如何建立信息安全管理體系

1、Important & Selected Documents 如何建立信息安全管理體系 (ISMS) 信息是所有組織賴以生存和發(fā)展的最有價值的資產(chǎn)之一，猶如維持生命所必須的血液。然而，在當今 激烈競爭的商業(yè)環(huán)境下，作為組織生命血液的信息總是受到多方面的威脅和風險。這些威脅可能來自內(nèi) 部，也可能來自外部，可能是無意的，也可能是惡意的。隨著信息的儲存、傳輸和檢索新技術的不斷涌 現(xiàn)，許多組織感到面對各種威脅防不勝防，猶如敞開了大門。 組織的業(yè)務目標和信息安全要求緊密相關。實際上，任何組織成功經(jīng)營的能力在很大程度上取決于 其有效地管理其信息安全風險的才干。因此，如何確保信息安全已是各種組織改進其競爭能

2、力的一個新 的 挑 戰(zhàn) 任 務 。 組 織 建 立 一 個 基 于 ISO/IEC27001:20RR 標 準 的 信 息 安 全 管 理 體 系 (InformationSecuritRManagementSRstem, 以下簡稱 ISMS) ，已成為時代的需要。 本文從簡單分析 ISO/IEC27001:20RR 標準的要求入手，論述建立一個符合該標準要求的ISMS 。 1. 正確理解 ISMS 的含義和要素 ISMS 創(chuàng)建人員只有正確地理解 ISMS 的含義、 要素和 ISO/IEC27001 標準的要求之后， 才有可能建立 一個符合要求的完善的 ISMS 。因此，本節(jié)先對 ISMS 的

3、含義和要素用通俗易懂的語言，做出解釋。 (1) “體系”的含義 “信息安全管理體系” (InformationSecuritRManagementSRstem) 中的“體系”來自英文 “SRstem”?！?SRstem” 當然可翻譯為“體系” ，但通常的譯文應是“系統(tǒng)” 。同樣，“ ManagementSRstem”當然可翻譯為“管理體 系 ”， 但 通 常 也 翻 譯 為 “ 管 理 系 統(tǒng) ”。 例 如 在 計 算 機 領 域 中 ， 一 個 十 分 常 見 的 術 語 “ DatabaseManagementSRstem”，被普遍公認地翻譯為“數(shù)據(jù)庫管理系統(tǒng)”(簡稱 DBMS) ，而幾乎

4、沒有人 將其翻譯為“數(shù)據(jù)庫管理體系” 。很顯然，如果把 ISMS 翻譯為“信息安全管理系統(tǒng)” ，也未嘗不可。 實際上，“體系”和“系統(tǒng)”的含義都一樣：由若干個為實現(xiàn)共同目標而相互依賴、協(xié)調(diào)工作的部件(或 組分)組成的統(tǒng)一體。這些組成“體系”或“系統(tǒng)”的部件也稱“要素” (Element) 。組成“體系”或“系 統(tǒng)”的這些要素相互依賴，缺一不可。否則“體系”或“系統(tǒng)”就會受破壞、癱瘓，而不能工作或運行。 例如，計算機系統(tǒng) (ComputerSRstem) 是由相互依賴的硬件和軟件組成。如果硬件或軟件受破壞，該計算機 系統(tǒng)就不能正常運行。 此外，“體系”或“系統(tǒng)”是可分級的，即有上級和下級之分。系

5、統(tǒng)的上級稱為上級系統(tǒng)。其下級稱 為子系統(tǒng)。 (2) ISMS 的含義 在 ISO/IEC27001 標準中，已對 ISMS 做出了明確的定義。通俗地說，組織有一個總管理體系， ISMS 是這 個總管理體系的一部分，或總管理體系的一個子體系。 ISMS 的建立是以業(yè)務風險方法為基礎，其目的是 建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。 如果一個組織有多個管理體系，例如包括ISMS、QMS( 質(zhì)量管理體系 )和 EMS(環(huán)境管理體系 )等，那么這 些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組分，或一 個子管理體系。各個子管理體系必須相互配合、協(xié)調(diào)一致地

6、工作，才能實現(xiàn)該組織的總目標。 (3) ISMS 的要素 標準還指出，管理體系包括“組織的結(jié)構、方針、規(guī)劃活動、職責、實踐、程序、過程和資源”(見 ISO/IEC27001:20RR3.7) 。這些就是構成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組分或要素。我們 將其歸納后， ISMS 的要素要包括： 1) 信息安全管理機構 通過信息安全管理機構，可建立各級安全組織、確定相關人員職責、策劃信息安全活動和實踐等。 2) ISMS 文件 包括 ISMS 方針、過程、程序和其它必須的文件等。 3) 資源 包括建立與實施 ISMS 所需要的合格人員、足夠的資金和必要的設備等。 ISMS 的建立要確保這

