信息安全管理體系建設

1、佛山市南海天富科技有限公司信息安全管理體系建設咨詢服務項目編寫人員：黃世榮編寫日期：2015年12月7日項目縮寫：文檔版本：V1.0修改記錄:日期編寫人員版本備注 時間：2015年12月一、 信息化建設引言隨著我國中小企業(yè)信息化的普及，信息化給我國中小企業(yè)帶來積極影響的同時也帶來了信息安全方面的消極影響。一方面：信息化在中小企業(yè)的發(fā)展過程中，對節(jié)約企業(yè)成本和達到有效管理的起到了積極的推動作用。另一方面，伴隨著全球信息化和網(wǎng)絡化進程的發(fā)展，與此相關的信息安全問題也日趨嚴重。由于我國中小企業(yè)規(guī)模小、經(jīng)濟實力不足以及中小企業(yè)的領導者缺乏信息安全領域知識和意識，導致中小企業(yè)的信息安全面臨著較大的風險，

2、我國中小企業(yè)信息化進程已經(jīng)步入普及階段，解決我國中小企業(yè)的信息安全問題已經(jīng)刻不容緩。通過制定和實施企業(yè)信息安全管理體系能夠規(guī)范企業(yè)員工的行為，保證各種技術(shù)手段的有效實施，從整體上統(tǒng)籌安排各種軟硬件，保證信息安全體系協(xié)同工作的高效、有序和經(jīng)濟性。信息安全管理體系不僅可以在信息安全事故發(fā)生后能夠及時采取有效的措施，防止信息安全事故帶來巨大的損失，而更重要的是信息安全管理體系能夠預防和避免大多數(shù)的信息安全事件的發(fā)生。信息安全管理就是對信息安全風險進行識別、分析、采取措施將風險降到可接受水平并維持該水平的過程。企業(yè)的信息安全管理不是一勞永逸的，由于新的威脅不斷出現(xiàn)，信息安全管理是一個相對的、 動態(tài)的過

3、程，企業(yè)能做到的就是要不斷改進自身的信息安全狀態(tài)，將信息安全風險控制在企業(yè)可接受的范圍之內(nèi)，獲得企業(yè)現(xiàn)有條件下和資源能力范圍內(nèi)最大程度的安全。在信息安全管理領域，“三分技術(shù)，七分管理”的理念已經(jīng)被廣泛接受。結(jié)合ISO/IEC27001信息安全管理體系，提出一個適合我國中小企業(yè)的信息安全管理的模型，用以指導我國中小企業(yè)的信息安全實踐并不斷提高中小企業(yè)的安全管理能力。二、 ISO27001信息安全管理體系框架建立ISO27001信息安全管理體系框架的搭建必須按照適當?shù)某绦騺磉M行（如下圖所示）。首先，各個組織應該根據(jù)自身的狀況來搭建適合自身業(yè)務發(fā)展和信息安全需求的 ISO27001信息安全管理體系框

4、架，并在正常的業(yè)務開展過程中具體實施構(gòu)架的ISO27001信息安全管理體系。同時在信息安全管理體系的基礎上，建立各種與信息安全管理框架相一致的相關文檔、文件，并對其進行嚴格的管理。對在具體實施ISO27001信息安全管理體系過程中出現(xiàn)的各種信息安全事件和安全狀況進行嚴格的記錄，并建立嚴格的反饋流程和制度。（1）信息安全策略組織應制定信息安全策略（Information Security Policy）以對組織的信息安全提供管理方向與支持。組織不僅要有一個總體的安全策略，而且，在總體策略的框架內(nèi)，根據(jù)風險評估的結(jié)果，制定更加具體的安全方針，明確規(guī)定具體的控制規(guī)則，如“清理桌面和清楚屏幕策略”、“

5、訪問控制策略”等。（2）范圍組織要根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)對信息安全管理體系范圍（scope）進行界定。組織信息安全管理體系范圍包括以下項目：l 需保護的信息系統(tǒng)、資產(chǎn)、技術(shù)。l 實物場所（地理位置、部門）。（3）風險評估組織需要選擇一個適合其安全要求的風險評估和管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風險及風險等級；風險評估的對象是組織的信息資產(chǎn)，評估考慮 的因素包括資產(chǎn)所受的威脅、薄弱點及威脅發(fā)生后對組織的影響。無論采用何種風險評估工具方法，其最終評估結(jié)果應是一致的。（4）風險管理組織應根據(jù)信息安全策略和所要求的安全程度，識別所要管理的風險內(nèi)容?？刂骑L險包括識別所需的安

