大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


             过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客
             户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位；定期的监督审核
             将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据，信
             任、信用及信心，使客户及利益相关方感受到组织对信息安全的承诺。

                  ⑧通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

                 二、ISO/IEC17799-2000（BS7799-1）主要内容

                 （一）定义

                  ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启
             动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做
             法提供公共基础，并为组织之间的交往提供信任。
                  标准指出“像其他重要业务资产一样，信息也是一种资产”。它对一个组织具有

             价值，因此需要加以合适的保护。信息安全防止信息受到的各种威胁，以确保业务连
             续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。
                  信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织
             结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

                 （二）内容
                  ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运作过程中对信
             息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者
             增加其他附加控制。国际标准化组织（ISO）在2005年对ISO 17799进行了修订，修订

             后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001，新标准去掉9点控制措
             施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关
             联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。修改后的标准包括11个

             内容。
                  1.安全策略
                  制定信息安全方针，为信息安全提供管理指引和支持，并定期评审。
                  2.信息安全的组织

                  建立信息安全管理组织体系，在内部开展和控制信息安全的实施。
                  3.资产管理
                  核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。
                  4.人力资源安全

                  确保所有员工，合同方和第三方了解信息安全威胁和相关事宜以及各自的责任，
             义务，以减少人为差错、盗窃、欺诈或误用设施的风险。


             • 72 •