《基于PDCA的信息安全过程管理》由会员分享,可在线阅读,更多相关《基于PDCA的信息安全过程管理(3页珍藏版)》请在金锄头文库上搜索。
1、基于 PDCA 的信息安全过程管理冯 驰摘 要 : 基于 PDCA 管理理念应用于信息化工作,建立一套安全技术体系,更从管理上构建较为全面的信息安全管理体系,管 理体系将 IT 策略和企业发展方向统一起来,确保 IT 资源用得其所,使与 IT 相关的风险受到适当的控制。关键词 :PDCA ; 信息安全 ; 管理Based on the Plan-do-check Action Cycle of Information Security ProcessManagementFENG ChiAbstract: based on the PDCA management concept for info
2、rmation and a set of safety technology system, more from management to construct a comprehensive information security management system, management system will IT policy and enterprise development direction to unify, ensure IT resources in its use, and IT related risk by properly control.Key words:P
3、DCA;Information Security;Managemeng1 思路1.1 理念或策略加强组织建设及信息安全管理制度建设,在组 织上、制度上、技术上、资金上保障信息工作顺利 进行 ; 为确保信息安全工作正确执行,采用监控系 统用以定期评审 ; 建立完整的信息安全防御体系, 应用 PDCA 将信息安全风险评估作为信息安全保 障的基础性工作和重要环节。 。1.2 范围和目标1.2.1 范围在公司范围内组织进行全面信息安全评估的基 础,将 IT 策略和企业发展方向统一起来,确保 IT 资源用得其所,使与 IT 相关的风险受到适当的控 制。涵盖 : 确立信息安全管理体系范围和体系环境 所需的
4、过程 ;战略性和组织化的信息安全管理环 境 ; 组织的信息安全风险管理方法 ; 信息安全风险 评价标准以及所要求的保证程度 ; 信息资产识别的 范围。1.2.2 目标建立、运行、监视、评审、保持和改进信息安 全管理体系,确保信息资产的保密性、可用性和完 整性。具体来说,针对信息安全风险评估的输出结 果进行整改,实现一系列预期目标 ; 从而提高了信 息安全水平。这些目标的中心就是逐步建立健全信 息安全管理体系(ISMS) ,并为将来通过国际权威 认证(ISO 27001/BS 7799-2)打下良好的基础。1.3 指标体系及目标值1.3.1 编制体系原则1) 要求指标体系能够尽可能完整地反映信息
5、安 全保障各项工作 ;2) 高效性原则 : 指标体系应在确保全面的前提 下力求简洁高效 ;3) 引导性原则 : 不能片面孤立地强调信息安全 工作 ;4) 稳定性原则 : 保持相对稳定,以利于不同年度的评估比较。computer 术 . 技 术s e c u r i t y 2 主要做法 2.1 关键任务说明2.1.1 组织制度建设组织建设 : 公司进一步明确一把手是信息安全 第一责任人,明确信息化工作领导小组,统一领导 公司信息安全工作,根据“谁主管谁负责、谁运营 谁负责”落实信息安全各级责任。制度建设 : 根据评估结果逐项梳理完善各项信 息安全管理制度和方法,加强管理。信息安全管理 是核心、
6、技术是实现手段,将这两部分的内容以公 司文件或标准的形式定下来,形成规章制度,共修 改完善 50 多个文件。2.1.2 建立监督、审核机制信息安全体系是一个动态的体系。它的建立基 于了“计划 - 实施 - 检查 - 改进”(PDCA)模型。 随着信息安全体系初步建立,为确保监督体系得到 有效地实施,安庆公司加强了内部审核,我们对发 现的不符合项制定整改计划,落实纠正措施,实现 了过程管理、闭环管理、持续改进的思想。2.2 PDCA 的管理流程2.2.1 P建立1) 确定范围和方针 通过常态化工作需要,信息安全管理体系可以覆盖组织的全部或者部分。组织明确界定体系的范 围, (1) 确立信息安全管
7、理体系范围和体系环境所 需的过程 ;(2) 战略性和组织化的信息安全管理环 境 ;(3) 组织的信息安全风险管理方法 ;(4) 信息安 全风险评价标准以及所要求的保证程度 ;(5) 信息 资产识别的范围。2) 定义风险评估的系统性方法 确定信息安全风险评估方法,并确定风险等级准则。评估方法应该和组织既定的信息安全管理体 系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。组织需要建立风险评估文件,解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境,介绍所采用的技术和工 具,以及使用这些技术和工具的原因。3) 识别风险识别信息安全管理体系控制范围内的信息资产;识别对这些
