版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、佛山市南海天富科技有限公司信息安全管理體系建設(shè)咨詢服務(wù)項(xiàng)目編寫人員:黃世榮編寫日期:2015年12月7日項(xiàng)目縮寫:文檔版本:V1.0修改記錄:日期編寫人員版本備注 時(shí)間:2015年12月一、 信息化建設(shè)引言隨著我國中小企業(yè)信息化的普及,信息化給我國中小企業(yè)帶來積極影響的同時(shí)也帶來了信息安全方面的消極影響。一方面:信息化在中小企業(yè)的發(fā)展過程中,對節(jié)約企業(yè)成本和達(dá)到有效管理的起到了積極的推動作用。另一方面,伴隨著全球信息化和網(wǎng)絡(luò)化進(jìn)程的發(fā)展,與此相關(guān)的信息安全問題也日趨嚴(yán)重。由于我國中小企業(yè)規(guī)模小、經(jīng)濟(jì)實(shí)力不足以及中小企業(yè)的領(lǐng)導(dǎo)者缺乏信息安全領(lǐng)域知識和意識,導(dǎo)致中小企業(yè)的信息安全面臨著較大的風(fēng)險(xiǎn),
2、我國中小企業(yè)信息化進(jìn)程已經(jīng)步入普及階段,解決我國中小企業(yè)的信息安全問題已經(jīng)刻不容緩。通過制定和實(shí)施企業(yè)信息安全管理體系能夠規(guī)范企業(yè)員工的行為,保證各種技術(shù)手段的有效實(shí)施,從整體上統(tǒng)籌安排各種軟硬件,保證信息安全體系協(xié)同工作的高效、有序和經(jīng)濟(jì)性。信息安全管理體系不僅可以在信息安全事故發(fā)生后能夠及時(shí)采取有效的措施,防止信息安全事故帶來巨大的損失,而更重要的是信息安全管理體系能夠預(yù)防和避免大多數(shù)的信息安全事件的發(fā)生。信息安全管理就是對信息安全風(fēng)險(xiǎn)進(jìn)行識別、分析、采取措施將風(fēng)險(xiǎn)降到可接受水平并維持該水平的過程。企業(yè)的信息安全管理不是一勞永逸的,由于新的威脅不斷出現(xiàn),信息安全管理是一個(gè)相對的、 動態(tài)的過
3、程,企業(yè)能做到的就是要不斷改進(jìn)自身的信息安全狀態(tài),將信息安全風(fēng)險(xiǎn)控制在企業(yè)可接受的范圍之內(nèi),獲得企業(yè)現(xiàn)有條件下和資源能力范圍內(nèi)最大程度的安全。在信息安全管理領(lǐng)域,“三分技術(shù),七分管理”的理念已經(jīng)被廣泛接受。結(jié)合ISO/IEC27001信息安全管理體系,提出一個(gè)適合我國中小企業(yè)的信息安全管理的模型,用以指導(dǎo)我國中小企業(yè)的信息安全實(shí)踐并不斷提高中小企業(yè)的安全管理能力。二、 ISO27001信息安全管理體系框架建立ISO27001信息安全管理體系框架的搭建必須按照適當(dāng)?shù)某绦騺磉M(jìn)行(如下圖所示)。首先,各個(gè)組織應(yīng)該根據(jù)自身的狀況來搭建適合自身業(yè)務(wù)發(fā)展和信息安全需求的 ISO27001信息安全管理體系框
4、架,并在正常的業(yè)務(wù)開展過程中具體實(shí)施構(gòu)架的ISO27001信息安全管理體系。同時(shí)在信息安全管理體系的基礎(chǔ)上,建立各種與信息安全管理框架相一致的相關(guān)文檔、文件,并對其進(jìn)行嚴(yán)格的管理。對在具體實(shí)施ISO27001信息安全管理體系過程中出現(xiàn)的各種信息安全事件和安全狀況進(jìn)行嚴(yán)格的記錄,并建立嚴(yán)格的反饋流程和制度。(1)信息安全策略組織應(yīng)制定信息安全策略(Information Security Policy)以對組織的信息安全提供管理方向與支持。組織不僅要有一個(gè)總體的安全策略,而且,在總體策略的框架內(nèi),根據(jù)風(fēng)險(xiǎn)評估的結(jié)果,制定更加具體的安全方針,明確規(guī)定具體的控制規(guī)則,如“清理桌面和清楚屏幕策略”、“
