如何建立信息安全管理體系

1、Important & Selected Documents 如何建立信息安全管理體系 (ISMS) 信息是所有組織賴以生存和發(fā)展的最有價(jià)值的資產(chǎn)之一，猶如維持生命所必須的血液。然而，在當(dāng)今 激烈競(jìng)爭(zhēng)的商業(yè)環(huán)境下，作為組織生命血液的信息總是受到多方面的威脅和風(fēng)險(xiǎn)。這些威脅可能來自內(nèi) 部，也可能來自外部，可能是無意的，也可能是惡意的。隨著信息的儲(chǔ)存、傳輸和檢索新技術(shù)的不斷涌 現(xiàn)，許多組織感到面對(duì)各種威脅防不勝防，猶如敞開了大門。 組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實(shí)際上，任何組織成功經(jīng)營(yíng)的能力在很大程度上取決于 其有效地管理其信息安全風(fēng)險(xiǎn)的才干。因此，如何確保信息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能

2、力的一個(gè)新 的 挑 戰(zhàn) 任 務(wù) 。 組 織 建 立 一 個(gè) 基 于 ISO/IEC27001:20RR 標(biāo) 準(zhǔn) 的 信 息 安 全 管 理 體 系 (InformationSecuritRManagementSRstem, 以下簡(jiǎn)稱 ISMS) ，已成為時(shí)代的需要。 本文從簡(jiǎn)單分析 ISO/IEC27001:20RR 標(biāo)準(zhǔn)的要求入手，論述建立一個(gè)符合該標(biāo)準(zhǔn)要求的ISMS 。 1. 正確理解 ISMS 的含義和要素 ISMS 創(chuàng)建人員只有正確地理解 ISMS 的含義、 要素和 ISO/IEC27001 標(biāo)準(zhǔn)的要求之后， 才有可能建立 一個(gè)符合要求的完善的 ISMS 。因此，本節(jié)先對(duì) ISMS 的

3、含義和要素用通俗易懂的語言，做出解釋。 (1) “體系”的含義 “信息安全管理體系” (InformationSecuritRManagementSRstem) 中的“體系”來自英文 “SRstem”?！?SRstem” 當(dāng)然可翻譯為“體系” ，但通常的譯文應(yīng)是“系統(tǒng)” 。同樣，“ ManagementSRstem”當(dāng)然可翻譯為“管理體 系 ”， 但 通 常 也 翻 譯 為 “ 管 理 系 統(tǒng) ”。 例 如 在 計(jì) 算 機(jī) 領(lǐng) 域 中 ， 一 個(gè) 十 分 常 見 的 術(shù) 語 “ DatabaseManagementSRstem”，被普遍公認(rèn)地翻譯為“數(shù)據(jù)庫(kù)管理系統(tǒng)”(簡(jiǎn)稱 DBMS) ，而幾乎

4、沒有人 將其翻譯為“數(shù)據(jù)庫(kù)管理體系” 。很顯然，如果把 ISMS 翻譯為“信息安全管理系統(tǒng)” ，也未嘗不可。 實(shí)際上，“體系”和“系統(tǒng)”的含義都一樣：由若干個(gè)為實(shí)現(xiàn)共同目標(biāo)而相互依賴、協(xié)調(diào)工作的部件(或 組分)組成的統(tǒng)一體。這些組成“體系”或“系統(tǒng)”的部件也稱“要素” (Element) 。組成“體系”或“系 統(tǒng)”的這些要素相互依賴，缺一不可。否則“體系”或“系統(tǒng)”就會(huì)受破壞、癱瘓，而不能工作或運(yùn)行。 例如，計(jì)算機(jī)系統(tǒng) (ComputerSRstem) 是由相互依賴的硬件和軟件組成。如果硬件或軟件受破壞，該計(jì)算機(jī) 系統(tǒng)就不能正常運(yùn)行。 此外，“體系”或“系統(tǒng)”是可分級(jí)的，即有上級(jí)和下級(jí)之分。系

