《第11章 安全管理》由会员分享,可在线阅读,更多相关《第11章 安全管理(46页珍藏版)》请在金锄头文库上搜索。
1、第十一章第十一章 安全管理安全管理11.1 安全管理概述安全管理概述11.2 信息安全管理策略信息安全管理策略11.3 信息安全管理标准信息安全管理标准11.4 本章小结本章小结所谓所谓管理管理,是在群体活动中,为了完成一定的任务,是在群体活动中,为了完成一定的任务,实现既定的目标,针对特定的对象,遵循确定的原则,实现既定的目标,针对特定的对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的制定计按照规定的程序,运用恰当的方法,所进行的制定计划、建立机构、落实措施、开展培训、检查效果和实划、建立机构、落实措施、开展培训、检查效果和实施改进等活动。其中,管理的任务、目标、对象、原施改进
2、等活动。其中,管理的任务、目标、对象、原则、程序和方法是管理策略的内容,一系列的管理活则、程序和方法是管理策略的内容,一系列的管理活动是在管理策略的指导下进行的。所以,首先要明确动是在管理策略的指导下进行的。所以,首先要明确管理策略,然后才是开展管理活动。管理的概念组成管理策略,然后才是开展管理活动。管理的概念组成如图如图11.1所示。所示。11.1 安全管理概述安全管理概述 11.1.1 安全管理的概念安全管理的概念图图11.1 管理的概念组成管理的概念组成安全管理安全管理是以管理对象的安全为任务和目标的管理。是以管理对象的安全为任务和目标的管理。安全管理的任务安全管理的任务是保证管理对象的
3、安全。是保证管理对象的安全。安全管理的安全管理的目标目标是达到管理对象所需的安全级别,将风险控制在是达到管理对象所需的安全级别,将风险控制在可以接受的程度。可以接受的程度。信息安全管理信息安全管理是以信息及其载体是以信息及其载体即信息系统为对即信息系统为对象的安全管理。象的安全管理。信息安全管理的任务信息安全管理的任务是保证信息的使是保证信息的使用安全和信息载体的运行安全。用安全和信息载体的运行安全。信息安全管理的目标信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。信息安全管理有其相应的原则、程可以接受的程度。信息安
4、全管理有其相应的原则、程序和方法,来指导和实现一系列的安全管理活动。图序和方法,来指导和实现一系列的安全管理活动。图11.2示出了管理、安全管理和信息安全管理的概念关示出了管理、安全管理和信息安全管理的概念关系。系。图图11.2 管理、安全管理和信息安全管理的概念关系管理、安全管理和信息安全管理的概念关系在信息时代,信息是一种资产。随着人们对信息资源在信息时代,信息是一种资产。随着人们对信息资源利用价值的认识不断提高,信息资产的价值在不断提利用价值的认识不断提高,信息资产的价值在不断提升,信息安全的问题越发受到重视。针对各种风险的升,信息安全的问题越发受到重视。针对各种风险的安全技术和产品不断
5、涌现,如防火墙、入侵检测、漏安全技术和产品不断涌现,如防火墙、入侵检测、漏洞扫描、病毒防治、数据加密、身份认证、访问控制、洞扫描、病毒防治、数据加密、身份认证、访问控制、安全审计等,这些都是信息安全控制的重要手段,并安全审计等,这些都是信息安全控制的重要手段,并且还在不断地丰富和完善。但是,却容易给人们造成且还在不断地丰富和完善。但是,却容易给人们造成一种错觉,似乎足够的安全技术和产品就能够完全确一种错觉,似乎足够的安全技术和产品就能够完全确保一个组织的信息安全。其实不然,仅通过技术手段保一个组织的信息安全。其实不然,仅通过技术手段实现的安全能力是有限的,主要体现在以下两个方面。实现的安全能力
6、是有限的,主要体现在以下两个方面。11.1.2 安全管理的重要性安全管理的重要性一方面,许多安全技术和产品远远没有达到人们需要一方面,许多安全技术和产品远远没有达到人们需要的水准。例如,微软的的水准。例如,微软的Windows NT、IBM的的AIX等等常见的企业级操作系统,大部分只达到了美国国防部常见的企业级操作系统,大部分只达到了美国国防部TCSEC C2级安全认证,而且核心技术和知识产权都级安全认证,而且核心技术和知识产权都是国外的,不能满足国家涉密信息系统或商业敏感信是国外的,不能满足国家涉密信息系统或商业敏感信息系统的需求。再如,在计算机病毒与病毒防治软件息系统的需求。再如,在计算机
