登錄

信息安全管理體系

百科 > 信息管理術(shù)語 > 信息安全管理體系

1.什么是信息安全管理體系

信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果,表示成方針、原則、目標(biāo)、方法、過程、核查表(Checklists)等要素的集合。

BS 7799-2(見BS7799體系)是建立和維持信息安全管理體系的標(biāo)準(zhǔn),標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系;體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作,保持體系運(yùn)作的有效性;信息安全管理體系應(yīng)形成一定的文件,即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系,其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

2.編寫信息安全管理體系文件的主要依據(jù)

組織對(duì)信息安全管理體系的采用是一個(gè)戰(zhàn)略決定。因?yàn)榘凑誃S 7799-2:2002建立的信息安全管理體系需要在組織內(nèi)形成良好的信息安全文化氛圍,它涉及到組織全體成員和全部過程,需要取得管理者的足夠的重視和有力的支持。

1)信息安全管理體系標(biāo)準(zhǔn):

  • 要求:BS 7799-2:2002 《信息安全管理體系規(guī)范》
  • 控制方式指南:ISO/IEC 17799:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》

2)相關(guān)法律、法規(guī)及其他要求;

3)組織現(xiàn)行的安全控制慣例、規(guī)章、制度,包括規(guī)范和作業(yè)指導(dǎo)書等;

4)現(xiàn)有其他相關(guān)管理體系文件。

3.編寫信息安全管理體系程序文件應(yīng)遵循的原則

在編寫程序文件時(shí)應(yīng)遵循下列原則:

  • 程序文件一般不涉及純技術(shù)性的細(xì)節(jié),細(xì)節(jié)通常在工作指令或作業(yè)指導(dǎo)書中規(guī)定;
  • 程序文件是針對(duì)影響信息安全的各項(xiàng)活動(dòng)的目標(biāo)和執(zhí)行做出的規(guī)定,它應(yīng)闡明影響信息安全的管理人員、執(zhí)行人員、驗(yàn)證或評(píng)審人員的職責(zé)、權(quán)力和相互關(guān)系,說明實(shí)施各種不同活動(dòng)的方式、將采用的文件及將采用的控制方式;
  • 程序文件的范圍和詳細(xì)程度應(yīng)取決于安全工作的復(fù)雜程度、所用的方法以及這項(xiàng)活動(dòng)涉及人員所需的技能、素質(zhì)和培訓(xùn)程度;
  • 程序文件應(yīng)簡練、明確和易懂,使其具有可操作性和可檢查性;
  • 程序文件應(yīng)保持統(tǒng)一的結(jié)構(gòu)與編排格式,便于文件的理解與使用。

4.編寫信息安全管理體系程序文件時(shí)應(yīng)注意的事項(xiàng)

編寫信息安全管理體系程序文件時(shí)應(yīng)注意:

  • 程序文件要符合組織業(yè)務(wù)運(yùn)作的實(shí)際,并具有可操作性;
  • 可檢查性。實(shí)施信息安全管理體系的一個(gè)重要標(biāo)志就是有效性的驗(yàn)證。程序文件主要體現(xiàn)可檢查性,必要時(shí)附相應(yīng)的控制標(biāo)準(zhǔn)
  • 在正式編寫程序文件之前,組織應(yīng)根據(jù)標(biāo)準(zhǔn)的要求、風(fēng)險(xiǎn)評(píng)估的結(jié)果及組織的實(shí)際對(duì)程序文件的數(shù)量及其控制要點(diǎn)進(jìn)行策劃,確保每個(gè)程序之間要有必要的銜接,避免相同的內(nèi)容在不同的程序之間有較大的重復(fù);另外,在能夠?qū)崿F(xiàn)安全控制的前提下,程序文件數(shù)量和每個(gè)程序的篇幅越少越好;
  • 程序文件應(yīng)得到本活動(dòng)相關(guān)部門負(fù)責(zé)人同意和接受,必須經(jīng)過審批,注明修訂情況和有效期。