5、統(tǒng)的上級(jí)稱為上級(jí)系統(tǒng)。其下級(jí)稱 為子系統(tǒng)。 (2) ISMS 的含義 在 ISO/IEC27001 標(biāo)準(zhǔn)中，已對(duì) ISMS 做出了明確的定義。通俗地說，組織有一個(gè)總管理體系， ISMS 是這 個(gè)總管理體系的一部分，或總管理體系的一個(gè)子體系。 ISMS 的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，其目的是 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。 如果一個(gè)組織有多個(gè)管理體系，例如包括ISMS、QMS( 質(zhì)量管理體系 )和 EMS(環(huán)境管理體系 )等，那么這 些管理體系就組成該組織的總管理體系，而每一個(gè)管理體系只是該組織總管理體系中的一個(gè)組分，或一 個(gè)子管理體系。各個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地

6、工作，才能實(shí)現(xiàn)該組織的總目標(biāo)。 (3) ISMS 的要素 標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源”(見 ISO/IEC27001:20RR3.7) 。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組分或要素。我們 將其歸納后， ISMS 的要素要包括： 1) 信息安全管理機(jī)構(gòu) 通過信息安全管理機(jī)構(gòu)，可建立各級(jí)安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動(dòng)和實(shí)踐等。 2) ISMS 文件 包括 ISMS 方針、過程、程序和其它必須的文件等。 3) 資源 包括建立與實(shí)施 ISMS 所需要的合格人員、足夠的資金和必要的設(shè)備等。 ISMS 的建立要確保這

7、些 ISMS 要素得到滿足。 2. 建立信息安全管理機(jī)構(gòu) (1) 為什么需要信息安全管理機(jī)構(gòu) ? 系統(tǒng)(或體系 )可有“天然系統(tǒng)”和“人工系統(tǒng)”之分。ISMS 是一個(gè)人工系統(tǒng)，需要管理機(jī)構(gòu)組織人力建 成。 ISMS 建成后，如果沒有管理機(jī)構(gòu)組織人員管理(包括分配合理的資源、監(jiān)控和采取適當(dāng)?shù)目刂拼胧?等 )ISMS 不可能運(yùn)行。 ISMS 也不可能是一個(gè)“永動(dòng)機(jī)” ，如果不能不斷地從管理機(jī)構(gòu)獲取能源(包括人財(cái) 物)，其運(yùn)行也會(huì)慢慢停止下來。 當(dāng)今，社會(huì)上存在的常見問題是：某些組織建設(shè)管理體系的主要目的是為了取得認(rèn)證證書，一旦取 得證書，對(duì)管理體系的管理工作就松懈下來，相關(guān)的體系管理機(jī)構(gòu)不健全，甚

8、至被取消了，或者有名無 Important & Selected Documents Important & Selected Documents 實(shí)了。這樣的管理體系不太可能獲得好效益。 （2）如何組建信息安全管理機(jī)構(gòu)？ 1）信息安全管理機(jī)構(gòu)的名稱 標(biāo)準(zhǔn)沒有規(guī)定信息安全管理機(jī)構(gòu)的名稱， 因此名稱并不重要。從目前的情況看， 許多組織在建立 ISMS 之 前，已經(jīng)運(yùn)行了其它的管理體系，如 QMS 和 EMS 等。因此，最有效與省資源的辦法是將信息安全管理 機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實(shí)行一元化領(lǐng)導(dǎo)。 2）信息安全管理機(jī)構(gòu)的級(jí)別 信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效

9、果看，對(duì)于中等以上規(guī)模的組織， 最好設(shè)立三個(gè)不同級(jí)別的信息安全管理機(jī)構(gòu)： a）高層 以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全工作有一個(gè)明確的方向和提供管理承諾和必要的資源。 b）中層 負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。 基層部門指定一位兼職的信息安全檢查員，實(shí)施對(duì)其本部門的日常信息安全監(jiān)視和檢查工作。 3. 執(zhí)行標(biāo)準(zhǔn)要求的 ISMS 建立過程 在 ISO/IEC27001:20RR 標(biāo)準(zhǔn)“ 4.2.1 建立 ISMS ”條款中，已經(jīng)規(guī)定了 ISMS 的建立內(nèi)容和步驟。組織 要遵照這些內(nèi)容和步驟， 結(jié)合其總體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要， 而建立其自己的 ISMS ，并形成相應(yīng)的 ISMS 文件。