7、病毒与病毒防治软件的对抗过程中,经常是在一种新的计算机病毒出现并的对抗过程中,经常是在一种新的计算机病毒出现并已经造成大量损失后,才能开发出查杀该病毒的软件,已经造成大量损失后,才能开发出查杀该病毒的软件,也就是说,技术往往落后于新风险的出现。也就是说,技术往往落后于新风险的出现。另一方面,即使某些安全技术和产品在指标上达到了另一方面,即使某些安全技术和产品在指标上达到了实际应用的某些安全需求,如果配置和管理不当,还实际应用的某些安全需求,如果配置和管理不当,还是不能真正地实现这些安全需求。例如,虽然在网络是不能真正地实现这些安全需求。例如,虽然在网络边界设置了防火墙,但出于风险分析欠缺、安全
8、策略边界设置了防火墙,但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因,防火墙的配不明或是系统管理人员培训不足等原因,防火墙的配置出现严重漏洞,其安全功效将大打折扣。再如,虽置出现严重漏洞,其安全功效将大打折扣。再如,虽然引入了身份认证机制,但由于用户安全意识薄弱,然引入了身份认证机制,但由于用户安全意识薄弱,再加上管理不严,使得口令设置或保存不当,造成口再加上管理不严,使得口令设置或保存不当,造成口令泄漏,那么依靠口令检查的身份认证机制会完全失令泄漏,那么依靠口令检查的身份认证机制会完全失效。效。所有这些告诉我们一个道理,即仅靠技术不能获得整所有这些告诉我们一个道理,即仅靠技术
9、不能获得整体的信息安全,需要有效的安全管理来支持和补充,体的信息安全,需要有效的安全管理来支持和补充,才能确保技术发挥其应有的安全作用,真正实现整体才能确保技术发挥其应有的安全作用,真正实现整体的信息安全。俗话说的信息安全。俗话说“三分技术、七分管理三分技术、七分管理”,就是,就是强调管理的重要性,在安全领域更是如此。强调管理的重要性,在安全领域更是如此。安全管理的最终目标安全管理的最终目标是将系统(即管理对象)的安全是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行风险降低到用户可接受的程度,保证系统的安全运行和使用。风险的识别与评估是安全管理的基础,风险和使用。风险
10、的识别与评估是安全管理的基础,风险的控制是安全管理的目的,从这个意义上讲,安全管的控制是安全管理的目的,从这个意义上讲,安全管理实际上是风险管理的过程。由此可见,安全管理策理实际上是风险管理的过程。由此可见,安全管理策略的制定依据就是系统的风险分析和安全要求。略的制定依据就是系统的风险分析和安全要求。11.1.3 安全管理模型安全管理模型新的风险在不断出现,系统的安全需求也在不断变化,新的风险在不断出现,系统的安全需求也在不断变化,也就是说,安全问题是动态的。因此,安全管理应该也就是说,安全问题是动态的。因此,安全管理应该是一个不断改进的持续发展过程。图是一个不断改进的持续发展过程。图11.3
11、给出的安全给出的安全管理模型就体现出这种持续改进的模式。安全管理模管理模型就体现出这种持续改进的模式。安全管理模型遵循管理的一般循环模式,即计划(型遵循管理的一般循环模式,即计划(Plan)、执行)、执行(Do)、检查()、检查(Check)和行动()和行动(Action)的持续改)的持续改进模式,简称进模式,简称PDCA模式。每一次的安全管理活动循模式。每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的,每次循环都是在已有的安全管理策略指导下进行的,每次循环都会通过检查环节发现新的问题,然后采取行动予环都会通过检查环节发现新的问题,然后采取行动予以改进,从而形成了安全管理策略和活动