8、资产的威胁 ; 识别可能被威胁利用的薄弱点 ; 识别保密性、完整性和可用性丢失对这些资 产的潜在影响。4) 评估风险 根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败可能引起的商业影响 ; 根 据与资产相关的主要威胁、薄弱点及其影响,以及 目前实施的控制,评估此类失败发生的现实可能 性 ; 根据既定的风险等级准则,确定风险等级。5) 识别并评价风险处理的方法对于所识别的信息安全风险,需要加以分析,区别对待。如果风险满足组织的风险接受方针和准则,那么就有意地、客观地接受风险 ; 对于不可接 受的风险,组织可以考虑避免风险或者将转移风 险 ; 对于不可避免也不可转移的风险应该采取适当
9、 的安全控制,将其降低到可接受的水平。6) 为风险的处理选择控制目标与控制方式 选择并文件化控制目标和控制方式,以将风险降低到可接受的等级。7)获得管理者的授权批准 剩余风险建议获得批准,开始实施和运作信息安全管理体系需要获得最高管理者的授权。2.2.2 D(实施)实施并运行信息安全管理体系对于那些被评估认为是可接受的风险, 不需要 采取进一步的措施。对于不可接受风险,需要实施所选择的控制,这应该与策划活动中准备的风险处理计划同步进行计划的成功实施需要有一个有效的管理系统,其中 要规定所选择方法、分配职责和职责分离,并且要2.2.3 C(检查)监视并评审信息安全管理体系如果发现一个控制措施不合
10、理、不充分,就要 采取纠正措施,以防止信息系统处于不可接受的风 险状态。通过多种方式检查信息安全管理体系是否 运行良好,并对其业绩进行监视。2.2.4 A(措施)改进信息安全管理体系经过了策划、实施、检查之后,对所策划的方 案给以结论,是应该继续执行,还是应该放弃重新 进行新的策划?当然该循环给管理体系带来明显的 业绩提升,组织可以考虑是否将成果扩大到其他的 部门或领域,开始新一轮的 PDCA 循环。在这个过程中持续地进行一下操作 :(1) 测量信息安全管理体系满足安全方针和目标 方面的业绩。(2) 识别信息安全管理体系的改进,并有效实施。 (3) 采取适当的纠正和预防措施。(4) 必要时修订
11、信息安全管理体系。(5) 确保修订达到预期的目标。的义务及违约的责任。物理与环境安全 :防止对组织办公场所和信 息的非授权物理访问、破坏和干扰,系统运行率99.999%,三级系统和二级系统划在更高级别域中 ;通信与操作管理 : 确保网络信息的安全措施和支持基础结构的保护 ; 防止资产被损坏和业务活动被干扰中断 ; 防止组织间的交易信息遭受损坏,修改或误用。3.5 访问控制 :确保授权用户的访问,信息系统 的非授权访问为 0,预防未授权用户的访问,信息 和信息处理设施的破坏或被盗,预防网络服务未经 授权的访问,应通过安全登录程序对操作系统的访 问进行控制,应根据规定的访问控制策略,限制用 户和支
12、持人员对信息和应用系统功能的访问。3.6 系统开发与维护 :确保信息安全保护深入到 操作系统中 ;阻止应用系统中的用户数据的丢失,修 改或误用 ; 确保信息的保密性,可靠性和完整性 ; 确保 IT 项目工程及其支持活动在安全的方式下进行 ; 维护应用程序软件和数据的安全。3 具体手段 3.1 信息安全策略文档 : 应经过管理层的批准, 并向所有员工和外部相关方发布和沟通。3.2 信息安全策略评审 : 应按计划的时间间隔或当 发生重大变化时,对信息安全策略文档进行评审,以 确保其持续的适宜性、充分性和有效性。3.3 信息安全组织 : 管理者应通过清晰的方向、 可见的承诺、明确的任务分配、信息安全
13、职责沟通 在组织内积极支持安全 , 明确定义所有的信息安全 职责。3.4 人员安全 :减少人为造成的风险。减少错误, 偷窃,欺骗或资源误用等人为风险 ;保密协议签订100%,信息维护单位签订协议 ; 一年内全员安全教育培训不少于两次 ; 全体员工签订信息安全保密4 总结基于 PDCA 的信息化安全过程管理工作,按照 “严密组织、规范操作、讲求科学、注重实效”的原则 取得了较好的效果, 并为将来通过国际权威认证(ISO27001/BS 7799-2)打下良好的基础。参考文献1ISO/IEC 27001信息技术安全技术信息安全管理体 系 - 要求 . 2ISO/IEC17799:2005.3 电力行业信息系统等级保护定级工作指导意见 .作者简介 :冯 驰(1969-) ,男,高级讲师,从事电力信 息化工作。收稿日期 :2011-08-12