10、 （1）正確理解標(biāo)準(zhǔn)的要求 ISO/IEC27001:20RR “4.2.1EstablishtheISMS ”（4.2.1 建立 ISMS）條款，有 10 條強(qiáng)制性要求 （見4.2.1a-j）。由 于在英文標(biāo)準(zhǔn)中，這些要求都通過使用一個(gè)英語詞“shall ”引出，因此， BSI（英國(guó)標(biāo)準(zhǔn)研究院 ）把這些“強(qiáng) 制性要求”稱為“ shall”要求 （“shall”Requirements） 。這意味著， 凡是跟在“ shall”后面的要求都是 ISMS 必須完全滿足的命令式的要求。 這 10 條強(qiáng)制性要求既是 10 個(gè)過程或活動(dòng)，也可作為 ISMS 建立的 10 個(gè)步驟。 （2） 遵照標(biāo)準(zhǔn)要求的

11、 ISMS 建立步驟 按照 ISO/IEC27001:20RR “4.2.1 建立 ISMS ”條款的要求，建立 ISMS 的步驟包括： 1）定義 ISMS 的范圍和邊界，形成 ISMS 的范圍文件； 2）定義 ISMS 方針 （包括建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等 ）,形成 ISMS 方針文件； 3）定義組織的風(fēng)險(xiǎn)評(píng)估方法； 4）識(shí)別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn)，包括識(shí)別： a）資產(chǎn)及其責(zé)任人； b）資產(chǎn)所面臨的威脅； c）組織的脆弱點(diǎn)； d）資產(chǎn)保密性、完整性和可用性的喪失造成的影響。 5）分析和評(píng)價(jià)安全風(fēng)險(xiǎn)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告文件，包括要保護(hù)的信息資產(chǎn)清單； 6）識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施，形成風(fēng)險(xiǎn)處理計(jì)

12、劃文件； 7）根據(jù)風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施，形成相關(guān)的文件； 8）管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)； 9）管理者授權(quán) ISMS 的實(shí)施和運(yùn)行； 10）準(zhǔn)備適用性聲明。 4. 完成所需要的 ISMS 文件 ISMS 文件是 ISMS 的主要要素，既要與 ISO/IEC27001:20RR 保持一致，又要符合本組織的信息安全 的需要。實(shí)際上， ISMS 文件是本組織“度身定做”的適合本組織需要的實(shí)際的信息安全管理標(biāo)準(zhǔn)，是 ISO/IEC27001:20RR 的具體體現(xiàn)。 對(duì)一般員工來說， 在其實(shí)際工作中， 可以不過問國(guó)際信息安全管理標(biāo)準(zhǔn) -ISO/IEC27001:20RR ，但必須

13、按照 ISMS 文件的要求執(zhí)行工作。 （1）ISMS 文件的類型 根據(jù) ISO/IEC27001:20RR 標(biāo)準(zhǔn)的要求， ISMS 文件有三種類型。 1）方針類文件（ Policies ） 方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括： a） ISMS 方針 （ISMSpolicR） ； b）信息安全方針 （informationsecuritRpolicR） 。 其中， ISMS 方針是信息安全方針的父集。即在 ISMS 方針的框架下，組織可根據(jù)實(shí)際需要，制定其 Important & Selected Documents Important & Selected Document

14、s 它重要領(lǐng)域的具體的信息安全方針。例如，可有訪問控制方針、惡意軟件防范方針、口令控制方針、網(wǎng) 絡(luò)安全方針、硬件設(shè)備安全方針等。 2）程序類文件（ Procedures） “程序文件” 有時(shí)又稱作 “過程文件” ,包含著為達(dá)到某個(gè)特定目的， 而對(duì)一系列活動(dòng) （或過程 ）的順序 進(jìn)行控制。有輸入 -處理 -輸出。所產(chǎn)生的輸出通常是“記錄” 。 3）記錄（ Records） 記錄是提供客觀證據(jù)的一種特殊類型的文件。通常,記錄發(fā)生于過去，是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié) 果（或輸出） 。記錄通常是表格形式。 4）適用性聲明文件（ StatementofApplicabilitR, 簡(jiǎn)稱 SOA ） ISO