5.PDCA過程模式在信息安全管理體系的應(yīng)用

一、PDCA過程模式

  • 策劃:依照組織整個(gè)方針和目標(biāo),建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。
  • 實(shí)施:實(shí)施和運(yùn)作方針(過程和程序)。
  • 檢查:依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量,評(píng)估過程業(yè)績,并向決策者報(bào)告結(jié)果。
  • 措施:采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績。

四個(gè)步驟成為一個(gè)閉環(huán),通過這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn),使信息安全管理體系得到持續(xù)改進(jìn),使信息安全績效(performance)螺旋上升。

二、應(yīng)用PDCA 建立、保持信息安全管理體系

(一)P—建立信息安全管理體系環(huán)境(context)&風(fēng)險(xiǎn)評(píng)估

要啟動(dòng)PDCA 循環(huán),必須有“啟動(dòng)器”:提供必須的資源、選擇風(fēng)險(xiǎn)管理方法、確定評(píng)審方法、文件化實(shí)踐。設(shè)計(jì)策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度,識(shí)別并評(píng)估所有的信息安全風(fēng)險(xiǎn),為這些風(fēng)險(xiǎn)制定適當(dāng)?shù)奶幚碛?jì)劃。策劃階段的所有重要活動(dòng)都要被文件化,以備將來追溯和控制更改情況。

1.確定范圍和方針

信息安全管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分,組織都必須明確界定體系的范圍,如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍,信息安全管理體系范圍文件應(yīng)該涵蓋:

  • 確立信息安全管理體系范圍和體系環(huán)境所需的過程;
  • 戰(zhàn)略性和組織化的信息安全管理環(huán)境;
  • 組織的信息安全風(fēng)險(xiǎn)管理方法;
  • 信息安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)以及所要求的保證程度;
  • 信息資產(chǎn)識(shí)別的范圍。

信息安全管理體系也可能在其他信息安全管理體系的控制范圍內(nèi)。在這種情況下,上下級(jí)控制的關(guān)系有下列兩種可能:

  • 下級(jí)信息安全管理體系不使用上級(jí)信息安全管理體系的控制:在這種情況下,上級(jí)信息安全管理體系的控制不影響下級(jí)信息安全管理體系的PDCA 活動(dòng);
  • 下級(jí)信息安全管理體系使用上級(jí)信息安全管理體系的控制:在這種情況下,上級(jí)信息安全管理體系的控制可以被認(rèn)為是下級(jí)信息安全管理體系策劃活動(dòng)的“外部控制”。盡管此類外部控制并不影響下級(jí)信息安全管理體系的實(shí)施、檢查、措施活動(dòng),但是下級(jí)信息安全管理體系仍然有責(zé)任確認(rèn)這些外部控制提供了充分的保護(hù)。

安全方針是關(guān)于在一個(gè)組織內(nèi),指導(dǎo)如何對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則、指示,是組織信息安全管理體系的基本法。組織的信息安全方針,描述信息安全在組織內(nèi)的重要性,表明管理層的承諾,提出組織管理信息安全的方法,為組織的信息安全管理提供方向和支持。

2、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法

確定信息安全風(fēng)險(xiǎn)評(píng)估方法,并確定風(fēng)險(xiǎn)等級(jí)準(zhǔn)則。評(píng)估方法應(yīng)該和組織既定的信息安全管理體系范圍、信息安全需求、法律法規(guī)要求相適應(yīng),兼顧效果和效率。組織需要建立風(fēng)險(xiǎn)評(píng)估文件,解釋所選擇的風(fēng)險(xiǎn)評(píng)估方法、說明為什么該方法適合組織的安全要求和業(yè)務(wù)環(huán)境,介紹所采用的技術(shù)和工具,以及使用這些技術(shù)和工具的原因。評(píng)估文件還應(yīng)該規(guī)范下列評(píng)估細(xì)節(jié):a.信息安全管理體系內(nèi)資產(chǎn)的估價(jià),包括所用的價(jià)值尺度信息;b. 威脅及薄弱點(diǎn)的識(shí)別;c.可能利用薄弱點(diǎn)的威脅的評(píng)估,以及此類事故可能造成的影響;d.以風(fēng)險(xiǎn)評(píng)估結(jié)果為基礎(chǔ)的風(fēng)險(xiǎn)計(jì)算,以及剩余風(fēng)險(xiǎn)的識(shí)別。

