Information Security Management Systems
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是
直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
基本信息
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS
国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息
安全问题的一个有效方法。ISMS认证随之成为组织向社会及其
相关方证明其信息
安全水平和能力的一种有效途径。
信息
安全管理体系是组织机构单位按照信息安全管理体系
相关标准的要求,制定信息安全管理方针和策略,采用
风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由
BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
编写依据
简述
组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息
安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。
(1)体系标准
要求:BS 7799-2:2002 《信息安全管理体系规范》 控制方式指南:ISO/IEC17799:2000《信息技术-信息安全管理实施细则》
(2)要求
相关法律、法规及其他要求。
(3)惯例、规章、制度
包括信息
安全管理手册、
适用性说明、
管理制度与
规范、
业务流程和记录表单等;
(4)其他的文件
[编辑]
遵循原则
在编写程序文件时应遵循下列原则:
程序文件一般不涉及纯技术性的细节,细节通常在工作指令或
作业指导书中规定; 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式; 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度; 程序文件应简练、明确和易懂,使其具有可操作性和可检查性; 程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
注意事项
程序文件要符合组织业务运作的实际,并具有可操作性;
可检查性。实施信息安全管理体系的一个重要标志就是
有效性的验证。程序文件主要体现可检查性,必要时附相应的
控制标准; 在正式编写程序文件之前,组织应根据标准的要求、
风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现安全控制的前提下,程序文件数量和每个程序的篇幅越少越好; 程序文件应得到本活动相关部门负责人同意和接受,必须经过审批,注明修订情况和有效期。
模式应用
计划(Plan)——根据风险评估结果、
法律法规要求、组织业务运作自身需要来确定控制目标与
控制措施;
实施(Do)——实施所选的安全控制措施;
检查(Check)——依据策略、程序、标准和法律法规,对
安全措施的实施情况进行
符合性检查。
改进(Action)——根据ISMS审核、
管理评审的结果及其他相关信息,采取纠正和
预防措施,实现ISMS
的持继改进。
策划:
依照组织整个方针和目标,建立与
控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。
实施:
实施和运作方针(过程和程序)。
检查:
依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。
措施:
采取纠正和预防措施进一步提高过程业绩。
四个步骤成为一个
闭环,通过这个环的不断运转,使信息安全管理体系得到
持续改进,使信息
安全绩效(performance)螺旋上升。
PDCA的应用
P—建立信息安全管理体系环境&风险评估
要启动PDCA 循环,必须有“启动器”:提供必须的资源、选择风险
管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的
信息安全风险,为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化,以备将来追溯和控制更改情况。
1.确定范围和方针
信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分,组织都必须明确界定体系的范围,如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围,信息安全管理体系范围文件应该涵盖:
确立信息安全管理体系范围和体系环境所需的过程; 战略性和组织化的信息安全
管理环境; 组织的信息安全风险管理方法; 信息安全风险
评价标准以及所要求的保证程度;
信息资产识别的范围。 信息安全管理体系也可能在其他信息安全管理体系的
控制范围内。在这种情况下,上下级控制的关系有下列两种可能:
下级信息安全管理体系不使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA 活动; 下级信息安全管理体系使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“
外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动,但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。 安全方针是关于在一个组织内,指导如何对
信息资产进行管理、保护和分配的规则、指示,是组织信息安全管理体系的基本法。组织的信息安全方针,描述信息安全在组织内的重要性,表明
管理层的承诺,提出组织
管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2、定义风险评估的系统性方法
确定信息安全风险评估方法,并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。组织需要建立
风险评估文件,解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和
业务环境,介绍所采用的技术和工具,以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节:a.信息安全管理体系内资产的估价,包括所用的
价值尺度信息;b. 威胁及薄弱点的识别;c.可能利用薄弱点的威胁的评估,以及此类事故可能造成的影响;d.以风险评估结果为基础的风险计算,以及
剩余风险的识别。
3、识别风险
识别信息安全管理体系控制范围内的信息资产;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别
保密性、
完整性和
可用性丢失对这些资产的潜在影响。
4、评估风险