15、/IEC27001:20RR 標(biāo)準(zhǔn)的附錄 A 提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳 實(shí)踐。對(duì)于這些控制目標(biāo)和控制措施，實(shí)施 ISMS 的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用 的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明） ，并形成適用 性聲明文件。 （2）必須的文件 “必須的 ISMS 文件”是指 ISO/IEC27001:20RR “ 4.3.1 總則”明確規(guī)定的，一定要有的文件。這些文件就 是所謂的強(qiáng)制性文件 （mandatorRdocuments） 。“4.3.1 總則”要求 ISMS 文件必須包括 9 方面的內(nèi)容： 1）IS

16、MS 方針 ISMS 方針是組織的頂級(jí)文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員的 職責(zé)等。 2）ISMS 的范圍 3）支持 ISMS 的程序和控制措施； 4）風(fēng)險(xiǎn)評(píng)估方法的描述； 5）風(fēng)險(xiǎn)評(píng)估報(bào)告； 6）風(fēng)險(xiǎn)處理計(jì)劃； 7）控制措施有效性的測(cè)量程序； 8）本標(biāo)準(zhǔn)所要求的記錄； 9）適用性聲明。 在實(shí)際工作中，上述內(nèi)容經(jīng)過歸納和整理后，可用以下文件表示： 1）ISMS 方針文件，包括 ISMS 的范圍； 2）風(fēng)險(xiǎn)評(píng)估程序，包括“風(fēng)險(xiǎn)評(píng)估方法的描述” ，而其運(yùn)行的結(jié)果產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告 。 3）風(fēng)險(xiǎn)處理程序，運(yùn)行的結(jié)果產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃。 4）文件控制程序； 5）記錄控制程

17、序； 6）內(nèi)部審核程序； 7）糾正措施與預(yù)防措施程序； 8）控制措施有效性測(cè)量程序 9）管理評(píng)審程序 10）適用性聲明 （3）任意的文件 除了上述必須的文件外，組織可以根據(jù)其實(shí)際的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要，而確定某些文件（包括某些程 序文件和方針類文件） 。這些文件就是所謂的任意的文件（DiscretionarRdocuments） 。這類文件的內(nèi)容可隨 組織的不同而有所不同，主要取決于 : 1）組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)； 2）安全要求的嚴(yán)格程度； 3）管理的體系的范圍和復(fù)雜程度。 這里，需要特別提出的是， ISMS 的特點(diǎn)之一是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。組織需要哪些 ISMS 文件及其復(fù)雜 程度如何，通常

18、可根據(jù)風(fēng)險(xiǎn)評(píng)估決定。如果風(fēng)險(xiǎn)評(píng)估的結(jié)果，發(fā)現(xiàn)有不可接受的風(fēng)險(xiǎn)，那么就應(yīng)識(shí)別處 理這些風(fēng)險(xiǎn)的可能方法，包括形成相關(guān)文件。 （4）文件的符合性 ISMS 文件的符合性包括符合相關(guān)法律法規(guī)的要求、 符合 ISO/IEC27001:20RR 標(biāo)準(zhǔn) 4-8 章的所有要求 和符合本組織的實(shí)際要求。為此： 1）參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求 在編寫 ISMS 文件時(shí) ,編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求，例如， 在編寫 ISMS 方針 Important & Selected Documents Important & Selected Documents 時(shí)，要參考 ISO/IEC27001 “4.2.1b）定義 ISMS 方針”；編寫適用性聲明時(shí)，要參考 ISO/IEC27001 “4.2.1j） 準(zhǔn)備適用性聲明” ；編寫文件控制程序時(shí)，要參考 ISO/IEC27001 “