12、的螺旋式提以改进,从而形成了安全管理策略和活动的螺旋式提升。升。图图11.3 安全管理模型安全管理模型PDCA持续改进模式持续改进模式信息安全管理也遵循信息安全管理也遵循PDCA持续改进模式。信息安全持续改进模式。信息安全管理策略包括管理的任务、目标、对象、原则、程序管理策略包括管理的任务、目标、对象、原则、程序和方法,将在下一节进行详尽论述。和方法,将在下一节进行详尽论述。信息安全管理活信息安全管理活动动包括制定计划、建立机构、落实措施、开展培训、包括制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等,简要说明如下:检查效果和实施改进等,简要说明如下:制定计划制定信息安全管理的具体
13、实施、运行和维护制定计划制定信息安全管理的具体实施、运行和维护计划;计划;建立机构建立相应的安全管理机构;建立机构建立相应的安全管理机构;落实措施选择适当的安全技术和产品并实施;落实措施选择适当的安全技术和产品并实施;开展培训对所有相关人员进行必要的安全教育和培训;开展培训对所有相关人员进行必要的安全教育和培训;检查效果对所构建的信息安全管理体系进行符合性检检查效果对所构建的信息安全管理体系进行符合性检查;查;实施改进对检查结果进行评审,评价现有信息安全管实施改进对检查结果进行评审,评价现有信息安全管理体系的有效性,针对存在的问题采取改进措施。理体系的有效性,针对存在的问题采取改进措施。信息安
14、全管理策略信息安全管理策略应包括信息安全管理的任务、目标、应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。对象、原则、程序和方法这些内容。1. 信息安全管理的任务信息安全管理的任务信息安全管理的任务是保证信息的使用安全和信息载信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息的使用安全是通过实现信息的机体的运行安全。信息的使用安全是通过实现信息的机密性、完整性和可用性这些安全属性来保证的。信息密性、完整性和可用性这些安全属性来保证的。信息载体包括处理载体、传输载体、存储载体和入出载体,载体包括处理载体、传输载体、存储载体和入出载体,其运行安全就是指计算系统、网络系
15、统、存储系统和其运行安全就是指计算系统、网络系统、存储系统和外设系统能够安全地运行。外设系统能够安全地运行。11.2 信息安全管理策略信息安全管理策略2. 信息安全管理的目标信息安全管理的目标信息安全管理的目标是达到信息系统所需的安全级别,信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。将风险控制在用户可以接受的程度。3. 信息安全管理的对象信息安全管理的对象信息安全管理的对象从内涵上讲是指信息及其载体信息安全管理的对象从内涵上讲是指信息及其载体信息系统,从外延上说其范围由实际应用环境来界信息系统,从外延上说其范围由实际应用环境来界定。定。4. 信息安全管理的原
16、则信息安全管理的原则信息安全管理遵循如下基本原则:信息安全管理遵循如下基本原则:(1) 策略指导原则策略指导原则所有的信息安全管理活动都应该在统一的策略指导下所有的信息安全管理活动都应该在统一的策略指导下进行。进行。(2) 风险评估原则风险评估原则信息安全管理策略的制定要依据风险评估的结果。信息安全管理策略的制定要依据风险评估的结果。(3) 预防为主原则预防为主原则在信息系统的规划、设计、采购、集成和安装中要同在信息系统的规划、设计、采购、集成和安装中要同步考虑信息安全问题,不可心存侥幸或事后弥补。步考虑信息安全问题,不可心存侥幸或事后弥补。(4) 适度安全原则适度安全原则要平衡安全控制的费用
17、与风险危害的损失,注重实效,要平衡安全控制的费用与风险危害的损失,注重实效,将风险降至用户可接受的程度即可,没有必要追求绝将风险降至用户可接受的程度即可,没有必要追求绝对的、高昂代价的安全,实际上也没有绝对的安全。对的、高昂代价的安全,实际上也没有绝对的安全。(5) 立足国内原则立足国内原则考虑到国家安全和经济利益,安全技术和产品首先要考虑到国家安全和经济利益,安全技术和产品首先要立足国内,不能未经许可,未能消化改造直接使用境立足国内,不能未经许可,未能消化改造直接使用境外的安全保密技术和产品设备,特别是信息安全方面外的安全保密技术和产品设备,特别是信息安全方面的关键技术和核心技术尤其如此。的