5、訪問控制策略”等。(2)范圍組織要根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)對信息安全管理體系范圍(scope)進(jìn)行界定。組織信息安全管理體系范圍包括以下項(xiàng)目:l 需保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù)。l 實(shí)物場所(地理位置、部門)。(3)風(fēng)險(xiǎn)評估組織需要選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評估和管理方案,然后進(jìn)行合乎規(guī)范的評估,識別目前面臨的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)等級;風(fēng)險(xiǎn)評估的對象是組織的信息資產(chǎn),評估考慮 的因素包括資產(chǎn)所受的威脅、薄弱點(diǎn)及威脅發(fā)生后對組織的影響。無論采用何種風(fēng)險(xiǎn)評估工具方法,其最終評估結(jié)果應(yīng)是一致的。(4)風(fēng)險(xiǎn)管理組織應(yīng)根據(jù)信息安全策略和所要求的安全程度,識別所要管理的風(fēng)險(xiǎn)內(nèi)容??刂骑L(fēng)險(xiǎn)包括識別所需的安
6、全措施,通過降低、避免、轉(zhuǎn)移將風(fēng)險(xiǎn)降至可接受的水平。風(fēng)險(xiǎn)隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。(5)控制目標(biāo)與控制方式的選擇風(fēng)險(xiǎn)評估之后,組織應(yīng)從已有信息安全技術(shù)中選擇適當(dāng)?shù)目刂品椒?,包括額外的控制(組織新增加的和法律法規(guī)所要求的),降低已識別的風(fēng)險(xiǎn)。(6)適用性聲明信息安全適用性聲明記錄了組織內(nèi)相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對每種風(fēng)險(xiǎn)所采取的控制措施。它的準(zhǔn)備,一方面是為了向組織內(nèi)的員工聲明對信息安全面對風(fēng)險(xiǎn)的態(tài)度;另一方面也是為了向外界表明組織的態(tài)度和作為。三、 ISO27001信息安全管理體系實(shí)施方法ISO27001信息安全管理體系(Information Securi
7、ty Management System)作為組織完整的管理體系中的一個(gè)重要環(huán)節(jié),構(gòu)成了信息安全具有能動性的部分,是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動,其針對對象就是組織的信息資產(chǎn)。了解信息安全管理的方法,我們必須先明確企業(yè)或組織的信息安全需求。一般來說,企業(yè)的信息安全需求主要有三個(gè)來源,他們分別是法 律法規(guī)與合同條約的要求;組織的原則、目標(biāo)和規(guī)定;風(fēng)險(xiǎn)評估的結(jié)果等。信息安全的成敗取決于兩個(gè)因素:技術(shù)和管理,人們常說,三分技術(shù),七分管理,可見管理對信息安全的重要性,我們可以把安全技術(shù)比作信息安全的構(gòu)筑材料,那么安全管理則是真正的粘合劑和催化劑?,F(xiàn)實(shí)世界里,大多數(shù)安全事件的發(fā)生和安