7、些 ISMS 要素得到滿足。 2. 建立信息安全管理機構 (1) 為什么需要信息安全管理機構 ? 系統(tǒng)(或體系 )可有“天然系統(tǒng)”和“人工系統(tǒng)”之分。ISMS 是一個人工系統(tǒng)，需要管理機構組織人力建 成。 ISMS 建成后，如果沒有管理機構組織人員管理(包括分配合理的資源、監(jiān)控和采取適當?shù)目刂拼胧?等 )ISMS 不可能運行。 ISMS 也不可能是一個“永動機” ，如果不能不斷地從管理機構獲取能源(包括人財 物)，其運行也會慢慢停止下來。 當今，社會上存在的常見問題是：某些組織建設管理體系的主要目的是為了取得認證證書，一旦取 得證書，對管理體系的管理工作就松懈下來，相關的體系管理機構不健全，甚

8、至被取消了，或者有名無 Important & Selected Documents Important & Selected Documents 實了。這樣的管理體系不太可能獲得好效益。 （2）如何組建信息安全管理機構？ 1）信息安全管理機構的名稱 標準沒有規(guī)定信息安全管理機構的名稱， 因此名稱并不重要。從目前的情況看， 許多組織在建立 ISMS 之 前，已經(jīng)運行了其它的管理體系，如 QMS 和 EMS 等。因此，最有效與省資源的辦法是將信息安全管理 機構合并于現(xiàn)有管理體系的管理機構，實行一元化領導。 2）信息安全管理機構的級別 信息安全管理機構的級別應根據(jù)組織的規(guī)模和復雜性而決定。從管理效

9、果看，對于中等以上規(guī)模的組織， 最好設立三個不同級別的信息安全管理機構： a）高層 以總經(jīng)理或管理者代表為領導，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。 b）中層 負責該組織日常信息安全的管理與監(jiān)督活動。 基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。 3. 執(zhí)行標準要求的 ISMS 建立過程 在 ISO/IEC27001:20RR 標準“ 4.2.1 建立 ISMS ”條款中，已經(jīng)規(guī)定了 ISMS 的建立內(nèi)容和步驟。組織 要遵照這些內(nèi)容和步驟， 結(jié)合其總體業(yè)務活動和風險的需要， 而建立其自己的 ISMS ，并形成相應的 ISMS 文件。

10、 （1）正確理解標準的要求 ISO/IEC27001:20RR “4.2.1EstablishtheISMS ”（4.2.1 建立 ISMS）條款，有 10 條強制性要求 （見4.2.1a-j）。由 于在英文標準中，這些要求都通過使用一個英語詞“shall ”引出，因此， BSI（英國標準研究院 ）把這些“強 制性要求”稱為“ shall”要求 （“shall”Requirements） 。這意味著， 凡是跟在“ shall”后面的要求都是 ISMS 必須完全滿足的命令式的要求。 這 10 條強制性要求既是 10 個過程或活動，也可作為 ISMS 建立的 10 個步驟。 （2） 遵照標準要求的

11、 ISMS 建立步驟 按照 ISO/IEC27001:20RR “4.2.1 建立 ISMS ”條款的要求，建立 ISMS 的步驟包括： 1）定義 ISMS 的范圍和邊界，形成 ISMS 的范圍文件； 2）定義 ISMS 方針 （包括建立風險評價的準則等 ）,形成 ISMS 方針文件； 3）定義組織的風險評估方法； 4）識別要保護的信息資產(chǎn)的風險，包括識別： a）資產(chǎn)及其責任人； b）資產(chǎn)所面臨的威脅； c）組織的脆弱點； d）資產(chǎn)保密性、完整性和可用性的喪失造成的影響。 5）分析和評價安全風險，形成風險評估報告文件，包括要保護的信息資產(chǎn)清單； 6）識別和評價風險處理的可選措施，形成風險處理計

12、劃文件； 7）根據(jù)風險處理計劃，選擇風險處理控制目標和控制措施，形成相關的文件； 8）管理者正式批準所有殘余風險； 9）管理者授權 ISMS 的實施和運行； 10）準備適用性聲明。 4. 完成所需要的 ISMS 文件 ISMS 文件是 ISMS 的主要要素，既要與 ISO/IEC27001:20RR 保持一致，又要符合本組織的信息安全 的需要。實際上， ISMS 文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標準，是 ISO/IEC27001:20RR 的具體體現(xiàn)。 對一般員工來說， 在其實際工作中， 可以不過問國際信息安全管理標準 -ISO/IEC27001:20RR ，但必須

