《第7章信息安全管理体系》由会员分享,可在线阅读,更多相关《第7章信息安全管理体系(126页珍藏版)》请在金锄头文库上搜索。
1、,第7章 信息安全管理体系,7.1 概述 7.2 信息安全管理体系的准备 7.3 信息安全管理体系的建立 7.4 信息安全管理体系的实施和运行 7.5 信息安全管理体系的监视和评审 7.6 信息安全管理体系的保持和改进 7.7 信息安全管理体系的认证 本章小结,信息安全管理体系(ISMS)是组织在一定范围内建立的信息安全方针和目标,以及为实现这些方针和目标所采用的方法和文件体系。,7.1 概 述,组织应在所面临风险的环境下,针对其整体业务活动建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。这个过程在组织管理层的直接授权下,由信息安全管理体系领导小组来负责实施,通过制定一系列的
2、文件,建立一个系统化、程序化与文件化的管理体系,来保障组织的信息安全。 信息安全管理体系实施过程的依据是BS 7799-2或ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求,与此对应的我国国家标准是GB/T 220802008信息技术安全技术信息安全管理体系要求。,在信息安全管理体系实施过程中,采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)循环模型。PDCA循环是由美国质量管理专家戴明(W.E.Deming)提出来的,所以又称为“戴明环”(Deming Cycle),它是有效进行任何一项工作的合乎逻辑的工作程序,在质量管理中应用
3、广泛,并取得了很好的效果。 实际上,建立和管理信息安全管理体系与其他管理体系一样,,需要采用过程的方法开发、实施和改进一个组织的ISMS的有效性,而PDCA循环是实施信息安全管理的有效模式,可应用于所有的信息安全管理体系过程,能够实现对信息安全管理只有起点,没有终点的持续改进,逐步提高信息安全管理水平。 信息安全管理体系具有以下特点: (1) 强调基于系统、全面和科学的风险评估,体现以预防控制为主的思想。 (2) 强调全过程的动态控制,达到控制成本与风险的平衡。,(3) 强调关键资产的信息安全保护,保持组织的竞争优势和运作持续性。 信息安全管理体系的PDCA过程如图7-1所示。 ISMS的PD
4、CA具有以下内容: (1) 规划(Plan):即建立ISMS。 建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总方针和总目标相一致的结果。 (2) 实施(Do):即实施和运行ISMS。 实施与运行ISMS方针、控制措施、过程和规程。,图7-1 应用于ISMS过程的PDCA模型,(3) 检查(Check):即监视和评审ISMS。 对照ISMS方针、目标和实践经验,评估并在适当时测量过程的执行情况,并将结果报告管理者以供评审。 (4) 处置(Act):即保持和改进ISMS。 基于ISMS内部审核和管理评审的结果或其他相关信息,采取纠正措施以持续改进ISMS。,7.2
5、.1 组织与人员建设 为了顺利建立信息安全管理体系,首先需要建设有效的信息安全组织机构,对相关的各类人员进行角色分配、明确权限并落实责任。,7.2 信息安全管理体系的准备,(1) 成立信息安全委员会。 信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员等组成,定期召开会议,就信息安全方针的审批、信息安全管理职责的分配、信息安全事故的评审与监督、风险评估结果的确认等重要信息安全管理议题进行讨论并做出决策,为组织的信息安全管理提供导向和支持。,(2) 组建信息安全管理推进小组。 在信息安全委员会批准下,任命信息安全管理经理,并由信息安全管理经理组建信息安全管理推进小