18、关键技术和核心技术尤其如此。(6) 成熟技术原则成熟技术原则尽量选用成熟的技术,以得到可靠的安全保证。采用尽量选用成熟的技术,以得到可靠的安全保证。采用新技术时要慎重,要重视其成熟的程度。新技术时要慎重,要重视其成熟的程度。(7) 规范标准原则规范标准原则安全系统要遵循统一的操作规范和技术标准,以保证安全系统要遵循统一的操作规范和技术标准,以保证互连通和互操作,否则,就会形成一个个安全孤岛,互连通和互操作,否则,就会形成一个个安全孤岛,没有统一的整体安全可言。没有统一的整体安全可言。(8) 均衡防护原则均衡防护原则安全防护如同木桶装水,一是,只要木桶的木板有一安全防护如同木桶装水,一是,只要木
19、桶的木板有一块坏板,水就会从里面泄漏出来;二是,木桶中的水块坏板,水就会从里面泄漏出来;二是,木桶中的水只和最低一块木板看齐,其他木板再高也无用。所以,只和最低一块木板看齐,其他木板再高也无用。所以,安全防护措施要注意均衡性,注意是否存在薄弱环节安全防护措施要注意均衡性,注意是否存在薄弱环节或漏洞。或漏洞。(9) 分权制衡原则分权制衡原则要害部位的管理权限不应交给一个人管理,否则,一要害部位的管理权限不应交给一个人管理,否则,一旦出现问题将全线崩溃。分权可以相互制约,提高安旦出现问题将全线崩溃。分权可以相互制约,提高安全性。全性。(10) 全体参与原则全体参与原则安全问题不只是安全管理人员的事
20、情,全体相关人员安全问题不只是安全管理人员的事情,全体相关人员都有责任。如果安全管理人员制定的安全制度和措施都有责任。如果安全管理人员制定的安全制度和措施得不到相关人员的切实执行,安全隐患依然存在,安得不到相关人员的切实执行,安全隐患依然存在,安全问题就不会得到真正解决。全问题就不会得到真正解决。(11) 应急恢复原则应急恢复原则安全防护不怕一万就怕万一,因此安全管理要有应急安全防护不怕一万就怕万一,因此安全管理要有应急响应预案,并且要进行必要的演练,一旦出现问题就响应预案,并且要进行必要的演练,一旦出现问题就能够马上采取应急措施,阻止风险的蔓延和恶化,将能够马上采取应急措施,阻止风险的蔓延和
21、恶化,将损失减少到最低程度。损失减少到最低程度。天灾人祸在所难免,因此在灾难不能同时波及的地区天灾人祸在所难免,因此在灾难不能同时波及的地区设立备份中心,保持备份中心与主系统数据的一致性。设立备份中心,保持备份中心与主系统数据的一致性。一旦主系统遇到灾难而瘫痪,便可立即启动备份系统,一旦主系统遇到灾难而瘫痪,便可立即启动备份系统,使系统从灾难中得以恢复,保证系统的连续工作。使系统从灾难中得以恢复,保证系统的连续工作。(12) 持续发展原则持续发展原则为了应对新的风险,对风险要实施动态管理。因此,为了应对新的风险,对风险要实施动态管理。因此,要求安全系统具有延续性、可扩展性,能够持续改进,要求安
22、全系统具有延续性、可扩展性,能够持续改进,始终将风险控制在可接受的水平。始终将风险控制在可接受的水平。5. 信息安全管理的程序信息安全管理的程序信息安全管理的程序遵循信息安全管理的程序遵循PDCA循环模式的循环模式的4大基本大基本步骤:步骤: 计划(计划(Plan)。制定工作计划,明确责任分工,)。制定工作计划,明确责任分工,安排工作进度,突出工作重点,形成工作文件。安排工作进度,突出工作重点,形成工作文件。 执行(执行(Do)。按照计划展开各项工作,包括建立)。按照计划展开各项工作,包括建立权威的安全机构,落实必要的安全措施,开展全员的权威的安全机构,落实必要的安全措施,开展全员的安全培训等
23、。安全培训等。 检查(检查(Check)。对上述工作所构建的信息安全管)。对上述工作所构建的信息安全管理体系进行符合性检查,包括是否符合法律法规的要理体系进行符合性检查,包括是否符合法律法规的要求,是否符合安全管理的原则,是否符合安全技术的求,是否符合安全管理的原则,是否符合安全技术的标准,是否符合风险控制的指标等,并报告结果。标准,是否符合风险控制的指标等,并报告结果。 行动(行动(Action)。依据上述检查结果,对现有信)。依据上述检查结果,对现有信息安全管理策略的适宜性进行评审与评估,评价现有息安全管理策略的适宜性进行评审与评估,评价现有信息安全管理体系的有效性,采取改进措施。信息安全