3、識(shí)別風(fēng)險(xiǎn)

識(shí)別信息安全管理體系控制范圍內(nèi)的信息資產(chǎn);識(shí)別對(duì)這些資產(chǎn)的威脅;識(shí)別可能被威脅利用的薄弱點(diǎn);識(shí)別保密性、完整性和可用性丟失對(duì)這些資產(chǎn)的潛在影響。

4、評(píng)估風(fēng)險(xiǎn)

根據(jù)資產(chǎn)保密性、完整性或可用性丟失的潛在影響,評(píng)估由于安全失敗(failure)可能引起的商業(yè)影響;根據(jù)與資產(chǎn)相關(guān)的主要威脅、薄弱點(diǎn)及其影響,以及目前實(shí)施的控制,評(píng)估此類失敗發(fā)生的現(xiàn)實(shí)可能性;根據(jù)既定的風(fēng)險(xiǎn)等級(jí)準(zhǔn)則,確定風(fēng)險(xiǎn)等級(jí)。

5、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法

對(duì)于所識(shí)別的信息安全風(fēng)險(xiǎn),組織需要加以分析,區(qū)別對(duì)待。如果風(fēng)險(xiǎn)滿足組織的風(fēng)險(xiǎn)接受方針和準(zhǔn)則,那么就有意的、客觀的接受風(fēng)險(xiǎn);對(duì)于不可接受的風(fēng)險(xiǎn)組織可以考慮避免風(fēng)險(xiǎn)或者將轉(zhuǎn)移風(fēng)險(xiǎn);對(duì)于不可避免也不可轉(zhuǎn)移的風(fēng)險(xiǎn)應(yīng)該采取適當(dāng)?shù)陌踩刂?,將其降低到可接受的水平?

6、為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制方式

選擇并文件化控制目標(biāo)和控制方式,以將風(fēng)險(xiǎn)降低到可接受的等級(jí)。BS 7799-2:2002 附錄A 提供了可供選擇的控制目標(biāo)與控制方式。不可能總是以可接受的費(fèi)用將風(fēng)險(xiǎn)降低到可接受的等級(jí),那么需要確定是增加額外的控制,還是接受高風(fēng)險(xiǎn)。在設(shè)定可接受的風(fēng)險(xiǎn)等級(jí)時(shí),控制的強(qiáng)度和費(fèi)用應(yīng)該與事故的潛在費(fèi)用相比較。這個(gè)階段還應(yīng)該策劃安全破壞或者違背的探測(cè)機(jī)制,進(jìn)而安排預(yù)防、制止、限制和恢復(fù)控制。在形式上,組織可以通過設(shè)計(jì)風(fēng)險(xiǎn)處理計(jì)劃來完成步驟5 和6。風(fēng)險(xiǎn)處理計(jì)劃是組織針對(duì)所識(shí)別的每一項(xiàng)不可接受風(fēng)險(xiǎn)建立的詳細(xì)處理方案和實(shí)施時(shí)間表,是組織安全風(fēng)險(xiǎn)和控制措施的接口性文檔。風(fēng)險(xiǎn)處理計(jì)劃不僅可以指導(dǎo)后續(xù)的信息安全管理活動(dòng),還可以作為與高層管理者、上級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)、合作伙伴或者員工進(jìn)行信息安全事宜溝通的橋梁。這個(gè)計(jì)劃至少應(yīng)該為每一個(gè)信息安全風(fēng)險(xiǎn)闡明以下內(nèi)容:組織所選擇的處理方法;已經(jīng)到位的控制;建議采取的額外措施;建議的控制的實(shí)施時(shí)間框架。

7、獲得最高管理者的授權(quán)批準(zhǔn)

剩余風(fēng)險(xiǎn)(residual risks)的建議應(yīng)該獲得批準(zhǔn),開始實(shí)施和運(yùn)作信息安全管理體系需要獲得最高管理者 的授權(quán)。

