信息安全特有的审核原则有?
实施原则
1、最小特权原则
最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权利。
2、最小泄露原则
最小泄露原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权利。
3、多级安全策略
多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、机密(C)、秘密(S)、限制(RS)和无级别(U)5级来划分。
审核原则包括以下内容。
(一)诚实正直 :职业的基础
这项原则是对一名合格审核员、审核方案管理入员的基本要求。诚实、正直、勤勉、严谨,以不偏不倚的态度从事工作,是每一位审核员和审核方案管理人员应具备的道德品质,是确保审核人员正确实施审核工作的最基本的职业道德和素质要求。
诚信是为人之本。诚信就是言行一致不作假。守信用就是能够履行跟别人约定的事情而取得信任。
(二)公正表达:真实、准确地报告的义务
这项原则是每个合格审核员(组)应尽的责任。客观准确地报告审核工作是审核员的责任和义务。作为审核员,不论是收集审核证据,还是形成审核发现,都要以客观事实为依据,以审核准则为尺度,不受任何外界因素的干扰。审核员应将审核发现、审核结论以
书面或口头的方式,真实准确地向受审核方和审核委托方报告;对审核过程中遇到的重大障碍以及审核组与受审核方之间存在的没有解决的分歧意见,审核组应如实向审核委托方及有关方报告。沟通必须真实、准确、客观、及时、清楚和完整。
(三)职业素养 :在审核中勤奋并具有判断力
这项原则要求审核员要充分认识自己执行审核任务的重要性,珍视审核委托方和其他相关方对自己的信任。在审核工作中应熟知相关专业,勤勉熟练地开展审核工作并准确作出判断,这是一个合格审核员应具备的职业素养。在审核工作中熟练运用审核技术与技巧,认真做好审核工作,是每一个审核员应具备的能力,也是确保职业素养的重要因素。具有职业素养的 一个重要因素是能够在所有审核情况下做出合理的判断。
(四)保密性:信息安全
这项原则要求审核员应审慎使用和保护在审核过程中获得的信息。审核员或审核委托方应正确处理敏感的、保密的信息,而不应为个人利益不适当地或以损害受审核方合法利益的方式使用审核信息。需保密的信息可包括受审核方的技术、商业秘密,以及所获得的与受审核方有关的其他审核信息。
(五)独立性:审核的公正性和审核结论客观性的基础
这项原则是审核的公正性和审核结果客观性的基础。审核员应独立于受审核的活动(只要可行时),并且在任何情况下都应不带偏见,没有利益上的冲突。对于内部审核,审核员应独立于被审核职能的运行管理人员。审核员在整个审核过程应保持独立性与客观性,确保得出的审核发现和审核结论建立在审核证据的基础上。
(六)基于证据的方法
这是在一个系统的过程中,得出可信的和可重现的审核结论的合理方法。
"证据“是能够证明某事物的真实性的有关事实和材料。"审核证据“是”与审核准则有关的并且能够证实的记录、事实陈述或其他信息”。
“ 基于证据的方法”就是以证据为基础的一种方式,遵循这种合理的方式也是一 项审核原则。在审核的过程中,审核员绝不能凭主观腌想和推测下结论,必须获得证据,从而得出审核结论。
(七)基于凤险的方法
这是考虑了风险和基于证据的审核方法。
基于风险的方法应考虑审核过程对审核计划实施和审核报告的影响,目的是确保受审核方的重要事项被审核关注并达成审核方案的目的。
最小化原则
受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。
分权制衡原则
在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
安全隔离原则
离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全的审核原则就是对保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性进行系统审核。