信息安全管理與管理體系..doc_第1頁
信息安全管理與管理體系..doc_第2頁
信息安全管理與管理體系..doc_第3頁
信息安全管理與管理體系..doc_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

信息安全管理與管理體系 科飛管理咨詢有限公司 吳昌倫 王毅剛目前我國的信息安全管理主要依靠傳統(tǒng)的管理方法和手段來實(shí)現(xiàn),傳統(tǒng)的管理模式缺乏現(xiàn)代的系統(tǒng)管理思想,而技術(shù)手段又有其局限性。保護(hù)信息安全,國際公認(rèn)的、最有效的方式是采用系統(tǒng)的方法(管理技術(shù))。目前國際性標(biāo)準(zhǔn)ISO/IEC 17799就是這樣一套系統(tǒng)的信息安全管理方法。本欄目特別邀請出版了信息安全管理概論BS7799理解與實(shí)施、BS7799和ISO/IEC17799信息安全管理體系及其認(rèn)證認(rèn)可相關(guān)知識問答兩書的科飛管理咨詢有限公司的顧問專家,闡述運(yùn)用相關(guān)國際標(biāo)準(zhǔn)實(shí)施信息安全管理體系應(yīng)該注意的問題。組織的信息資產(chǎn)和其他資產(chǎn)一樣對組織具有重要作用,組織為了保證這些信息資產(chǎn)的安全,需要付出持續(xù)的努力。在采取行動之前,需要首先理解信息安全的目標(biāo)。明確信息安全管理目標(biāo)為了保障組織信息資產(chǎn)的安全,為了更好的理解和便于操作,信息安全管理目標(biāo)通常被分解為保持組織信息資產(chǎn)及其所支持業(yè)務(wù)流程的三個(gè)性質(zhì):保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。保密性 保障信息只有被授權(quán)使用的人可以訪問。完整性 保護(hù)信息及其處理方法的準(zhǔn)確性和完整性??捎眯?保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。各類組織,無論其規(guī)模和性質(zhì),其信息安全管理行為的目的都是為了保障組織的信息資產(chǎn)及其所支持業(yè)務(wù)流程的保密性、完整性和可用性。如果把組織的信息安全管理行為作為一個(gè)過程(一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動,見ISO 9000:2000質(zhì)量管理體系基礎(chǔ)和術(shù)語)來看待,其輸入應(yīng)該是組織和其他相關(guān)方對組織信息安全管理的要求和期望,而輸出應(yīng)該是令組織和相關(guān)方滿意的信息安全狀態(tài)(見圖1)。圖1:信息安全管理過程作用示意圖組織不僅需要達(dá)到滿意的信息安全狀態(tài),而且要持續(xù)地保持這種狀態(tài)。這要求組織建立保持機(jī)制,保證組織能夠不斷的識別并適應(yīng)自身情況和環(huán)境的變化。應(yīng)用系統(tǒng)方法解決系統(tǒng)問題實(shí)踐證明,信息安全是個(gè)復(fù)雜的系統(tǒng)問題,必須以系統(tǒng)的方法來解決。建立管理體系(建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系,見ISO 9000:2000質(zhì)量管理體系基礎(chǔ)和術(shù)語)是系統(tǒng)解決復(fù)雜問題的有效方法。正如同為了保證質(zhì)量管理的有效性、充分性和適宜性,組織需要建立質(zhì)量管理體系(QMS);為了保證信息安全管理的有效性、充分性和適宜性,組織需要建立信息安全管理體系(ISMS)。從系統(tǒng)管理的觀點(diǎn)來看, 一個(gè)體系(系統(tǒng))必須具有自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長的能力和功能才可以保證其持續(xù)有效性。信息安全管理體系通過不斷地識別組織和相關(guān)方的信息安全要求,不斷地識別外界環(huán)境和組織自身的變化,不斷地學(xué)習(xí)采用新的管理理念和技術(shù)手段,不斷地調(diào)整自己的目標(biāo)、方針、程序和過程等,才可以實(shí)現(xiàn)持續(xù)的安全。