《(安全生产)PDCA过程模式在信息安全管理体系的应用_》由会员分享,可在线阅读,更多相关《(安全生产)PDCA过程模式在信息安全管理体系的应用_(6页珍藏版)》请在金锄头文库上搜索。
1、(安全生产)PDCA过程模式在信息安全管理体系的应用PDCA过程模式在信息安全管理体系的应用科飞管理咨询有限X公司吴昌伦王毅刚BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分信息安全管理体系规范,是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本(BS7799-2:2002)是2002年9月5日修订的,引入了PDCA(Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系且持续改进其有效性的方法。PDCA过程模式被ISO9001、ISO14001等国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。依据BS7799-2:2002建立
2、信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性:1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;2、在管理组织整体业务风险背景下实施和运行控制;3、监控且评审信息安全管理体系的业绩和有效性;4、在目标测量的基础上持续改进。BS7799-2:2002的PDCA过程模式BS7799-2:2002所采用的过程模式如图1所示,“计划-实施-检查-措施”四个步骤能够应用于所有过程。PDCA过程模式可简单描述如下:图1PDCA过程模式策划:依照组织整个方针和目标,建立和控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。实施:实施和运作方针(过程和程序)。检查:依据方
3、针、目标和实际经验测量,评估过程业绩,且向决策者报告结果。措施:采取纠正和预防措施进壹步提高过程业绩。四个步骤成为壹个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(performance)螺旋上升。应用PDCA建立、保持信息安全管理体系P(策划)建立信息安全管理体系环境(context)&风险评估要启动PDCA循环,必须有“启动器”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别且评估所有的信息安全风险,为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化,以备将来追溯
4、和控制更改情况。1确定范围和方针信息安全管理体系能够覆盖组织的全部或者部分。无论是全部仍是部分,组织都必须明确界定体系的范围,如果体系仅涵盖组织的壹部分这就变得更重要了。组织需要文件化信息安全管理体系的范围,信息安全管理体系范围文件应该涵盖:a.确立信息安全管理体系范围和体系环境所需的过程;b.战略性和组织化的信息安全管理环境;c.组织的信息安全风险管理方法;d.信息安全风险评价标准以及所要求的保证程度;e.信息资产识别的范围。信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下,上下级控制的关系有下列俩种可能:下级信息安全管理体系不使用上级信息安全管理体系的控制:在这种情况
5、下,上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动;下级信息安全管理体系使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制能够被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制且不影响下级信息安全管理体系的实施、检查、措施活动,可是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。安全方针是关于在壹个组织内,指导如何对信息资产进行管理、保护和分配的规则、指示,是组织信息安全管理体系的基本法。组织的信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
6、2、定义风险评估的系统性方法确定信息安全风险评估方法,且确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。组织需要建立风险评估文件,解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境,介绍所采用的技术和工具,以及使用这些技术和工具的原因。评估文件仍应该规范下列评估细节:a.信息安全管理体系内资产的估价,包括所用的价值尺度信息;b.威胁及薄弱点的识别;c.可能利用薄弱点的威胁的评估,以及此类事故可能造成的影响;d.以风险评估结果为基础的风险计算,以及剩余风险的识别。3、识别风险识别信息安全管理体系控制范围内的信息
7、资产;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性丢失对这些资产的潜在影响。4、评估风险根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败(failure)可能引起的商业影响;根据和资产相关的主要威胁、薄弱点及其影响,以及目前实施的控制,评估此类失败发生的现实可能性;根据既定的风险等级准则,确定风险等级。5、识别且评价风险处理的方法对于所识别的信息安全风险,组织需要加以分析,区别对待。如果风险满足组织的风险接受方针和准则,那么就有意的、客观的接受风险;对于不可接受的风险组织能够考虑避免风险或者将转移风险;对于不可避免也不可转移的风险应该采取适当的安全
