信息安全管理與管理體系..doc

信息安全管理與管理體系 科飛管理咨詢有限公司 吳昌倫 王毅剛目前我國的信息安全管理主要依靠傳統(tǒng)的管理方法和手段來實現(xiàn)，傳統(tǒng)的管理模式缺乏現(xiàn)代的系統(tǒng)管理思想，而技術(shù)手段又有其局限性。保護信息安全，國際公認的、最有效的方式是采用系統(tǒng)的方法（管理技術(shù)）。目前國際性標準ISO/IEC 17799就是這樣一套系統(tǒng)的信息安全管理方法。本欄目特別邀請出版了信息安全管理概論BS7799理解與實施、BS7799和ISO/IEC17799信息安全管理體系及其認證認可相關(guān)知識問答兩書的科飛管理咨詢有限公司的顧問專家，闡述運用相關(guān)國際標準實施信息安全管理體系應該注意的問題。組織的信息資產(chǎn)和其他資產(chǎn)一樣對組織具有重要作用，組織為了保證這些信息資產(chǎn)的安全，需要付出持續(xù)的努力。在采取行動之前，需要首先理解信息安全的目標。明確信息安全管理目標為了保障組織信息資產(chǎn)的安全，為了更好的理解和便于操作，信息安全管理目標通常被分解為保持組織信息資產(chǎn)及其所支持業(yè)務流程的三個性質(zhì)：保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。保密性 保障信息只有被授權(quán)使用的人可以訪問。完整性 保護信息及其處理方法的準確性和完整性?？捎眯?保障授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)。各類組織，無論其規(guī)模和性質(zhì)，其信息安全管理行為的目的都是為了保障組織的信息資產(chǎn)及其所支持業(yè)務流程的保密性、完整性和可用性。如果把組織的信息安全管理行為作為一個過程(一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動，見ISO 9000:2000質(zhì)量管理體系基礎和術(shù)語)來看待，其輸入應該是組織和其他相關(guān)方對組織信息安全管理的要求和期望，而輸出應該是令組織和相關(guān)方滿意的信息安全狀態(tài)（見圖1）。圖1：信息安全管理過程作用示意圖組織不僅需要達到滿意的信息安全狀態(tài)，而且要持續(xù)地保持這種狀態(tài)。這要求組織建立保持機制，保證組織能夠不斷的識別并適應自身情況和環(huán)境的變化。應用系統(tǒng)方法解決系統(tǒng)問題實踐證明，信息安全是個復雜的系統(tǒng)問題，必須以系統(tǒng)的方法來解決。建立管理體系(建立方針和目標并實現(xiàn)這些目標的體系，見ISO 9000:2000質(zhì)量管理體系基礎和術(shù)語)是系統(tǒng)解決復雜問題的有效方法。正如同為了保證質(zhì)量管理的有效性、充分性和適宜性，組織需要建立質(zhì)量管理體系(QMS)；為了保證信息安全管理的有效性、充分性和適宜性，組織需要建立信息安全管理體系(ISMS)。從系統(tǒng)管理的觀點來看, 一個體系(系統(tǒng))必須具有自組織、自學習、自適應、自修復、自生長的能力和功能才可以保證其持續(xù)有效性。信息安全管理體系通過不斷地識別組織和相關(guān)方的信息安全要求，不斷地識別外界環(huán)境和組織自身的變化，不斷地學習采用新的管理理念和技術(shù)手段，不斷地調(diào)整自己的目標、方針、程序和過程等，才可以實現(xiàn)持續(xù)的安全。下面結(jié)合國際著名的信息安全管理體系標準BS 7799-2:2002信息安全管理體系規(guī)范討論信息安全管理體系的作用。理解“過程模型”的作用BS 7799-2:2002標準的總要求是“組織應在其整體商業(yè)活動和風險范圍內(nèi)，建立、實施、保持并持續(xù)改進一個文件化的信息安全管理體系”。為了滿足這個總要求， BS 7799-2:2002采用的過程模式如圖2所示，也就是將過程分解為“計劃-實施-檢查-措施”四個階段，通過四個階段周而復始的循環(huán)，使體系得到保持和改進。這個過程模式不僅可以像圖2那樣用于信息安全管理體系的整體過程，同樣可以應用于體系所涵蓋的任何其他過程及其子過程，例如信息安全風險評估或者商務持續(xù)性計劃的安排等過程。圖2：PDCA過程模式策劃階段 要保證信息安全管理體系的范圍和環(huán)境得到建立，信息安全風險合理評估并針對風險制定了可行、有效的風險處理計劃。實施階段 就是執(zhí)行策劃階段的決定和方案，配備相應的資源，進行必要的培訓，保持策劃的信息安全管理文件，在組織內(nèi)形成適當?shù)娘L險和安全文化，獲得所有相關(guān)方的支持。檢查階段 目的是確認控制方法按既定的目的行之有效，發(fā)現(xiàn)改進的機會，認識到糾正措施只是必需的。BS 7799-2:2002附錄B中提供了幾個檢查的實例，包括：例行檢查、自查程序、向其他人學習、審核和管理評審等。