8、全隱患的存在,與 其說是技術(shù)上的原因,不如說是管理不善造成的,理解并重視管理對于信息安全的關(guān)鍵作用,對于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全不是產(chǎn)品的簡單堆 積,也不是一次性的靜態(tài)過程,它是人員、技術(shù)、操作這三種要素的緊密結(jié)合的系統(tǒng)工程,是不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程。信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動。首先應(yīng)該制定信息安全的策略方針,它是信息安全管理的導(dǎo)向和支持,在此基礎(chǔ)上選擇控制目標(biāo)與控制方式,企業(yè)和組織還需考慮控制成本與風(fēng)險(xiǎn)平衡的原則,將風(fēng)險(xiǎn)降低到組織可接受的水平,整個(gè)管理過程需要全員的參與,實(shí)施動態(tài)管理。實(shí)施安全管理,還應(yīng)遵循管理的一般模式PDCA模型
9、。PDCA模型,即Plan、Do、Check和Act,是一種持續(xù)改進(jìn)的管理模式,見下圖所示。措施(Action)針對檢查結(jié)果采取應(yīng)對措施,改進(jìn)安全狀況;計(jì)劃(Plan)根據(jù)風(fēng)險(xiǎn)評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施;實(shí)施(Do)實(shí)施所選的安全控制措施;檢查(Check)依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī),對安全措施的實(shí)施情況進(jìn)行符合性檢查。PDCA模型是一種抽象的模型,它把相關(guān)的資源和活動抽象為過程進(jìn)行管理,具有廣泛通用性。 PDCA是順序依次進(jìn)行的,依靠組織的力量推動,周而復(fù)始,不斷循環(huán),持續(xù)改進(jìn),組織中的每個(gè)部門和個(gè)人,在履行相關(guān)職責(zé)時(shí),都是基于PDCA這個(gè)過程的
10、,組織的內(nèi)部管理,就構(gòu)成了大環(huán)套小環(huán)層層遞進(jìn)的模式,每一次循環(huán)結(jié)束,都要對其進(jìn)行總結(jié),鞏固成績,改進(jìn)不足,同時(shí)提出新的目標(biāo),以便進(jìn)入下一次更高 級的循環(huán)。ISO27000/ISO27001標(biāo)準(zhǔn)對于信息安全管理體系的定義如下圖所示:ISO27001信息安全管理可操作的一般過程和相應(yīng)的活動包括:1. 確定組織的信息安全目標(biāo)和戰(zhàn)略2. 開發(fā)信息安全策略3. 進(jìn)行風(fēng)險(xiǎn)評估(Risk Assessment),明確組織的信息安全需求,具體活動包括:1) 制定風(fēng)險(xiǎn)評估計(jì)劃(明確范圍和責(zé)任,采集相關(guān)信息,描述目標(biāo)系統(tǒng));2) 識別并評價(jià)信息資產(chǎn),理解資產(chǎn)的價(jià)值和敏感性;3) 識別并評估威脅,理解威脅發(fā)生的可能
11、性;4) 識別并評價(jià)弱點(diǎn),理解弱點(diǎn)被利用的容易程度;5) 評估風(fēng)險(xiǎn),確定風(fēng)險(xiǎn)等級;6) 評估并比較現(xiàn)有的安全措施(控制),找出目標(biāo)與現(xiàn)狀之間的差距;7) 根據(jù)已經(jīng)明確的需求來推薦安全措施。4. 進(jìn)行風(fēng)險(xiǎn)消減(Risk Mitigation),具體活動包括:1) 確定風(fēng)險(xiǎn)消減策略,以便減少、規(guī)避、轉(zhuǎn)嫁或接受風(fēng)險(xiǎn);2) 選擇安全措施(控制);3) 制定安全計(jì)劃,明確安全措施的構(gòu)建和實(shí)施方案;4) 實(shí)施安全計(jì)劃和策略;5) 對安全計(jì)劃和策略的實(shí)施結(jié)果進(jìn)行測試和檢查。5. 進(jìn)行風(fēng)險(xiǎn)控制(Risk Control),具體包括:1) 信息系統(tǒng)的維護(hù)與操作;2) 安全意識、培訓(xùn)與教育;3) 對信息系統(tǒng)的運(yùn)行