下面結(jié)合國際著名的信息安全管理體系標(biāo)準(zhǔn)BS 7799-2:2002信息安全管理體系規(guī)范討論信息安全管理體系的作用。理解“過程模型”的作用BS 7799-2:2002標(biāo)準(zhǔn)的總要求是“組織應(yīng)在其整體商業(yè)活動和風(fēng)險(xiǎn)范圍內(nèi),建立、實(shí)施、保持并持續(xù)改進(jìn)一個(gè)文件化的信息安全管理體系”。為了滿足這個(gè)總要求, BS 7799-2:2002采用的過程模式如圖2所示,也就是將過程分解為“計(jì)劃-實(shí)施-檢查-措施”四個(gè)階段,通過四個(gè)階段周而復(fù)始的循環(huán),使體系得到保持和改進(jìn)。這個(gè)過程模式不僅可以像圖2那樣用于信息安全管理體系的整體過程,同樣可以應(yīng)用于體系所涵蓋的任何其他過程及其子過程,例如信息安全風(fēng)險(xiǎn)評估或者商務(wù)持續(xù)性計(jì)劃的安排等過程。圖2:PDCA過程模式策劃階段 要保證信息安全管理體系的范圍和環(huán)境得到建立,信息安全風(fēng)險(xiǎn)合理評估并針對風(fēng)險(xiǎn)制定了可行、有效的風(fēng)險(xiǎn)處理計(jì)劃。實(shí)施階段 就是執(zhí)行策劃階段的決定和方案,配備相應(yīng)的資源,進(jìn)行必要的培訓(xùn),保持策劃的信息安全管理文件,在組織內(nèi)形成適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化,獲得所有相關(guān)方的支持。檢查階段 目的是確認(rèn)控制方法按既定的目的行之有效,發(fā)現(xiàn)改進(jìn)的機(jī)會,認(rèn)識到糾正措施只是必需的。BS 7799-2:2002附錄B中提供了幾個(gè)檢查的實(shí)例,包括:例行檢查、自查程序、向其他人學(xué)習(xí)、審核和管理評審等。很多計(jì)算機(jī)系統(tǒng)可以做到自動審核,聯(lián)動響應(yīng)機(jī)制幾乎可以做到即時(shí)審核、即時(shí)響應(yīng)。當(dāng)然標(biāo)準(zhǔn)還要求組織有其他的響應(yīng)安排,例如響應(yīng)安全失效事件、所保護(hù)信息資產(chǎn)的重要更改、新威脅或薄弱點(diǎn)的出現(xiàn)等。當(dāng)然每年還必須進(jìn)行至少一次的管理 評審,以確保整個(gè)管理體系達(dá)到既定方針目標(biāo)。措施階段 不僅需要根據(jù)檢查的結(jié)果采取糾正措施,重要的是以長遠(yuǎn)的眼光觀察和解決問題,確保工作不僅致力于目前的問題,而且還要預(yù)防或降低類似事故再發(fā)生的可能性,這應(yīng)成為持續(xù)改進(jìn)循環(huán)的本質(zhì)部分。BS 7799-2:2002標(biāo)準(zhǔn)還要求組織將體系的更改及時(shí)通知相關(guān)方,如需要還應(yīng)該安排必要的安全培訓(xùn)。策劃和實(shí)施階段一直延伸到第一次管理評審,可以認(rèn)為是信息安全管理體系持續(xù)改進(jìn)過程 “啟動器”。檢查和措施階段通常是進(jìn)一步補(bǔ)充、改正、改善前面所識別并實(shí)施的安全方案。通過這樣一個(gè)閉合的環(huán),信息安全管理體系得以自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長,也即BS 7799-2:2002所說的保持并持續(xù)改進(jìn)。BS 7799-2:2002其他特征BS 7799-2:2002信息安全管理體系規(guī)范是由英國標(biāo)準(zhǔn)協(xié)會開發(fā)的信息安全管理體系標(biāo)準(zhǔn),其對于信息安全管理體系的地位與ISO 9001質(zhì)量管理體系要求之于質(zhì)量管理體系類似,可以作為審核、認(rèn)證和自我評價(jià)的依據(jù)。