五大安全治理规范

时间：2021-12-31作者：中泰智联（北京）认证中心有限公司长春分公司浏览：170

 一、经济合作和发展组织，《信息系统安全指南》（1992） 

     《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以 及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统 安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促 进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管 理和用户实践，及公众教育或宣传。该指南目的是作为**、公众和私有部门的成员，通过此成员测量进展。 

     二、国际会计师联合会，《信息安全管理》（1998） 

     信息安全目标是“保护依靠信息 、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准 则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人（机密性）;数据和信息保护不受未经授权的修改（完 整性）;信息系统在需要时可用和有用（可用性）。机密性、完整性和可用性之间的相对**级和重要性根据信息系统中的信息和使用 信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动，也 可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外， 业务依赖性（依靠第三方通信设施传送信息，外包业务等等）也可能潜在地导致管理控制的失效和监督不力。 

     三、国际标准化组织，《ISO 17799国际标准》（较新版是2005） 

     ISO17799（根据BS 7799**部分制定）作为确定控制范围的单一参考点， 在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资 产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户 访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护 信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至较小，使投资收益较大并抓住各种商业机遇。安全是通过实施一套恰当 的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。 

     四、信息系统审计和控制 协会，《信息和相关技术的控制目标》（CoBIT） 

     CoBIT起源于IT需要传递组织为达到业务目标所需 的信息这个前提，至今已有三个版本。除了鼓励以业务流程为中心，实行业务流程负责制外，CoBIT还考虑到组织对信用、质量和安全 的需要，它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进 一步把IT分成4个领域（计划和组织，获取和实施，交付和支持，监控），共计34个IT业务流程。CoBIT为正在寻求控制实施较佳实践 的管理者和IT实施人员提供了**过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、 控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的较佳惯例，以形成一个可控和逻辑结构 内的活动。 

     五、美国注册会计师协会(加拿大特许会计师协会)，《SysTrust TM系统可靠性原理和准则 V20》（2001） 

     SysTrust服务是一种保证服务，用于增强管理者、客户和商业伙伴对支持业务或某 种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个 基本方面评估和测试系统是否可靠。 

     SysTrust定义在特定环境下及特定时期内，没有重大错误、缺 陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定，但必须包括基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级，企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统 整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出 判断，不是对系统整体可靠性的判断。


中泰智联（北京）认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等

• 词条

  词条说明

• ISO14000标准综述

  ISO14000是什么？ISO14000环境管理体系标准是由ISO/TC207（国际环境管理技术**）负责制定的一个国际通行的环境管理体系标准。它包括环境管理体系、环境审核、环境标志、生命周期分析等国际环境管理领域内的许多焦点问题。其目的是指导各类组织（企业、公司）取得正确的环境行为。但不包括制定污染物试验方法标准、污染物及污水极限值标准及产品标准等。该标准不仅适用于制造业和加工业，而且适用于建

• ISO14000相关知识问答

  1. 什么是ISO14000标准？答：ISO14000系列标准是由国际标准化组织（ISO）*207技术**（ISO/TC207）组织制订的环境管理体系标准，其标准号从14001至14100，共100个标准号，统称为ISO14000系列标准。它是顺应国际环境保护的发展，依据国际经济贸易发展的需要而制定的。目前正式颁布的有ISO14001、ISO14004、ISO14010、ISO14011、ISO

• 长春iso9001《质量管理体系规则》一

  长春iso9001目录：1.适用范围2.对机构的基本要求3.对审核人员的基本要求4.初次程序5.监督审核程序6.再程序7.暂停或撤销证书8.证书要求9.与其他管理体系的结合审核10.受理转换证书11.受理组织的申诉12.记录的管理13.其他附录A 质量管理体系审核时间要求 1、适用范围1.1本规则用于规范依据GB/T 19001/ISO 9001《质量管理

• ISO9001：设计开发的输入是什么

  从设计开发的定义我们知道，设计开发是一组过程，也有输入和输出。设计开发的输入是与产品有关的信息，它包括三个方面：（1）组织内部的输入① 方针、目标和规范（例如质量手册、设计手册等）；② 技能要求（员工的技能水平所决定的） ;③ 可信性要求；④ 现行产品的文件和数据（新产品与现行产品往往有继承关系）⑤ 其他过程的输出（例如采购即供方的晴况、生产能力、检验能力等等）（2）组织外部的输入① 顾客或市场的