资料安全合规性的实施路线

资料安全合规性的实施路线 资料安全合规性的实施路线_官方征稿论文预读: 摘要：一、合规性与有效性内部合规的程度（即制度的落地）不太容易判断,但是外部合规的程度（即内外制度一致性）却可以一目了然,因此,

资料安全合规性的实施路线 _: 资料安全合规性的实施路线官方征稿论文预读摘要：一、合规性与有效性 , 内部合规的程度（即制度的落地）不太容易判断但是外部合规的程度（即内外制度一致性） ,,“”,, 却可以一目了然因此监管部门也会产生判断捷径于是和个体行为的逻辑一致组织也会 ,,. 选择更省事的合规性部署方式重外部合规轻内部合规这样的部署方式会严重的损害文件 ,., 的有效性在现行的监管制度中已经表现的非常明显在所有的制度设计中前提都应该是人 .,. 是自利的如果失去这个前提制度就完全没有存在的必要了所以有效性不能依靠执行者的 ,., 自觉而应该靠体系化的手段去解决在这个层面讲有效性 .,,, 是合规性的更高要求但是有效性如同人的能力一样很难直接测量没人有觉得自己能力低 ,,“”. 下如果没有客观的判断依据要让有能力的人脱颖而出其实是一句空话 二、合规性的实施路线 20149,2161,12 截至年月我国已经正式公布了项信息安全国家标准（包含项强制标准） ,17,30., 项行政法规项部门规章项其他国家部委公文面对这么多的规范性文件组织的信息安 ., 全合规性也变得越来越复杂经过梳理这其中真正独成体系的信息安全实施路线实际就有两 :1InformationSecurityManagementSystem,ISMS, 个标准族）信息安全管理体系（）标准族其中 ISO/IEC270002. 标准多等同或修改采用标准族；）信息系统安全等级保护标准族 ISMSISMSISO/IEC27000ISO/IEC2705960 （一）信息安全管理体系（）包括了至的个标 ,“”“ 准不但给出了建立、实施、运行、监视、评审、保持和改进信息安全的基于业务风险（的） ”,, 方法而且还给出了要求、实用规则、第三方认证审核指南以及相关安全域的具体指南等第 . 三方认证机构的存在为信息安全管理有效性提供了客观的评价数据新版的 ISO/IEC27001:2013Plan-Do-Check-Act, 虽然不再借用框架但是修改后的框架本质还是 PDCA.,ISO/IEC27003:2010 此外（二）信息系统安全等级保护信息系统安全等级保护是以 GB17859—1999,ISMS （强制标准）为基础的一系列标准族（三）与等级保护的整合实施许 ISMS,, 多组织可能同时要满足和信息系统安全等级保护的要求或者更多的监管文件这意味 .,,ISMS 着需要整合实施首先如果将所有的控制措施拆散与信息系统安全等级保护并无本质 ,.,,ISMS 的区别这意味着在控制措施级别的整合是无障碍的其次对框架来说的框架更为经 ,PDCA. 典建议在实施的过程中采用循环 三、结语 ISMS 根据原创论文统计数据分析，笔者认为无论是采用信息安全安全管理体系（）还是信 ,,. 息系统安全等级保护或者整合实施都能够满足绝大部分的信息安全监管要求通过满足信 ,,., 息安全的合规性真正达到信息安全管理的有效性这才是最重要的目的此外除这两个标准 ,NISTNationalInstituteofStandardandTechnology,NISTRMF 族我们也推荐考虑（）的 RiskManagementFramework,RMF,, （）框架虽然这超出了合规性本身的含义但是就其体系设 ,. 计的有效性而言具有很大的借鉴意义