很多計算機系統(tǒng)可以做到自動審核，聯(lián)動響應機制幾乎可以做到即時審核、即時響應。當然標準還要求組織有其他的響應安排，例如響應安全失效事件、所保護信息資產(chǎn)的重要更改、新威脅或薄弱點的出現(xiàn)等。當然每年還必須進行至少一次的管理 評審，以確保整個管理體系達到既定方針目標。措施階段 不僅需要根據(jù)檢查的結(jié)果采取糾正措施，重要的是以長遠的眼光觀察和解決問題，確保工作不僅致力于目前的問題，而且還要預防或降低類似事故再發(fā)生的可能性，這應成為持續(xù)改進循環(huán)的本質(zhì)部分。BS 7799-2:2002標準還要求組織將體系的更改及時通知相關(guān)方，如需要還應該安排必要的安全培訓。策劃和實施階段一直延伸到第一次管理評審，可以認為是信息安全管理體系持續(xù)改進過程 “啟動器”。檢查和措施階段通常是進一步補充、改正、改善前面所識別并實施的安全方案。通過這樣一個閉合的環(huán)，信息安全管理體系得以自組織、自學習、自適應、自修復、自生長，也即BS 7799-2:2002所說的保持并持續(xù)改進。BS 7799-2:2002其他特征BS 7799-2:2002信息安全管理體系規(guī)范是由英國標準協(xié)會開發(fā)的信息安全管理體系標準，其對于信息安全管理體系的地位與ISO 9001質(zhì)量管理體系要求之于質(zhì)量管理體系類似，可以作為審核、認證和自我評價的依據(jù)。為了響應組織應該是“良好企業(yè)公民（good corporate citizens）”的呼聲，1999年世界經(jīng)合組織(OECD)發(fā)布經(jīng)合組織企業(yè)治理原則(OECD principles of Corporate Governance)。目前這些原則在全球范圍內(nèi)得到廣泛實施，這些原則要求組織建立完善的內(nèi)部控制體系。BS 7799-2:2002在前言部分說明，信息安全和信息安全管理體系應該作為組織內(nèi)部控制體系的一部分，并且BS 7799-2:2002的方法可與這些原則完美結(jié)合。例如英格蘭和威爾士特許會計師協(xié)會針對經(jīng)合組織企業(yè)治理原則發(fā)布的指南特恩布爾報告(Turnbull Report，1999)要求組織應該進行：（a）商業(yè)風險分析（計劃）；（b）管理響應風險的內(nèi)部控制（實施）；（c）驗證有效性的管理評審（檢查）；（d）必要時采取措施（措施），這和BS 7799-2:2002的要求基本一致。為了降低管理的整體復雜程度,便于組織理解和接受,信息安全管理體系的建立和保持，應該采用和其他管理體系相同的方法。BS 7799-2:2002提倡采用過程方法建立、實施組織的信息安全管理體系，并持續(xù)改進其有效性。過程方法鼓勵組織重視下列內(nèi)容的重要性： 理解(組織)業(yè)務信息安全要求，以及為信息安全建立方針和目標的需求； 在管理組織整體商業(yè)風險背景下實施和運行控制； 監(jiān)控并評審信息安全管理體系的業(yè)績和有效性； 在目標測量的基礎上持續(xù)改進。BS 7799-2:2002采用了和ISO 9001、ISO 14001相類似的標準結(jié)構(gòu)(其對照關(guān)系見表1)，為信息安全管理體系和質(zhì)量管理體系、環(huán)境管理體系等的整合運行提供了方便的實現(xiàn)途徑。由此可見，依照BS7799-2:2002建立的信息安全管理體系，在模式和方法上都和其他管理體系兼容，可以很容易和其他管理體系相融合成為統(tǒng)一的內(nèi)部綜合管理體系。BS77992:2002ISO9001:2000ISO14001:199600.10.20.3引言總則過程方法與其他管理體系相容性00.10.20.4引言總則過程方法與其他管理體系的相容性引言11.11.2范圍總則應用11.11.2范圍總則應用1范圍2引用標準2引用標準2引用標準3術(shù)語及定義3術(shù)語及定義3定義44.14.24.34.3.14.3.24.3.34.3.4信息安全管理體系總要求過程文件要求總則ISMS手冊文件控制記錄的控制44.10.24.24.2.14.2.24.2.34.2.4質(zhì)量管理體系要求總要求過程模式文件要求總則質(zhì)量手冊文件控制記錄的控制44.14.4.44.4.44.4.54.5.3環(huán)境管理體系要求總要求環(huán)境管理體系文件環(huán)境管理體系文件文件控制記錄55.1管理職責管理承諾55.15.5.3管理職責管理承諾內(nèi)部溝通4.4.14.24.4.34.4.14.4.14.4.14.4.14.4.2組織結(jié)構(gòu)和職責環(huán)境方針信息交流組織結(jié)構(gòu)和職責組織結(jié)構(gòu)和職責組織結(jié)構(gòu)和職責組織結(jié)構(gòu)和職責培訓、意識和能力5.25.2.15.2.2資源管理資源的提供培訓、意識和能力66.16.26.2.16.2.2資源