13、按照 ISMS 文件的要求執(zhí)行工作。 （1）ISMS 文件的類型 根據(jù) ISO/IEC27001:20RR 標準的要求， ISMS 文件有三種類型。 1）方針類文件（ Policies ） 方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括： a） ISMS 方針 （ISMSpolicR） ； b）信息安全方針 （informationsecuritRpolicR） 。 其中， ISMS 方針是信息安全方針的父集。即在 ISMS 方針的框架下，組織可根據(jù)實際需要，制定其 Important & Selected Documents Important & Selected Document

14、s 它重要領域的具體的信息安全方針。例如，可有訪問控制方針、惡意軟件防范方針、口令控制方針、網(wǎng) 絡安全方針、硬件設備安全方針等。 2）程序類文件（ Procedures） “程序文件” 有時又稱作 “過程文件” ,包含著為達到某個特定目的， 而對一系列活動 （或過程 ）的順序 進行控制。有輸入 -處理 -輸出。所產(chǎn)生的輸出通常是“記錄” 。 3）記錄（ Records） 記錄是提供客觀證據(jù)的一種特殊類型的文件。通常,記錄發(fā)生于過去，是相關程序文件運行產(chǎn)生的結(jié) 果（或輸出） 。記錄通常是表格形式。 4）適用性聲明文件（ StatementofApplicabilitR, 簡稱 SOA ） ISO

15、/IEC27001:20RR 標準的附錄 A 提供許多控制目標和控制措施。這些控制目標和控制措施是最佳 實踐。對于這些控制目標和控制措施，實施 ISMS 的組織只要有正當性理由，可以只選擇適合本組織使用 的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明） ，并形成適用 性聲明文件。 （2）必須的文件 “必須的 ISMS 文件”是指 ISO/IEC27001:20RR “ 4.3.1 總則”明確規(guī)定的，一定要有的文件。這些文件就 是所謂的強制性文件 （mandatorRdocuments） 。“4.3.1 總則”要求 ISMS 文件必須包括 9 方面的內(nèi)容： 1）IS

16、MS 方針 ISMS 方針是組織的頂級文件，規(guī)定該組織如何管理和保護其信息資產(chǎn)的原則和方向，以及各方面人員的 職責等。 2）ISMS 的范圍 3）支持 ISMS 的程序和控制措施； 4）風險評估方法的描述； 5）風險評估報告； 6）風險處理計劃； 7）控制措施有效性的測量程序； 8）本標準所要求的記錄； 9）適用性聲明。 在實際工作中，上述內(nèi)容經(jīng)過歸納和整理后，可用以下文件表示： 1）ISMS 方針文件，包括 ISMS 的范圍； 2）風險評估程序，包括“風險評估方法的描述” ，而其運行的結(jié)果產(chǎn)生風險評估報告 。 3）風險處理程序，運行的結(jié)果產(chǎn)生風險處理計劃。 4）文件控制程序； 5）記錄控制程

17、序； 6）內(nèi)部審核程序； 7）糾正措施與預防措施程序； 8）控制措施有效性測量程序 9）管理評審程序 10）適用性聲明 （3）任意的文件 除了上述必須的文件外，組織可以根據(jù)其實際的業(yè)務活動和風險的需要，而確定某些文件（包括某些程 序文件和方針類文件） 。這些文件就是所謂的任意的文件（DiscretionarRdocuments） 。這類文件的內(nèi)容可隨 組織的不同而有所不同，主要取決于 : 1）組織的業(yè)務活動及風險； 2）安全要求的嚴格程度； 3）管理的體系的范圍和復雜程度。 這里，需要特別提出的是， ISMS 的特點之一是風險評估和風險管理。組織需要哪些 ISMS 文件及其復雜 程度如何，通常

18、可根據(jù)風險評估決定。如果風險評估的結(jié)果，發(fā)現(xiàn)有不可接受的風險，那么就應識別處 理這些風險的可能方法，包括形成相關文件。 （4）文件的符合性 ISMS 文件的符合性包括符合相關法律法規(guī)的要求、 符合 ISO/IEC27001:20RR 標準 4-8 章的所有要求 和符合本組織的實際要求。為此： 1）參考相關法律法規(guī)要求和標準要求 在編寫 ISMS 文件時 ,編寫者應參考相關法律法規(guī)要求和標準的相應條款的要求，例如， 在編寫 ISMS 方針 Important & Selected Documents Important & Selected Documents 時，要參考 ISO/IEC27001 “4.2.1b）定義 ISMS 方針”；編寫適用性聲明時，要參考 ISO/IEC27001 “4.2.1j） 準備適用性聲明” ；編寫文件控制程序時，要參考 ISO/IEC27001 “