(二)D—實(shí)施并運(yùn)行信息安全管理體系

PDCA 循環(huán)中這個(gè)階段的任務(wù)是以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作,執(zhí)行所選擇的控制,以管理策劃階段所識(shí)別的信息安全風(fēng)險(xiǎn)。對(duì)于那些被評(píng)估認(rèn)為是可接受的風(fēng)險(xiǎn), 不需要采取進(jìn)一步的措施。對(duì)于不可接受風(fēng)險(xiǎn),需要實(shí)施所選擇的控制,這應(yīng)該與策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃同步進(jìn)行。計(jì)劃的成功實(shí)施需要有一個(gè)有效的管理系統(tǒng),其中要規(guī)定所選擇方法、分配職責(zé)和職責(zé)分離,并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動(dòng)。

在不可接受的風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后,還會(huì)有一部分剩余風(fēng)險(xiǎn)。應(yīng)對(duì)這部分風(fēng)險(xiǎn)進(jìn)行控制,確保不期望的影響和破壞被快速識(shí)別并得到適當(dāng)管理。本階段還需要分配適當(dāng)?shù)馁Y源(人員、時(shí)間和資金)運(yùn)行信息安全管理體系以及所有的安全控制。這包括將所有已實(shí)施控制的文件化,以及信息安全管理體系文件的積極維護(hù)。

提高信息安全意識(shí)的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化,保證意識(shí)和控制活動(dòng)的同步,還必須安排針對(duì)信息安全意識(shí)的培訓(xùn),并檢查意識(shí)培訓(xùn)的效果,以確保其持續(xù)有效和實(shí)時(shí)性。如有必要應(yīng)對(duì)相關(guān)方事實(shí)有針對(duì)性的安全培訓(xùn),以支持組織的意識(shí)程序,保證所有相關(guān)方能按照要求完成安全任務(wù)。本階段還應(yīng)該實(shí)施并保持策劃了的探測(cè)和響應(yīng)機(jī)制。

(三)C—監(jiān)視并評(píng)審信息安全管理體系

檢查階段,又叫學(xué)習(xí)階段,是PDCA 循環(huán)的關(guān)鍵階段,是信息安全管理體系要分析運(yùn)行效果,尋求改進(jìn)機(jī)會(huì)的階段。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分,就要采取糾正措施,以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。組織應(yīng)該通過多種方式檢查信息安全管理體系是否運(yùn)行良好,并對(duì)其業(yè)績進(jìn)行監(jiān)視,可能包括下列管理過程:

1、執(zhí)行程序和其他控制以快速檢測(cè)處理結(jié)果中的錯(cuò)誤;快速識(shí)別安全體系中失敗的和成功的破壞;能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果;按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施;接受其他組織和組織自身的安全經(jīng)驗(yàn)。

2、常規(guī)評(píng)審信息安全管理體系的有效性;收集安全審核的結(jié)果、事故、以及來自所有股東和其他相關(guān)方的建議和反饋,定期對(duì)信息安全管理體系有效性進(jìn)行評(píng)審。

3、評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí);注意組織、技術(shù)、商業(yè)目標(biāo)和過程的內(nèi)部變化,以及已識(shí)別的威脅和社會(huì)風(fēng)尚的外部變化,定期評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)等級(jí)的合理性。

4、審核是執(zhí)行管理程序、以確定規(guī)定的安全程序是否適當(dāng)、是否符合標(biāo)準(zhǔn)、以及是否按照預(yù)期的目的進(jìn)行工作。審核的就是按照規(guī)定的周期(最多不超過一年)檢查信息安全管理體系的所有方面是否行之有效。審核的依據(jù)包括BS 7799-2:2002 標(biāo)準(zhǔn)和組織所發(fā)布的信息安全管理程序。應(yīng)該進(jìn)行充分的審核策劃,以便審核任務(wù)能在審核期間內(nèi)按部就班的展開。

管理者應(yīng)該確保有證據(jù)證明:

  • 信息安全方針仍然是業(yè)務(wù)要求的正確反映;
  • 正在遵循文件化的程序(信息安全管理體系范圍內(nèi)),并且能夠滿足其期望的目標(biāo);
  • 有適當(dāng)?shù)募夹g(shù)控制(例如防火墻、實(shí)物訪問控制),被正確的配置,且行之有效;
  • 剩余風(fēng)險(xiǎn)已被正確評(píng)估,并且是組織管理可以接受的;
  • 前期審核和評(píng)審所認(rèn)同的措施已經(jīng)被實(shí)施;審核會(huì)包括對(duì)文件和記錄的抽樣檢查,以及口頭審核管理者和員工。
  • 正式評(píng)審:為確保范圍保持充分性,以及信息安全管理體系過程的持續(xù)改進(jìn)得到識(shí)別和實(shí)施,組織應(yīng)定期對(duì)信息安全管理體系進(jìn)行正式的評(píng)審(最少一年評(píng)審一次)。
  • 記錄并報(bào)告能影響信息安全管理體系有效性或業(yè)績的所有活動(dòng)、事件。

(四)A—改進(jìn)信息安全管理體系

經(jīng)過了策劃、實(shí)施、檢查之后,組織在措施階段必須對(duì)所策劃的方案給以結(jié)論,是應(yīng)該繼續(xù)執(zhí)行,還是應(yīng)該放棄重新進(jìn)行新的策劃?當(dāng)然該循環(huán)給管理體系帶來明顯的業(yè)績提升,組織可以考慮是否將成果擴(kuò)大到其他的部門或領(lǐng)域,這就開始了新一輪的PDCA 循環(huán)。在這個(gè)過程中組織可能持續(xù)的進(jìn)行一下操作:

  • 測(cè)量信息安全管理體系滿足安全方針和目標(biāo)方面的業(yè)績。
  • 識(shí)別信息安全管理體系的改進(jìn),并有效實(shí)施。
  • 采取適當(dāng)?shù)募m正和預(yù)防措施。
  • 溝通結(jié)果及活動(dòng),并與所有相關(guān)方磋商。
  • 必要時(shí)修訂信息安全管理體系。
  • 確保修訂達(dá)到預(yù)期的目標(biāo)。

在這個(gè)階段需要注意的是,很多看起來單純的、孤立的事件,如果不及時(shí)處理就可能對(duì)整個(gè)組織產(chǎn)生影響,所采取的措施不僅具有直接的效果,還可能帶來深遠(yuǎn)的影響。組織需要把措施放在信息安全管理體系持續(xù)改進(jìn)的大背景下,以長遠(yuǎn)的眼光來打算,確保措施不僅致力于眼前的問題,還要杜絕類似事故再發(fā)生或者降低其在放生的可能性。

不符合、糾正措施和預(yù)防措施是本階段的重要概念。

不符合:是指實(shí)施、維持并改進(jìn)所要求的一個(gè)或多哥管理體系要素缺乏或者失效,或者是在客觀證據(jù)基礎(chǔ)上,信息安全管理體系符合安全方針以及達(dá)到組織安全目標(biāo)的能力存在很大不確定性的情況。

糾正措施:組織應(yīng)確定措施,以消除信息安全管理體系實(shí)施、運(yùn)作和使用過程中不符合的原因,防止再發(fā)生。組織的糾正措施的文件化程序應(yīng)該規(guī)定以下方面的要求:

  • 識(shí)別信息安全管理體系實(shí)施、運(yùn)作過程中的不符合;
  • 確定不符合的原因;
  • 評(píng)價(jià)確保不符合不再發(fā)生的措施要求;
  • 取定并實(shí)施所需的糾正措施;
  • 記錄所采取措施的結(jié)果;
  • 評(píng)審所采取措施的有效性。

預(yù)防措施:組織應(yīng)確定措施,以消除潛在不符合的原因,防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的文件化程序應(yīng)該規(guī)定以下方面的要求:

  • 識(shí)別潛在不符合及其原因;
  • 確定并實(shí)施所需的預(yù)防措施;
  • 記錄所采取措施的結(jié)果;
  • 評(píng)審所采取的預(yù)防措施;
  • 識(shí)別已變化的風(fēng)險(xiǎn),并確保對(duì)發(fā)生重大變化的風(fēng)險(xiǎn)予以關(guān)注。
評(píng)論  |   0條評(píng)論