為了響應(yīng)組織應(yīng)該是“良好企業(yè)公民(good corporate citizens)”的呼聲,1999年世界經(jīng)合組織(OECD)發(fā)布經(jīng)合組織企業(yè)治理原則(OECD principles of Corporate Governance)。目前這些原則在全球范圍內(nèi)得到廣泛實(shí)施,這些原則要求組織建立完善的內(nèi)部控制體系。BS 7799-2:2002在前言部分說明,信息安全和信息安全管理體系應(yīng)該作為組織內(nèi)部控制體系的一部分,并且BS 7799-2:2002的方法可與這些原則完美結(jié)合。例如英格蘭和威爾士特許會計(jì)師協(xié)會針對經(jīng)合組織企業(yè)治理原則發(fā)布的指南特恩布爾報(bào)告(Turnbull Report,1999)要求組織應(yīng)該進(jìn)行:(a)商業(yè)風(fēng)險(xiǎn)分析(計(jì)劃);(b)管理響應(yīng)風(fēng)險(xiǎn)的內(nèi)部控制(實(shí)施);(c)驗(yàn)證有效性的管理評審(檢查);(d)必要時(shí)采取措施(措施),這和BS 7799-2:2002的要求基本一致。為了降低管理的整體復(fù)雜程度,便于組織理解和接受,信息安全管理體系的建立和保持,應(yīng)該采用和其他管理體系相同的方法。BS 7799-2:2002提倡采用過程方法建立、實(shí)施組織的信息安全管理體系,并持續(xù)改進(jìn)其有效性。過程方法鼓勵(lì)組織重視下列內(nèi)容的重要性: 理解(組織)業(yè)務(wù)信息安全要求,以及為信息安全建立方針和目標(biāo)的需求; 在管理組織整體商業(yè)風(fēng)險(xiǎn)背景下實(shí)施和運(yùn)行控制; 監(jiān)控并評審信息安全管理體系的業(yè)績和有效性; 在目標(biāo)測量的基礎(chǔ)上持續(xù)改進(jìn)。BS 7799-2:2002采用了和ISO 9001、ISO 14001相類似的標(biāo)準(zhǔn)結(jié)構(gòu)(其對照關(guān)系見表1),為信息安全管理體系和質(zhì)量管理體系、環(huán)境管理體系等的整合運(yùn)行提供了方便的實(shí)現(xiàn)途徑。由此可見,依照BS7799-2:2002建立的信息安全管理體系,在模式和方法上都和其他管理體系兼容,可以很容易和其他管理體系相融合成為統(tǒng)一的內(nèi)部綜合管理體系。BS77992:2002ISO9001:2000ISO14001:199600.10.20.3引言總則過程方法與其他管理體系相容性00.10.20.4引言總則過程方法與其他管理體系的相容性引言11.11.2范圍總則應(yīng)用11.11.2范圍總則應(yīng)用1范圍2引用標(biāo)準(zhǔn)2引用標(biāo)準(zhǔn)2引用標(biāo)準(zhǔn)3術(shù)語及定義3術(shù)語及定義3定義44.14.24.34.3.14.3.24.3.34.3.4信息安全管理體系總要求過程文件要求總則ISMS手冊文件控制記錄的控制44.10.24.24.2.14.2.24.2.34.2.4質(zhì)量管理體系要求總要求過程模式文件要求總則質(zhì)量手冊文件控制記錄的控制44.14.4.44.4.44.4.54.5.3環(huán)境管理體系要求總要求環(huán)境管理體系文件環(huán)境管理體系文件文件控制記錄55.1管理職責(zé)管理承諾55.15.5.3管理職責(zé)管理承諾內(nèi)部溝通4.4.14.24.4.34.4.14.4.14.4.14.4.14.4.2組織結(jié)構(gòu)和職責(zé)環(huán)境方針信息交流組織結(jié)構(gòu)和職責(zé)組織結(jié)構(gòu)和職責(zé)組織結(jié)構(gòu)和職責(zé)組織結(jié)構(gòu)和職責(zé)培訓(xùn)、意識和能力5.25.2.15.2.2資源管理資源的提供培訓(xùn)、意識和能力66.16.26.2.16.2.2資源

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論