安全管理索引和IS0 17799

要確定一個組織在多大程度上遵循IS0 17799，有一種方式就是采用人工防火墻委員會的調(diào)查，即安全管理索引調(diào)查（SMI，Security Management Inclex）。SMI （主頁為www. humanfirewall. org）詢問了ISO標(biāo)準(zhǔn)所包含的J0個領(lǐng)域內(nèi)的35個問題。根據(jù)該站點的說法，“本調(diào)查收集有關(guān)機構(gòu)如何管理安全的信息，并且使信息安全官員可以把他們的實踐和其他公司的實踐作出比較。本調(diào)查根據(jù)IS0 17799 國際安全標(biāo)準(zhǔn)制定，此標(biāo)準(zhǔn)反映了全球范圍內(nèi)的最佳實踐。通過以同業(yè)內(nèi)其他機構(gòu)和合作伙伴機構(gòu)相比較，安全管理索引調(diào)查可以幫助你衡量自己的安全管理實踐經(jīng)驗。”在第6章的附錄中有完整的調(diào)查表。

為了充分利用安全管理索引提供的免費標(biāo)準(zhǔn)，人工防火墻委員會建議：

①熟悉安全管理的10種類型

安全行業(yè)分析家和安全專家組織概括了一些主流的實踐經(jīng)驗，這10種類型都符合這些經(jīng)驗。即使你不熟悉IS0 17799，調(diào)查中提出的10類安全管理給出了一個全面的方法來組織和定義相關(guān)的問題和挑戰(zhàn)。

②通過此調(diào)查比較，衡量你所在機構(gòu)的安全管理實踐經(jīng)驗

完成調(diào)查以后，可以從顯示屏上得到你所在機構(gòu)的得分，同時也能夠看到把你們的成績和其他已經(jīng)接受調(diào)查機構(gòu)的成績進行比較所得到的結(jié)果。在這份報告的附件C里，可以找到一個結(jié)果顯示的例子。

③針對每個種類評價的結(jié)果來確定你的強項和弱點

使用上述調(diào)查得到的結(jié)果，可以輕易地發(fā)現(xiàn)在同行業(yè)內(nèi)與其他相同規(guī)模機構(gòu)進行比較時，你所在機構(gòu)擁有的優(yōu)勢和劣勢。根據(jù)得分，可以列出需要改進以及需要更多注意的領(lǐng)域。

④檢查本報告中各類關(guān)于改進的建議

根據(jù)截至目前對SMI調(diào)查的總體結(jié)果的描述，此報告中每一類都在自己那部分中包括了一些建議采取的行動，這些行動可能會改進某特定領(lǐng)域的性能以及得分。

⑤運用你的SMI結(jié)果去獲得改進安全所需的支持

根據(jù)自己的得分或調(diào)查的總體結(jié)果，安全管理人員和IT執(zhí)行者們可以說服高層管理者們有必要采取更加協(xié)調(diào)一致的，以管理為中心的方法來處理安全問題。通過將你的得分放到你所在的行業(yè)并與同行相比較的情況下來進行陳述和討論，安全管理索引可以幫助你進行更切實可行的管理。