24、管理体系的有效性,采取改进措施。6. 信息安全管理的方法信息安全管理的方法信息安全管理根据具体管理对象的不同,采用不同的信息安全管理根据具体管理对象的不同,采用不同的具体管理方法。信息安全管理的具体对象包括机构、具体管理方法。信息安全管理的具体对象包括机构、人员、软件、设备、介质、涉密信息、技术文档、网人员、软件、设备、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安全审计、场地设施络连接、门户网站、应急恢复、安全审计、场地设施等。等。BS7799标准是由英国标准协会(标准是由英国标准协会(BSI)制定的信息安)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体全管理标准,是
25、国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分:系标准。该标准包括以下两部分:BS7799-1:1999信息安全管理实施规则信息安全管理实施规则;BS7799-2:1999信息安全管理体系规范信息安全管理体系规范。其中,其中,BS7799-1:1999于于2000年年12月通过国际标准化月通过国际标准化组织(组织(ISO)认可,正式成为国际标准,即)认可,正式成为国际标准,即ISO/IEC19799:2000信息技术信息技术信息安全管理实信息安全管理实施规则施规则。11.3 信息安全管理标准信息安全管理标准BS7799于于1995年首次出版,它提供了一套综合的、年首次出版,它提供
26、了一套综合的、由信息安全最佳实施组成的通用规则,为工商业及大、由信息安全最佳实施组成的通用规则,为工商业及大、中、小组织的信息系统在通常情况下所需的安全控制中、小组织的信息系统在通常情况下所需的安全控制提供标准的参考基准。提供标准的参考基准。BS7799最新版本于最新版本于1999年年5月在月在BSI/DISC的的BDD/2信信息安全管理委员会的指导下制定完成,它取代了被废息安全管理委员会的指导下制定完成,它取代了被废止的止的BS7799:1995。这一版充分考虑了信息处理技术,。这一版充分考虑了信息处理技术,尤其是网络和通信领域应用的近期发展,同时还强调尤其是网络和通信领域应用的近期发展,同
27、时还强调了电子商务所涉及的信息安全及信息安全的责任。了电子商务所涉及的信息安全及信息安全的责任。BS7799共分两部分:共分两部分:第一部分为第一部分为BS7799-1:1999信息安全管理实施规则信息安全管理实施规则,即,即ISO/IEC19799:2000信息技术信息技术信息安全信息安全管理实施规则管理实施规则,是组织建立并实施信息安全管理体,是组织建立并实施信息安全管理体系的一个指导性准则,主要是为组织实施有效的信息系的一个指导性准则,主要是为组织实施有效的信息安全管理所需的控制提供通用的最佳实施规则。安全管理所需的控制提供通用的最佳实施规则。11.3.1 标准的组成与结构标准的组成与结
28、构第二部分为第二部分为BS7799-2:1999信息安全管理体系规范信息安全管理体系规范,规定了建立、实施和维护信息安全管理体系,规定了建立、实施和维护信息安全管理体系(Information Security Management System,ISMS)的要求,指出组织需遵循风险评估和自身需)的要求,指出组织需遵循风险评估和自身需求来确定最适宜的安全控制要求,采取最适当的安全求来确定最适宜的安全控制要求,采取最适当的安全控制措施。控制措施。BS7799-2:1999明确提出安全控制要求,明确提出安全控制要求,BS7799-1:1999对应给出了通用的安全控制方法,因此可以说,对应给出了通用
29、的安全控制方法,因此可以说,BS7799-1:1999为为BS7799-2:1999的具体实施提供了指的具体实施提供了指南。南。BS7799由由4个主要段落组成,即范围、术语和定义、个主要段落组成,即范围、术语和定义、体系要求和控制细则。其中控制细则包括体系要求和控制细则。其中控制细则包括10大控制方大控制方面、面、36个控制目标、个控制目标、127种控制方式,涉及与信息安种控制方式,涉及与信息安全有关的方方面面。关于控制细则的使用,一方面,全有关的方方面面。关于控制细则的使用,一方面,组织可以根据自己的实际需要进行选用;另一方面,组织可以根据自己的实际需要进行选用;另一方面,标准中的控制目标