12、和安全措施的效力進(jìn)行監(jiān)視;4) 事件響應(yīng);5) 再評估與認(rèn)證。6. 配置管理(Configuration Management),確保系統(tǒng)發(fā)生的變化不會降低安全措施的效力和組織的整體安全。7. 變更管理(Change Management),當(dāng)信息系統(tǒng)發(fā)生變化時(shí),識別新的安全需求。8. 應(yīng)急計(jì)劃(Contingency Planning),包括業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等。對應(yīng)PCDA模型,信息安全目標(biāo)與戰(zhàn)略的確定、信息安全策略開發(fā)以及風(fēng)險(xiǎn)評估屬于計(jì)劃階段 (Plan),風(fēng)險(xiǎn)消減屬于實(shí)施階段(Do),風(fēng)險(xiǎn)控制、配置管理、變更管理、應(yīng)急計(jì)劃以及安全意識培訓(xùn)等活動都可以歸入到檢查(Check)和
13、措施 (Action)階段。我們所強(qiáng)調(diào)的信息安全管理模式,是由風(fēng)險(xiǎn)驅(qū)動的信息安全管理模式,是對組織的信息安全風(fēng)險(xiǎn)進(jìn)行控制和指導(dǎo)的相互協(xié)調(diào)的活動,風(fēng)險(xiǎn)管 理是其中的核心。四、 項(xiàng)目實(shí)施原則本項(xiàng)目要求以安全咨詢?yōu)榛A(chǔ),重點(diǎn)進(jìn)行安全規(guī)劃、安全管理體系細(xì)化和周期性安全服務(wù)為主。在服務(wù)過程中,應(yīng)遵循以下原則:Ø 標(biāo)準(zhǔn)性原則:方案的設(shè)計(jì)和實(shí)施應(yīng)依據(jù)國際標(biāo)準(zhǔn)ISO27001、數(shù)據(jù)敏感、保密、國家及行業(yè)相關(guān)標(biāo)準(zhǔn)進(jìn)行;Ø 規(guī)范性原則:服務(wù)提供商的工作過程和所有文檔,應(yīng)具有很好的規(guī)范性,以便于項(xiàng)目的跟蹤和控制;Ø 可控性原則:在保證項(xiàng)目質(zhì)量的前提下,按計(jì)劃進(jìn)度執(zhí)行,保證甲方對于項(xiàng)目的
14、可控性。信息安全調(diào)研的工具、方法和過程要在雙方認(rèn)可的范圍之內(nèi)合法進(jìn)行;Ø 完整性原則:調(diào)研和規(guī)劃設(shè)計(jì)的范圍和內(nèi)容應(yīng)完整地覆蓋信息安全所涉及的技術(shù)和管理等各個(gè)層面,并對這種完整性進(jìn)行說明或論證,實(shí)施對象也應(yīng)完整地覆蓋甲方信息系統(tǒng)的各個(gè)方面;Ø 合理性原則:信息安全規(guī)劃設(shè)計(jì)必須立足于甲方的現(xiàn)實(shí)情況,設(shè)計(jì)方法應(yīng)合乎邏輯,過程應(yīng)完備詳實(shí),從而確保結(jié)論是可信服的;Ø 可操作性原則:在信息安全架構(gòu)設(shè)計(jì)中,應(yīng)根據(jù)信息安全要求提出相應(yīng)的解決方案,方案必須具體可行,易于實(shí)際操作;Ø 最小影響原則:調(diào)研工作應(yīng)避免影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,不能對現(xiàn)正常運(yùn)行的系統(tǒng)和網(wǎng)絡(luò)構(gòu)成破壞