6、全措施，通過降低、避免、轉(zhuǎn)移將風險降至可接受的水平。風險隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。（5）控制目標與控制方式的選擇風險評估之后，組織應從已有信息安全技術(shù)中選擇適當?shù)目刂品椒?，包括額外的控制（組織新增加的和法律法規(guī)所要求的），降低已識別的風險。（6）適用性聲明信息安全適用性聲明記錄了組織內(nèi)相關的風險管制目標和針對每種風險所采取的控制措施。它的準備，一方面是為了向組織內(nèi)的員工聲明對信息安全面對風險的態(tài)度；另一方面也是為了向外界表明組織的態(tài)度和作為。三、 ISO27001信息安全管理體系實施方法ISO27001信息安全管理體系（Information Securi

7、ty Management System）作為組織完整的管理體系中的一個重要環(huán)節(jié)，構(gòu)成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。了解信息安全管理的方法，我們必須先明確企業(yè)或組織的信息安全需求。一般來說，企業(yè)的信息安全需求主要有三個來源，他們分別是法 律法規(guī)與合同條約的要求；組織的原則、目標和規(guī)定；風險評估的結(jié)果等。信息安全的成敗取決于兩個因素：技術(shù)和管理，人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性，我們可以把安全技術(shù)比作信息安全的構(gòu)筑材料，那么安全管理則是真正的粘合劑和催化劑?，F(xiàn)實世界里，大多數(shù)安全事件的發(fā)生和安

8、全隱患的存在，與 其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。信息安全不是產(chǎn)品的簡單堆 積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作這三種要素的緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。信息安全管理是指導和控制組織的關于信息安全風險的相互協(xié)調(diào)的活動。首先應該制定信息安全的策略方針，它是信息安全管理的導向和支持，在此基礎上選擇控制目標與控制方式，企業(yè)和組織還需考慮控制成本與風險平衡的原則，將風險降低到組織可接受的水平，整個管理過程需要全員的參與，實施動態(tài)管理。實施安全管理，還應遵循管理的一般模式PDCA模型

9、。PDCA模型，即Plan、Do、Check和Act，是一種持續(xù)改進的管理模式，見下圖所示。措施（Action）針對檢查結(jié)果采取應對措施，改進安全狀況；計劃（Plan）根據(jù)風險評估結(jié)果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施；實施（Do）實施所選的安全控制措施；檢查（Check）依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。PDCA模型是一種抽象的模型，它把相關的資源和活動抽象為過程進行管理，具有廣泛通用性。 PDCA是順序依次進行的，依靠組織的力量推動，周而復始，不斷循環(huán)，持續(xù)改進，組織中的每個部門和個人，在履行相關職責時，都是基于PDCA這個過程的

10、，組織的內(nèi)部管理，就構(gòu)成了大環(huán)套小環(huán)層層遞進的模式，每一次循環(huán)結(jié)束，都要對其進行總結(jié)，鞏固成績，改進不足，同時提出新的目標，以便進入下一次更高 級的循環(huán)。ISO27000/ISO27001標準對于信息安全管理體系的定義如下圖所示：ISO27001信息安全管理可操作的一般過程和相應的活動包括：1. 確定組織的信息安全目標和戰(zhàn)略2. 開發(fā)信息安全策略3. 進行風險評估（Risk Assessment），明確組織的信息安全需求，具體活動包括：1) 制定風險評估計劃（明確范圍和責任，采集相關信息，描述目標系統(tǒng)）；2) 識別并評價信息資產(chǎn)，理解資產(chǎn)的價值和敏感性；3) 識別并評估威脅，理解威脅發(fā)生的可能

11、性；4) 識別并評價弱點，理解弱點被利用的容易程度；5) 評估風險，確定風險等級；6) 評估并比較現(xiàn)有的安全措施（控制），找出目標與現(xiàn)狀之間的差距；7) 根據(jù)已經(jīng)明確的需求來推薦安全措施。4. 進行風險消減（Risk Mitigation），具體活動包括：1) 確定風險消減策略，以便減少、規(guī)避、轉(zhuǎn)嫁或接受風險；2) 選擇安全措施（控制）；3) 制定安全計劃，明確安全措施的構(gòu)建和實施方案；4) 實施安全計劃和策略；5) 對安全計劃和策略的實施結(jié)果進行測試和檢查。5. 進行風險控制（Risk Control），具體包括：1) 信息系統(tǒng)的維護與操作；2) 安全意識、培訓與教育；3) 對信息系統(tǒng)的運行

