安全性能，其目的是防止政府机构、

通讯和闪存设备的信息泄露。

3.网络安全管理方法和规范

在实施网络安全管理标准时，企业需要遵循一系列规范和方法，

其中最为常见的包括ISO27002、CISCSC、NIST等。

ISO27002标准是在ISO27001标准的基础上发展而来的，是一

个关于信息资源安全管理（ISMS）的国际标准，以适合各种企业

或组织的需要，为企业的信息安全提供了切实可行的应对措施。

CISCSC安全规范是由美国公用的信息处理与共享中心提出的

一种Internet安全防范规范，此规范的目的是帮助企业制定防范外

部攻击和内部疏忽的网络安全措施。

NIST也是网络安全方面的一种标准，主要测度企业的信息安

全能力，并提供各种安全策略、技术和手册，使企业可以更好地

理解安全威胁，从而确定正确的控制措施。

二、网络安全标准的设计过程

网络安全标准的设计过程是非常重要的，它决定了这些标准在

实际应用中是否行之有效。这一过程应当包括以下几个步骤：

1.确定网络安全标准的适用性

在确定标准的适用性时，需要考虑网络安全标准是否对企业业

务的实际需求有所服务，以确定这些标准是否符合这些需求。此

外，还需要对这些标准进行绩效评估，以确认它们是否会造成另

一种安全问题。

2.建立安全目标与政策

企业需要在确定网络安全标准的适用性后，建立并制定网络安

全的目标和政策。这些目标和政策需要包括使用安全控制的计划

和实施细节，以确保企业网络的安全性能。

3.落实安全标准并进行实施

实施网络安全标准时，企业需要根据安全目标和政策，设计安

全策略和控制程序，以确保这些策略和程序的合理性和有效性。

同时，企业还需要制定网络安全行动计划，以确保网络安全标准

的实施效果。

4.评估网络安全标准的绩效

评估网络安全标准的绩效是网络安全标准完整性的关键，这需

要企业定期对网络安全标准进行评估和修订，确保其安全措施得

到最好的保障。

总之，网络安全已成为企业高度关注的业务领域之一，在实施

网络安全标准时，企业需要根据自身的特点和业务需求，合理选

用和修订其适用的标准和规范，以建立符合其自身需求的网络安

全系统，从而保障自身网络的持久安全性能。