15、和造成停產(chǎn);Ø 保密性原則:調(diào)研的過程和結(jié)果應(yīng)嚴(yán)格保密,未經(jīng)甲方授權(quán),對項(xiàng)目涉及的任何信息不得泄露給第三方;Ø 經(jīng)濟(jì)性原則:方案的設(shè)計(jì)和實(shí)施應(yīng)在達(dá)到項(xiàng)目要求的前提下,具有較高的性價(jià)比和經(jīng)濟(jì)性;Ø 先進(jìn)性原則:方案的設(shè)計(jì)要具備先進(jìn)性和前瞻性,需統(tǒng)籌考慮甲方未來五年的信息安全發(fā)展需求。五、 項(xiàng)目階段及內(nèi)容服務(wù)項(xiàng)目階段過程主要任務(wù)主要內(nèi)容ISO27001咨詢服務(wù)準(zhǔn)備確定ISMS范圍業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性分析法規(guī)制度符合性分析業(yè)務(wù)運(yùn)營影響分析確定ISMS范圍確定信息安全總體方針政策業(yè)務(wù)及系統(tǒng)初步安全需求分析確定ISMS總體方針政策定義風(fēng)險(xiǎn)評估與管理方法確定風(fēng)險(xiǎn)評估模型及相關(guān)指標(biāo)準(zhǔn)則制定風(fēng)險(xiǎn)評估與管理程序項(xiàng)目準(zhǔn)備制定實(shí)施計(jì)劃組建項(xiàng)目組整理開發(fā)工具/模板項(xiàng)目啟動會培訓(xùn)風(fēng)險(xiǎn)評估現(xiàn)狀分析問卷調(diào)查現(xiàn)場訪談手工檢測安全掃描滲透測試綜合分析撰寫報(bào)告風(fēng)險(xiǎn)評價(jià)資產(chǎn)評價(jià)威脅評價(jià)弱點(diǎn)評價(jià)風(fēng)險(xiǎn)評價(jià)撰寫風(fēng)險(xiǎn)評估報(bào)告風(fēng)險(xiǎn)處置選擇風(fēng)險(xiǎn)處置方式選擇安全控制措施制定風(fēng)險(xiǎn)處置計(jì)劃殘余風(fēng)險(xiǎn)分析安全體系規(guī)劃與設(shè)計(jì)安全體系規(guī)劃任務(wù)或項(xiàng)目分解任務(wù)或項(xiàng)目實(shí)施規(guī)劃撰寫規(guī)劃報(bào)告編寫安全體系文檔確定ISMS文件清單制定ISMS文件編寫計(jì)劃編寫ISMS文件ISMS文件評審安全體系實(shí) 施、調(diào)整、 評審體系實(shí)施體
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國石榴行業(yè)市場供需形勢及投資盈利預(yù)測報(bào)告
- 2024-2030年中國電子認(rèn)證市場應(yīng)用需求分析及投資策略研究報(bào)告
- 2024年工程變更導(dǎo)致的停工補(bǔ)償合同
- 高校校園復(fù)學(xué)健康監(jiān)測方案
- 語文考試內(nèi)容改革方案
- 熱力管道施工工藝優(yōu)化方案
- 2024年度智能家居安防監(jiān)控合同
- 2024全新研發(fā)團(tuán)隊(duì)技術(shù)服務(wù)與合作合同
- 2024人才市場與求職者關(guān)于人才服務(wù)的合同
- 糖皮質(zhì)激素使用審核與反饋制度
- 醫(yī)院醫(yī)務(wù)科科長崗位競聘答辯PPT課件(帶內(nèi)容)
- 妊娠合并脂肪肝的護(hù)理
- 滲透檢測記錄
- 山東德州財(cái)金投資控股集團(tuán)有限公司招聘考試真題2022
- 《工業(yè)機(jī)器人應(yīng)用與維護(hù)》專業(yè)人才培養(yǎng)方案
- 高中語文人教版高中必修文言文定語后置
- 傳統(tǒng)孝道人物虞舜
- 確定積極分子會議記錄范文七篇
- 長江三峽水利樞紐可行性報(bào)告
- 江蘇省某高速公路結(jié)構(gòu)物臺背回填監(jiān)理細(xì)則
- 電大護(hù)理本科臨床實(shí)習(xí)手冊內(nèi)容(原表)
評論
0/150
提交評論