30、和控制方式并非信息安全管理的全标准中的控制目标和控制方式并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方部,组织可以根据需要考虑另外的控制目标和控制方式。标准的两部分章节对照,如表式。标准的两部分章节对照,如表11-1所示。所示。BS7799-2:1999信息安全管理体系规范信息安全管理体系规范的结构说的结构说明,如图明,如图11.4所示。所示。表表11-1 BS7799-1:1999和和BS7799-2:1999的章节对照的章节对照内容BS7799-1:1999章节号(措施)BS7799-2:1999章节号(要求)范围11术语和定义22信息安全体系要求-3控制细则-4安全方
31、针34.1安全组织44.2资产分类与控制54.3人员安全64.4物理与环境安全74.5通信与运作管理84.6访问控制94.7系统开发与维护104.8商务持续性管理114.9依从124.10图图11.4 BS7799-2:1999的结构说明的结构说明1.总则总则总则总则(general)是标准对信息安全管理体系的总体)是标准对信息安全管理体系的总体要求。要求。信息安全管理体系是组织管理体系的一部分,专门信息安全管理体系是组织管理体系的一部分,专门用于组织的信息资产风险管理,确保组织的信息安用于组织的信息资产风险管理,确保组织的信息安全,包括为制定、实施、评审和保持信息安全方针全,包括为制定、实施
32、、评审和保持信息安全方针所需要的组织机构、目标、职责、程序、过程和资所需要的组织机构、目标、职责、程序、过程和资源。源。11.3.2 信息安全管理体系要求信息安全管理体系要求标准要求组织通过制定信息安全方针、确定体系范围、标准要求组织通过制定信息安全方针、确定体系范围、明确管理职责,通过风险评估确定控制目标与控制方明确管理职责,通过风险评估确定控制目标与控制方式等活动建立信息安全管理体系。信息安全管理体系式等活动建立信息安全管理体系。信息安全管理体系一旦建立,组织应按体系规定的要求进行运作,保证一旦建立,组织应按体系规定的要求进行运作,保证体系运作的有效性。信息安全管理体系应形成一定的体系运作
33、的有效性。信息安全管理体系应形成一定的文件,如方针、适用性声明文件和实施安全控制所必文件,如方针、适用性声明文件和实施安全控制所必须的程序文件。综上所述,组织应建立并保持一个文须的程序文件。综上所述,组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、件化的信息安全管理体系,其中应阐述被保护的资产、风险管理的方法、控制目标及控制方式和需要的保证风险管理的方法、控制目标及控制方式和需要的保证程度。程度。2.建立管理构架建立管理构架建立管理构架(建立管理构架(Establishing Management Frame)属于对信息安全管理体系策划的一个要求,即按照以属于对信息安全管
34、理体系策划的一个要求,即按照以下步骤确定控制目标与控制方式:下步骤确定控制目标与控制方式: 制定组织的信息安全方针。制定组织的信息安全方针。 界定信息安全管理体系的适用范围。界定信息安全管理体系的适用范围。 对组织可能遭受的风险进行系统地评估。对组织可能遭受的风险进行系统地评估。 根据方针和风险程度,决定风险管理内容。根据方针和风险程度,决定风险管理内容。 选择适合组织商务运作的控制目标和控制方式,选择适合组织商务运作的控制目标和控制方式,包括从包括从BS7799-1:1999中选出的控制和识别出的其他中选出的控制和识别出的其他控制。控制。 准备适用性声明,它是对组织选择的控制目标和准备适用性