6、组。小组成员一般是企业各部门的骨干成员,要求懂得信息安全技术知识,有一定的信息安全管理技能,并有较强的分析能力和厚实的文字功底。这些组织机构要保持合适的管理层次和控制范围,并具有一定的独立性,坚持执行部门与监督部门分离的原则。,(3) 保证有关人员的职责和权限得到有效地明确。 通过培训、教育、制定文件等方式,使得相关的每位职员明白自己的职责和权限,以及与其他部分的关系,确保全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建设作出贡献。,7.2.2 工作计划制定 为确保信息安全管理体系顺利建立,组织应该统筹安排,制定一个切实可行的工作计划,明确准备、初审、体系设计、实施运行和审核
7、认证等不同阶段的工作任务和目标,以及责任分工,用以控制工作进度,并突出工作重点。总体计划批准之后,就可以针对具体工作项目制定详细计划。 在制定工作计划时,要充分考虑资源需求,例如人员的需求、培训经费、办公设施、咨询费用等。如果寻求体系的标准或第三方认证,还要考虑认证的费用,组织最高管理层应确保提供建立体系所必须的人力与财力资源。,7.2.3 能力要求与教育培训 所有涉及信息安全管理工作的人员,要求具有相应的能力,组织应对其作出适当的规定,制定与实施相应的教育与培训计划。 1. 人员能力的要求 信息安全管理相关人员应具有适应其工作并承担责任的能力,这种能力以教育、培训和经验为基础。应根据岗位职责
8、的需要,就各岗位的能力提出具体的可评价的要求,,并将这些要求写在书面的任职条件中,作为人员招聘、上岗和转岗的条件和依据,当然,这些条件或依据应该随着组织环境、岗位要求等因素的变化而变化。 一般来说,对各种不同的信息安全相关人员都需要有一定的教育背景、培训和经历等要求。 教育:从事不同的对信息安全有影响的工作所需要的最低学历教育,其目的是使受教育者获得未来用到的知识。 培训:从事某一岗位之前所需要接受的上岗培训和工作中的继续教育培训,其目的是使受训者获得目前工作所需要的知识与技能。,经历:为更有效完成工作而需要的相关工作经验和专业实践技能。,2. 教育培训的要求 教育和培训对于提高信息安全管理体
9、系的质量、保持其稳定性和促进其发展等方面都发挥着重要作用。所有的雇员以及相关第三方都应接受相关的教育与培训,包括法律责任、专业技能、安全需求、业务控制,以及正确使用信息处理设备等。 确定教育与培训的需求:根据工作岗位对从业者的现在与将来的知识与能力要求、从业者本身的实际能力以及从业者所面临的信息安全风险,确定信息安全管理教育与培训需求,或者说,信息安全管理教育与培训应考虑不同层次和不同阶段的职责、能力、文化程度以及所面临的风险。,编制教育与培训的计划:主管部门根据各部门提出的岗位信息安全管理教育与培训需求,以及组织对教育与培训的相关基本要求,编制信息安全管理教育与培训计划,包括教育与培训对象、
10、项目与要求、主要内容、责任部门(人)、日程表、考核方式等。 确定教育与培训的内容和方式:教育与培训的内容包括信息安全相关的专业继续教育、相关的法律法规、规章制度、,政策和标准的培训、信息安全知识和安全技能的培训、信息安全意识的培训等。另外,可采用内部培训、外部培训、实习、自学和学术交流等不同方式来实现教育与培训的计划。,7.2.4 信息安全管理体系文件 信息安全管理体系文件是按照信息安全管理标准的要求建立管理模型的依据,同时也是伴随ISMS体系建设过程产生的一系列的体系文件,即作为管理的依据,信息安全管理体系需要编写各种层次的ISMS文件,这是建立信息安全管理体系的重要基础性工作,也是ISO/
11、IEC 27001等标准的明确要求。 从总体来看,ISMS文件具有以下作用: (1) 阐述声明的作用。ISMS文件是客观描述信息安全管理体系的法规性文件,,为组织的全体人员了解信息安全管理体系提供了必要的条件,有的ISMS文件还起到了对外声明的作用,例如企业向客户提供的信息安全管理手册等。 (2) 规定和指导的作用。ISMS文件规定了组织员工的行为准则,以及如何做相关工作的指导性意见,对员工的信息安全行为也起到了规范和指导的作用。 (3) 记录和证实的作用。ISMS文件中的记录具有记录和证实信息安全管理体系运行有效的作用,其他文件则具有证实信息安全管理体系客观存在和运行适用性的作用。,信息安全