12、和安全措施的效力進行監(jiān)視；4) 事件響應；5) 再評估與認證。6. 配置管理（Configuration Management），確保系統(tǒng)發(fā)生的變化不會降低安全措施的效力和組織的整體安全。7. 變更管理（Change Management），當信息系統(tǒng)發(fā)生變化時，識別新的安全需求。8. 應急計劃（Contingency Planning），包括業(yè)務連續(xù)性計劃、災難恢復計劃等。對應PCDA模型，信息安全目標與戰(zhàn)略的確定、信息安全策略開發(fā)以及風險評估屬于計劃階段 （Plan），風險消減屬于實施階段（Do），風險控制、配置管理、變更管理、應急計劃以及安全意識培訓等活動都可以歸入到檢查（Check）和

13、措施 （Action）階段。我們所強調(diào)的信息安全管理模式，是由風險驅(qū)動的信息安全管理模式，是對組織的信息安全風險進行控制和指導的相互協(xié)調(diào)的活動，風險管 理是其中的核心。四、 項目實施原則本項目要求以安全咨詢?yōu)榛A，重點進行安全規(guī)劃、安全管理體系細化和周期性安全服務為主。在服務過程中，應遵循以下原則：Ø 標準性原則：方案的設計和實施應依據(jù)國際標準ISO27001、數(shù)據(jù)敏感、保密、國家及行業(yè)相關標準進行；Ø 規(guī)范性原則：服務提供商的工作過程和所有文檔，應具有很好的規(guī)范性，以便于項目的跟蹤和控制；Ø 可控性原則：在保證項目質(zhì)量的前提下，按計劃進度執(zhí)行，保證甲方對于項目的

14、可控性。信息安全調(diào)研的工具、方法和過程要在雙方認可的范圍之內(nèi)合法進行；Ø 完整性原則：調(diào)研和規(guī)劃設計的范圍和內(nèi)容應完整地覆蓋信息安全所涉及的技術(shù)和管理等各個層面，并對這種完整性進行說明或論證，實施對象也應完整地覆蓋甲方信息系統(tǒng)的各個方面；Ø 合理性原則：信息安全規(guī)劃設計必須立足于甲方的現(xiàn)實情況，設計方法應合乎邏輯，過程應完備詳實，從而確保結(jié)論是可信服的；Ø 可操作性原則：在信息安全架構(gòu)設計中，應根據(jù)信息安全要求提出相應的解決方案，方案必須具體可行，易于實際操作；Ø 最小影響原則：調(diào)研工作應避免影響系統(tǒng)和網(wǎng)絡的正常運行，不能對現(xiàn)正常運行的系統(tǒng)和網(wǎng)絡構(gòu)成破壞

15、和造成停產(chǎn)；Ø 保密性原則：調(diào)研的過程和結(jié)果應嚴格保密，未經(jīng)甲方授權(quán)，對項目涉及的任何信息不得泄露給第三方；Ø 經(jīng)濟性原則：方案的設計和實施應在達到項目要求的前提下，具有較高的性價比和經(jīng)濟性；Ø 先進性原則：方案的設計要具備先進性和前瞻性，需統(tǒng)籌考慮甲方未來五年的信息安全發(fā)展需求。五、 項目階段及內(nèi)容服務項目階段過程主要任務主要內(nèi)容ISO27001咨詢服務準備確定ISMS范圍業(yè)務戰(zhàn)略及規(guī)劃一致性分析法規(guī)制度符合性分析業(yè)務運營影響分析確定ISMS范圍確定信息安全總體方針政策業(yè)務及系統(tǒng)初步安全需求分析確定ISMS總體方針政策定義風險評估與管理方法確定風險評估模型及相關指標準則制定風險評估與管理程序項目準備制定實施計劃組建項目組整理開發(fā)工具/模板項目啟動會培訓風險評估現(xiàn)狀分析問卷調(diào)查現(xiàn)場訪談手工檢測安全掃描滲透測試綜合分析撰寫報告風險評價資產(chǎn)評價威脅評價弱點評價風險評價撰寫風險評估報告風險處置選擇風險處置方式選擇安全控制措施制定風險處置計劃殘余風險分析安全體系規(guī)劃與設計安全體系規(guī)劃任務或項目分解任務或項目實施規(guī)劃撰寫規(guī)劃報告編寫安全體系文檔確定ISMS文件清單制定ISMS文件編寫計劃編寫ISMS文件ISMS文件評審安全體系實 施、調(diào)整、 評審體系實施體