35、声明,它是对组织选择的控制目标和控制方式的评论性文件,并经过管理层的批准。控制方式的评论性文件,并经过管理层的批准。因为组织本身结构、信息资产所处的环境、商业流程、因为组织本身结构、信息资产所处的环境、商业流程、安全控制技术、法律法规等方面均有可能发生变化,安全控制技术、法律法规等方面均有可能发生变化,因而会有新的安全威胁和薄弱点出现,导致新的风险。因而会有新的安全威胁和薄弱点出现,导致新的风险。因此,为保持对风险实施动态控制,确保组织信息安因此,为保持对风险实施动态控制,确保组织信息安全的持续,要求组织定期对上述过程进行评审,不断全的持续,要求组织定期对上述过程进行评审,不断改进和完善控制目
36、标和控制方式,在此基础上对适用改进和完善控制目标和控制方式,在此基础上对适用性声明进行评价或修订。性声明进行评价或修订。值得强调的是,信息安全管理体系的成功建立与实施,值得强调的是,信息安全管理体系的成功建立与实施,及它对组织的价值很大程度上取决于风险评估的质量。及它对组织的价值很大程度上取决于风险评估的质量。3.实施实施组织要按照所选择的控制目标和控制方式进行有效的组织要按照所选择的控制目标和控制方式进行有效的安全控制,即按照方针、程序等要求开展信息处理、安全控制,即按照方针、程序等要求开展信息处理、安全管理各项活动。实施(安全管理各项活动。实施(implementation)的有效)的有效
37、性包括以下两方面的含义:性包括以下两方面的含义:控制活动应严格按照要求执行控制活动应严格按照要求执行活动的结果应达到预期的目标要求,即风险控制的结活动的结果应达到预期的目标要求,即风险控制的结果是可以接受的。果是可以接受的。4.文件化文件化信息安全管理体系文件(信息安全管理体系文件(documentation)是按标准)是按标准要求建立管理框架的证据,它一般包括方针、适用性要求建立管理框架的证据,它一般包括方针、适用性声明、方针手册、管理及实施程序、作业指导书和记声明、方针手册、管理及实施程序、作业指导书和记录,其文件层次结构,如图录,其文件层次结构,如图11.5所示。所示。图图11.5 信息
38、安全管理体系文件层次结构信息安全管理体系文件层次结构5.文件控制文件控制组织应建立一个文件控制(组织应建立一个文件控制(Document Control)程序,)程序,对信息安全管理体系文件进行以下方面的控制:对信息安全管理体系文件进行以下方面的控制:明确文件控制活动的各项职责;明确文件控制活动的各项职责;文件发布前应履行审批手续;文件发布前应履行审批手续;进行发放管理,确保授权的人员随时获得;进行发放管理,确保授权的人员随时获得;定期评审,必要时予以修订,以符合组织的安全方针;定期评审,必要时予以修订,以符合组织的安全方针;进行版本控制,保证现场使用的文件为最新有效版本;进行版本控制,保证现
39、场使用的文件为最新有效版本;当文件废止且有法律或知识保护目的要求时,应保存当文件废止且有法律或知识保护目的要求时,应保存并标识,防止误用;并标识,防止误用;文件应易读,标明日期(包括修订日期);文件应易读,标明日期(包括修订日期);按规定方式对文件进行标识(文件编号);按规定方式对文件进行标识(文件编号);按规定时间保存;按规定时间保存;体系文件本身也属于信息资产,其中含有敏感信息,体系文件本身也属于信息资产,其中含有敏感信息,应确定其密级并进行密级标识。应确定其密级并进行密级标识。6.记录记录组织应建立记录(组织应建立记录(record)程序,对具有符合性的记)程序,对具有符合性的记录进行标
40、识、维护、保留和处置方面的控制。录进行标识、维护、保留和处置方面的控制。组织应按照规定的保存期限保存信息安全记录,以证组织应按照规定的保存期限保存信息安全记录,以证明活动符合本规定要求及适合体系和组织的要求。如明活动符合本规定要求及适合体系和组织的要求。如来访者登记、审核记录和访问授权等。来访者登记、审核记录和访问授权等。对记录的管理要求和控制如下:对记录的管理要求和控制如下:记录应清晰易读,对相关活动具有标识和可追溯性;记录应清晰易读,对相关活动具有标识和可追溯性;记录应以便于检索的方式保存和维护,并防止损坏、记录应以便于检索的方式保存和维护,并防止损坏、变质和丢失;变质和丢失;须长期保存的
