安全管理索引和IS0 17799

要確定一個(gè)組織在多大程度上遵循IS0 17799，有一種方式就是采用人工防火墻委員會(huì)的調(diào)查，即安全管理索引調(diào)查（SMI，Security Management Inclex）。SMI （主頁(yè)為www. humanfirewall. org）詢(xún)問(wèn)了ISO標(biāo)準(zhǔn)所包含的J0個(gè)領(lǐng)域內(nèi)的35個(gè)問(wèn)題。根據(jù)該站點(diǎn)的說(shuō)法，“本調(diào)查收集有關(guān)機(jī)構(gòu)如何管理安全的信息，并且使信息安全官員可以把他們的實(shí)踐和其他公司的實(shí)踐作出比較。本調(diào)查根據(jù)IS0 17799 國(guó)際安全標(biāo)準(zhǔn)制定，此標(biāo)準(zhǔn)反映了全球范圍內(nèi)的最佳實(shí)踐。通過(guò)以同業(yè)內(nèi)其他機(jī)構(gòu)和合作伙伴機(jī)構(gòu)相比較，安全管理索引調(diào)查可以幫助你衡量自己的安全管理實(shí)踐經(jīng)驗(yàn)?！痹诘?章的附錄中有完整的調(diào)查表。

為了充分利用安全管理索引提供的免費(fèi)標(biāo)準(zhǔn)，人工防火墻委員會(huì)建議：

①熟悉安全管理的10種類(lèi)型

安全行業(yè)分析家和安全專(zhuān)家組織概括了一些主流的實(shí)踐經(jīng)驗(yàn)，這10種類(lèi)型都符合這些經(jīng)驗(yàn)。即使你不熟悉IS0 17799，調(diào)查中提出的10類(lèi)安全管理給出了一個(gè)全面的方法來(lái)組織和定義相關(guān)的問(wèn)題和挑戰(zhàn)。

②通過(guò)此調(diào)查比較，衡量你所在機(jī)構(gòu)的安全管理實(shí)踐經(jīng)驗(yàn)

完成調(diào)查以后，可以從顯示屏上得到你所在機(jī)構(gòu)的得分，同時(shí)也能夠看到把你們的成績(jī)和其他已經(jīng)接受調(diào)查機(jī)構(gòu)的成績(jī)進(jìn)行比較所得到的結(jié)果。在這份報(bào)告的附件C里，可以找到一個(gè)結(jié)果顯示的例子。

③針對(duì)每個(gè)種類(lèi)評(píng)價(jià)的結(jié)果來(lái)確定你的強(qiáng)項(xiàng)和弱點(diǎn)

使用上述調(diào)查得到的結(jié)果，可以輕易地發(fā)現(xiàn)在同行業(yè)內(nèi)與其他相同規(guī)模機(jī)構(gòu)進(jìn)行比較時(shí)，你所在機(jī)構(gòu)擁有的優(yōu)勢(shì)和劣勢(shì)。根據(jù)得分，可以列出需要改進(jìn)以及需要更多注意的領(lǐng)域。

④檢查本報(bào)告中各類(lèi)關(guān)于改進(jìn)的建議

根據(jù)截至目前對(duì)SMI調(diào)查的總體結(jié)果的描述，此報(bào)告中每一類(lèi)都在自己那部分中包括了一些建議采取的行動(dòng)，這些行動(dòng)可能會(huì)改進(jìn)某特定領(lǐng)域的性能以及得分。

⑤運(yùn)用你的SMI結(jié)果去獲得改進(jìn)安全所需的支持

根據(jù)自己的得分或調(diào)查的總體結(jié)果，安全管理人員和IT執(zhí)行者們可以說(shuō)服高層管理者們有必要采取更加協(xié)調(diào)一致的，以管理為中心的方法來(lái)處理安全問(wèn)題。通過(guò)將你的得分放到你所在的行業(yè)并與同行相比較的情況下來(lái)進(jìn)行陳述和討論，安全管理索引可以幫助你進(jìn)行更切實(shí)可行的管理。