8、控制,将其降低到可接受的水平。6、为风险的处理选择控制目标和控制方式选择且文件化控制目标和控制方式,以将风险降低到可接受的等级。BS7799-2:2002附录A提供了可供选择的控制目标和控制方式。不可能总是以可接受的费用将风险降低到可接受的等级,那么需要确定是增加额外的控制,仍是接受高风险。在设定可接受的风险等级时,控制的强度和费用应该和事故的潜在费用相比较。这个阶段仍应该策划安全破坏或者违背的探测机制,进而安排预防、制止、限制和恢复控制。在形式上,组织能够通过设计风险处理计划来完成步骤5和6。风险处理计划是组织针对所识别的每壹项不可接受风险建立的详细处理方案和实施时间表,是组织安全风险和控制
9、措施的接口性文档。风险处理计划不仅能够指导后续的信息安全管理活动,仍能够作为和高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每壹个信息安全风险阐明以下内容:组织所选择的处理方法;已经到位的控制;建议采取的额外措施;建议的控制的实施时间框架。7、获得最高管理者的授权批准剩余风险(residualrisks)的建议应该获得批准,开始实施和运作信息安全管理体系需要获得最高管理者的授权。D(实施)实施且运行信息安全管理体系PDCA循环中这个阶段的任务是以适当的优先权进行管理运作,执行所选择的控制,以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的
10、风险,不需要采取进壹步的措施。对于不可接受风险,需要实施所选择的控制,这应该和策划活动中准备的风险处理计划同步进行。计划的成功实施需要有壹个有效的管理系统,其中要规定所选择方法、分配职责和职责分离,且且要依据规定的方式方法监控这些活动。在不可接受的风险被降低或转移之后,仍会有壹部分剩余风险。应对这部分风险进行控制,确保不期望的影响和破坏被快速识别且得到适当管理。本阶段仍需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,仍必
11、须安排针对信息安全意识的培训,且检查意识培训的效果,以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。本阶段仍应该实施且保持策划了的探测和响应机制。C(检查)监视且评审信息安全管理体系检查阶段,又叫学习阶段,是PDCA循环的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现壹个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好,且对其业绩进行监视,可能包括下列管理过程:1、执行程序和其他控制以快速检测处理结果中的错误
12、;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验。2、常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。3、评审剩余风险和可接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可接受风险等级的合理性。4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期
13、(最多不超过壹年)检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划,以便审核任务能在审核期间内按部就班的展开。管理者应该确保有证据证明:a.信息安全方针仍然是业务要求的正确反映;b.正在遵循文件化的程序(信息安全管理体系范围内),且且能够满足其期望的目标;c.有适当的技术控制(例如防火墙、实物访问控制),被正确的配置,且行之有效;d.剩余风险已被正确评估,且且是组织管理能够接受的;e.前期审核和评审所认同的措施已经被实施;审核会包括对文件和记录的抽样检查,以及口头审核管理者和员工。5、正式评审:为确保
14、范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审(最少壹年评审壹次)。6、记录且报告能影响信息安全管理体系有效性或业绩的所有活动、事件。A(措施)改进信息安全管理体系经过了策划、实施、检查之后,组织在措施阶段必须对所策划的方案给以结论,是应该继续执行,仍是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织能够考虑是否将成果扩大到其他的部门或领域,这就开始了新壹轮的PDCA循环。在这个过程中组织可能持续的进行壹下操作:a.测量信息安全管理体系满足安全方针和目标方面的业绩。b.识别信息安全管理体系的改进,且有效实施。c
15、.采取适当的纠正和预防措施。d.沟通结果及活动,且和所有相关方磋商。e.必要时修订信息安全管理体系。f.确保修订达到预期的目标。在这个阶段需要注意的是,很多见起来单纯的、孤立的事件,如果不及时处理就可能对整个组织产生影响,所采取的措施不仅具有直接的效果,仍可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于眼前的问题,仍要杜绝类似事故再发生或者降低其在放生的可能性。不符合、纠正措施和预防措施是本阶段的重要概念。不符合:是指实施、维持且改进所要求的壹个或多哥管理体系要素缺乏或者失效,或者是在客观证据基础上,信息安全管理体系符合安全方针以
16、及达到组织安全目标的能力存在很大不确定性的情况。纠正措施:组织应确定措施,以消除信息安全管理体系实施、运作和使用过程中不符合的原因,防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求:a.识别信息安全管理体系实施、运作过程中的不符合;b.确定不符合的原因;c.评价确保不符合不再发生的措施要求;d.取定且实施所需的纠正措施;e.记录所采取措施的结果;f.评审所采取措施的有效性。预防措施:组织应确定措施,以消除潜在不符合的原因,防止其发生。预防措施应和潜在问题的影响程度相适应。预防措施的文件化程序应该规定以下方面的要求:a.识别潜在不符合及其原因;b.确定且实施所需的预防措施;c.记录所采取措施的结果;d.评审所采取的预防措施;e.识别已变化的风险,且确保对发生重大变化的风