41、记录应存放于一个适宜的环境,防止因须长期保存的记录应存放于一个适宜的环境,防止因蛀虫等原因造成记录的不可用和不完整,电子媒体的蛀虫等原因造成记录的不可用和不完整,电子媒体的记录应进行备份等;记录应进行备份等;记录的保存应符合有关的法律法规要求;记录的保存应符合有关的法律法规要求;记录也属于信息资产,对于含有敏感信息的记录应进记录也属于信息资产,对于含有敏感信息的记录应进行密级标识并进行适当的控制。行密级标识并进行适当的控制。控制细则控制细则包括安全方针、安全组织、资产分类与控制、包括安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运作管理、访问人员安全、物理与环境安全、通信
42、与运作管理、访问控制、系统开发与维护、商务持续性管理、依从共控制、系统开发与维护、商务持续性管理、依从共10大控制方面、大控制方面、36个控制目标、个控制目标、127种控制方式,涉及种控制方式,涉及与信息安全有关的方方面面,如表与信息安全有关的方方面面,如表11-2所示。有关详所示。有关详细内容,请参见标准文本。(见书中表细内容,请参见标准文本。(见书中表11-2 BS7799的控制细则的控制细则 )组织应根据风险评估结果从中选定适宜的控制目标和组织应根据风险评估结果从中选定适宜的控制目标和控制方式,对于不适宜的条款应在适用性声明中给予控制方式,对于不适宜的条款应在适用性声明中给予说明。说明。
43、11.3.3 控制细则控制细则安全管理安全管理是在安全策略的指导下进行的一系列管理活是在安全策略的指导下进行的一系列管理活动。动。安全管理策略安全管理策略包括管理的任务、目标、对象、原包括管理的任务、目标、对象、原则、程序和方法。则、程序和方法。安全管理活动安全管理活动包括制定计划、建立包括制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等。机构、落实措施、开展培训、检查效果和实施改进等。信息安全管理信息安全管理是以信息及其载体(即信息系统)为对是以信息及其载体(即信息系统)为对象的安全管理。象的安全管理。11.4 本章小结本章小结仅靠技术不能获得整体的信息安全,需要有效的安全仅靠技
44、术不能获得整体的信息安全,需要有效的安全管理来支持和补充,才能确保技术发挥其应有的安全管理来支持和补充,才能确保技术发挥其应有的安全作用,真正实现整体的信息安全。作用,真正实现整体的信息安全。安全管理应该是一个不断改进的持续发展过程。安全安全管理应该是一个不断改进的持续发展过程。安全管理模型遵循管理的一般管理模型遵循管理的一般循环模式循环模式,即计划(,即计划(Plan)、)、执行(执行(Do)、检查()、检查(Check)和行动()和行动(Action)的持)的持续改进模式,简称续改进模式,简称PDCA模式模式。信息安全管理的任务信息安全管理的任务是保证信息的使用安全和信息载是保证信息的使用
45、安全和信息载体的运行安全。体的运行安全。目标目标是达到信息系统所需的安全级别,是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。将风险控制在用户可以接受的程度。信息安全管理遵循的基本原则信息安全管理遵循的基本原则有策略指导原则、风险有策略指导原则、风险评估原则、预防为主原则、适度安全原则、立足国内评估原则、预防为主原则、适度安全原则、立足国内原则、成熟技术原则、规范标准原则、均衡防护原则、原则、成熟技术原则、规范标准原则、均衡防护原则、分权制衡原则、全体参与原则、应急恢复原则和持续分权制衡原则、全体参与原则、应急恢复原则和持续发展原则等。发展原则等。信息安全管理的方法根据具体管理对象的不同,采用信息安全管理的方法根据具体管理对象的不同,采用不同的具体管理方法。不同的具体管理方法。信息安全管理的具体对象信息安全管理的具体对象包括包括机构、人员、软件、设备、介质、涉密信息、技术文机构、人员、软件、设备、介质、涉密信息、技术文档、网络连接、应急恢复、安全审计、场地设施等。档、网络连接、应急恢复、安全审计、场地设施等。BS7799标准是国际上具有代表性的信息安全管理标标准是国际上具有代表性的信息安全管理标准,由准,由信息安全管理实施规则信息安全管理实施规则和和信息安全管理信息安全管理体系规范体系规范两部分组成。两部分组成。