12、管理体系文件没有刻意的描述形式,但根据ISO 9000成功经验,在具体实施中,为便于运作并具有操作性,建议把ISMS管理文件分成以下几个层次: 1. 适用性声明 适用性声明(SoA,Statement of Applicability)是组织为满足安全需要而选择的控制目标和控制措施的评论性文件。在适用性声明文件中,应明确列出组织根据信息安全要求从ISO/IEC 27001:2005或GB/T 220802008附录A中选择控制目标与控制措施,并说明选择与不选择的理由,如果有额外的控制目标和控制措施也要一并说明。,2. SMS管理手册 ISMS管理手册是阐明ISMS方针,并描述ISMS管理体系的
13、文件。ISMS管理手册应至少包括:信息安全方针的阐述;ISMS的体系范围;信息安全策略的描述;控制目标与控制措施的描述;程序或其引用;关于手册的评审、修改与控制等的规定。,3. 程序文件 程序是为进行某项活动所规定的途径或方法。程序文件应描述安全控制或管理的责任及其相关活动,是信息安全政策的支持性文件,是有效实施信息安全政策、控制目标和控制措施的具体方法。 信息安全管理的程序文件包括为实施控制目标和控制措施的安全控制(例如防病毒控制)程序文件,以及为覆盖信息安全管理体系的管理与动作(例如风险评估)的程序文件。程序文件的内容通常包括活动的目标与范围(Why)、,做什么(What)、谁来做(Who
14、)、何时(When)、何地(Where)、如何做(How),应使用什么样的材料、设备和文件,如何对活动进行控制与记录,即所谓“5W1H”,4. 作业指导书 作业指导书是程序文件的支持性文件,用以描述具体的岗位和工作现场如何完成某项工作任务的详细做法,包括作业指导书、规范、指南、报告、图样、表格等,例如系统控制规程或维护手册。作业指导书可以被程序文件所引用,是对程序文件中整个程序或某些条款的补充或细化。 由于组织的规模与结构、被保护的信息资产、风险环境等因素的不同,运行控制程序的多少、内容也不同,即使运行控制程序相同,但由于其详略程度不同,其作业指导书的多少也不尽相同。,5. 记录 作为ISMS
15、运行结果的证据,记录是一种特殊的文件。在编写信息安全方针手册、程序文件和作业指导书时,应根据安全控制与管理要求确定组织所需要的信息安全记录,组织可以通过利用现有的记录、修订现有的记录和增加新的记录等方式来获得。 记录可以是书面记录,也可以是电子记录,每一种记录应进行标识,并保持可追溯性,其内容和格式也应该符合组织业务动作的实际过程,并反映活动结果,同时要方便使用。,建立信息安全管理体系首先要建立一个合理的信息安全管理框架。根据ISO/IEC 27001从信息系统的所有层面进行整体安全建设,并从信息系统本身出发,通过建立资产清单,进行风险分析,选择控制目标与控制措施等步骤,建立信息安全管理体系,
16、参见图5-5。,7.3 信息安全管理体系的建立,7.3.1 确定ISMS信息安全方针 ISMS信息安全方针是统领整个体系的目的、意图和方向,是组织的信息安全委员会或管理者制定的一个高层的纲领性文件,用来阐明管理层的承诺,提出信息安全管理的方法,用于指导如何对资产进行管理、保护和分配的规则及指示,其内容应当简明扼要、语言精炼、容易理解并便于记忆,切忌空洞。,信息安全方针必须要在ISMS实施的前期制定出来,表明最高管理层的承诺,指导ISMS的所有实施工作。制定ISMS方针应该参考以下原则: (1) 包括制定目标的框架和建立信息安全工作的总方向和原则。 (2) 考虑业务和法律法规的要求,以及合同中的安全义务要求。 (3) 在组织的战略性风险管理环境下,建立和保持ISMS。 (4) 建立风险评价的准则,定义风险评估的结构。 (5) 得到管理层的批准。,表7-1 XXX公司信息安全方针,7.3.2 确定I
