首页 公司简介 功能说明 财富论坛 增值广告 视频集锦 会员注册 会员登陆 关于我们
今天是:  您现在位于: 首页 > 商情·商机 > 论信息化 > 信息化风险规避 > 英国的信息化风险管理经验
[公告]热烈祝贺由武汉市环保局宣传教育中心主办 武汉市盛景广告传播有限公司承办 企业增值网协办的环保公益活动全面展开!
 
  栏目导航
 
 
信息化风险规避
 
 

为保证信息的安全发展,英国先后制定了一系列的法律规范,为信息管理提供了法律保障。1998年的《数据保护法案》确定了公民具有获得个人全部信息、数据的合法权利;1999年英国出台了《通信管理条例》;2000年有关部门提交了《调查权法案》;20031211日,英国更新了对《通信管理条例》和《调查权法案》具有指导意义的《通信数据保护指导原则》,将法规适用范围从电话、传真扩展到电子邮件和其他信息服务形式;此外英国内政部公布了《垃圾邮件法案》,加强对个人通信的管理;2004年初,英国政府出台了应对网络诈骗、网络色情、电脑病毒传播、黑客攻击等“电子犯罪”的战略,要求搜集整理英国官方的多家犯罪调查、研究机构的信息,对现有法律进行评估,展望和研究未来电子犯罪的本质,为政府、执法部门和工商企业应对网络犯罪提供宏观指导。为了使这些法律的规定落到实处,贸工部(The Department of Trade and Industry,简称,DTI)制定了一系列的指导文件。包括:《信息安全:保护单位自查》(Information security: Protecting your business assets)、《2000年电子通信法案的指导》(Guide to Electronic Communications Act 2000)等。

英国贸工部负责管理产业界的相关事宜,包括对信息化的潜在风险的评估建议,以确保信息的完整性和机密性。19933月,英国贸工部发布科学、工程与技术白皮书——《实现我们的潜力》。白皮书首次提出把在全国范围内开展技术预测计划作为英国政府以科技推动经济发展的重大举措。从19944月开始,各专家小组进行函调以确定那些影响最为重要的领域,结果信息管理被确认为最为重要的27个优先领域之一。

贸工部在20044月份做了一份题为《信息安全----单位的网络使用指南》(Information Security :A business guide to using the internet)的报告。在该报告中,他们按照危机管理的原则,分五个步骤对信息化的风险及风险管理进行了说明。该报告提出的保证单位信息安全的五个步骤:1,需求分析。首先分析需不需要上网,然后分析所需上网的功能,再选择服务供给者。2,评估风险。首先需要了解你的计算机和信息的潜在威胁;确定你的单位的事务的公开程度;评估其潜在的风险。3,制定安全政策。说明:①可以使用的服务;②谁批准建立网络连接;③谁为安全负责;④应当遵循什么样的标准、指南和实践;⑤用户的责任。要明确安全负责,虽然所有的用户都有一定的责任,但最终要确保实施和保持适当的安全措施将是管理高层的责任。4,实施安全措施。需要一定的程序、技术和人员方面的控制措施,其复杂性取决于组织所选择的服务的类型。5,管理、监控并维持有效的安全。不断进行循环,需要采取的步骤如下:①修改工作计划以适应变化的事务需求;②评估风险;③根据风险程度的变化及时修改安全政策④实施满足政策要求的安全控制措施;⑤监控并保持安全控制措施的有效性。

 

在英国的信息化风险管理过程中,以下两个认证体系是典型的经验。第一,BS7799安全标准,颁发于1999年,定义了在信息安全管理方面的最佳实践。近年来,BS7799获得了越来越多的关注,越来越多的单位采用BS7799作为安全管理方面的最佳实践参考,使用它来进行安全审计和风险评估,进而建立自己的信息安全管理系统(ISMS),最终通过BS7799认证。第二,TickIT (Tick Information Technologies)计划,是英国贸工部(DTI)和英国计算机协会(BCS)为了适应软件业的特殊需要,而在ISO 9001ISO 9000-3基础上制定的一项软件认证计划。目前,TickIT已得到英国政府部门和世界上主要软件商的承认;除英国外,瑞典、法国等国家也采纳了TickIT认证模式。
  及时颁布各种法规和相应的指导性文件来规范和指导信息化的风险管理是英国的成功经验之一。除了上面提到的《信息安全:保护单位资产》和《2000年电子通信法案的指导》之外,DTI还制定了许多指导性的文件,包括:《物理安全列表》(Physical security checklist)、《如何制定信息安全政策》(How To write an Information Security policy)、《系统失败的预防》(Systems failure prevention)、《人力资源管理条例》(HR dismissal discipline)、《ISO/IEC 17799用户组》(ISO/IEC 17799 Users' Group)以及《ISO/IEC 17799用户组指南》(Guide to the UK ISO/IEC 17799 users’ group)等等。这些都具有相当程度的可操作性,为英国信息化风险的管理提供了保障。

纵观DTI的各类文件可以看出,DTI的关注焦点主要集中在信息化的技术风险方面。所描述的多为病毒、黑客、非法进入等由于技术的不足而导致的风险,它所提供的防范措施和建议也主要集中在技术标准的建立和技术水平的提高上。对于其他方面的风险(宏观方面如信息化的经济风险,微观方面如信息化的就绪风险)以及相应的管理措施则所述不多
浏览[229]
【首页】  【返回】
 
 

联系我们 ┋  网站留言 ┋  友情链接 ┋  与我在线 ┋  管理 ┋  TOP
页面执行时间:<font class=red>31.250</font> 毫秒<font class=gray>(4次)</font><br> 本站当前有 <font class=red>1</font> 人同时在线<br> 最高峰有 <font class=red title=>2</font> 人同时在线<br> 最高峰发生在:2002-6-7 21:03:07<br> 本站总访问量:<font class=red>55</font> 人次<br> 本站统计时间:从 <font class=red>2003年6月</font> 至今<br>
  http://www.qyzzw.net/
mailto:qyzzw888@163.com
Copyright (c) 2005 www.qyzzw.net. All Rights Reserved.