大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


                  四是明确定义所有组织的内部和外部的信息接口目标，谨防数据的误用和丢失。
                  五是建立安全工具使用方针。
                  六是谨防技术诀窍的丢失。
                  七是在组织内部增强安全意识。

                  八是可作为公共会计审计的证据。

                 三、认证与遵从

                  一个组织可以仅遵从ISO17799来建立和发展ISMS（信息安全管理体系），因为

             实践指南中的内容是普遍适用的。然而，由于ISO17799并非基于认证框架，它不具备
             关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详
             尽的管理体系认证要求。在技术层面来讲，这就表明一个正在独立运用ISO17799的机
             构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架

             所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组
             织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS体系也符合实践指
             南的要求。于是，这一组织就可以获得外界的认同，即获得认证。
                 （一）ISO27001 认证要求

                  ISO27001标准是为了与其他管理标准，如ISO9000和ISO14001等相互兼容而设计
             的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容
             性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使
             用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理

             体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在
             ISMS体系建立的过程中，质量管理的经验举足轻重。
                  但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，

             并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考
             虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国
             家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国
             家都有自己的国家鉴定机构（如英国UKAS），任何获得该机构授权进行ISMS认证的

             机构均记录在案。
                 （二）风险评估应对计划
                  任何一个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都
             有自己独特的业务模式、运营目标、形象特点和内部文化，他们对待风险的态度倾向

             也大相径庭。换句话说，同一个东西，一个机构组织认为是必须提防的威胁，在另一
             个组织看来可能是一个必须抓住的机遇。同样地，各个机构组织对于既有风险防护的


             • 74 •