根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败(failure)可能引起的商业影响;根据与资产相关的主要威胁、薄弱点及其影响,以及实施的控制,评估此类失败发生的
现实可能性;根据既定的风险等级准则,确定风险等级。
对于所识别的信息安全风险,组织需要加以分析,区别对待。如果风险满足组织的
风险接受方针和准则,那么就有意的、客观的接受风险;对于不可接受的风险组织可以考虑避免风险或者将
转移风险;对于不可避免也不可转移的风险应该采取适当的安全控制,将其降低到可接受的水平。
6、为风险的处理选择控制目标与控制方式
选择并文件化控制目标和控制方式,以将风险降低到可接受的等级。BS 7799-2:2002 附录A 提供了可供选择的控制目标与控制方式。不可能总是以可接受的费用将风险降低到可接受的等级,那么需要确定是增加额外的控制,还是接受
高风险。在设定可接受的风险等级时,控制的强度和费用应该与事故的潜在费用相比较。这个阶段还应该策划安全破坏或者违背的探测机制,进而安排预防、制止、限制和
恢复控制。在形式上,组织可以通过设计风险处理计划来完成步骤5 和6。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施
时间表,是组织
安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动,还可以作为与
高层管理者、上级
领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个
信息安全风险阐明以下内容:组织所选择的
处理方法;已经到位的控制;建议采取的额外措施;建议的控制的实施时间框架。
剩余风险(residual risks)的建议应该获得批准,开始实施和运作信息安全管理体系需要获得最高管理者的授权。
D—实施并运行
PDCA 循环中这个阶段的任务是以适当的
优先权进行管理运作,执行所选择的控制,以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险, 不需要采取进一步的措施。对于不可接受风险,需要实施所选择的控制,这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的
管理系统,其中要规定所
选择方法、分配职责和
职责分离,并且要依据规定的方式方法监控这些活动。
在不可接受的风险被降低或转移之后,还会有一部分剩余风险。应对这部分风险进行控制,确保不期望的影响和破坏被快速识别并得到
适当管理。本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。
提高
信息安全意识的目的就是产生适当的风险和
安全文化,保证意识和
控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和
实时性。如有必要应对相关方事实有针对性的
安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持策划了的探测和响应机制。
C—监视并评审
检查阶段
又叫学习阶段,是PDCA 循环的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现一个控制措施不合理、不充分,就要采取
纠正措施,以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好,并对其业绩进行监视,可能包括下列管理过程:
1、
执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验。
2、常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。
3、评审剩余风险和
可接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可接受风险等级的
合理性。
4、审核是执行
管理程序、以确定规定的安全程序是否适当、是否
符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期(最多不超过一年)检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划,以便审核任务能在审核期间内按部就班的展开。
评审
信息安全方针仍然是业务要求的正确反映; 正在遵循文件化的程序(信息安全管理体系范围内),并且能够满足其期望的目标; 有适当的技术控制(例如防火墙、实物
访问控制),被正确的配置,且行之有效; 剩余风险已被正确评估,并且是
组织管理可以接受的; 前期审核和评审所认同的措施已经被实施;审核会包括对文件和记录的抽样检查,以及口头审核管理者和员工。 正式评审:为确保范围保持
充分性,以及信息安全管理体系过程的
持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审(最少一年评审一次)。 记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。
A—改进
经过了策划、实施、检查之后,组织在措施阶段必须对所策划的方案给以结论,是应该
继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,这就开始了新一轮的PDCA 循环。在这个过程中组织可能持续的进行一下操作:
测量信息安全管理体系满足安全方针和目标方面的业绩。 识别信息安全管理体系的改进,并有效实施。 采取适当的纠正和预防措施。 沟通结果及活动,并与所有相关方磋商。 必要时修订信息安全管理体系。 确保修订达到预期的目标。 在这个阶段需要注意的是,很多看起来单纯的、孤立的事件,如果不及时处理就可能对整个组织产生影响,所采取的措施不仅具有直接的效果,还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于眼前的问题,还要杜绝类似事故再发生或者降低其在放生的可能性。
不符合、纠正措施和预防措施是本阶段的重要概念。
不符合:是指实施、维持并改进所要求的一个或多个管理体系要素缺乏或者失效,或者是在
客观证据基础上,信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大
不确定性的情况。
纠正措施:组织应确定措施,以消除信息安全管理体系实施、运作和使用过程中不符合的原因,防止再发生。组织的
纠正措施的文件化程序应该规定以下方面的要求:
识别信息安全管理体系实施、运作过程中的不符合; 确定不符合的原因; 评价确保不符合不再发生的措施要求; 取定并实施所需的纠正措施; 记录所采取措施的结果; 评审所采取措施的有效性。 预防措施:组织应确定措施,以消除潜在不符合的原因,防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的文件化程序应该规定以下方面的要求:
识别潜在不符合及其原因; 确定并实施所需的预防措施; 记录所采取措施的结果; 评审所采取的预防措施; 识别已变化的风险,并确保对发生重大变化的风险予以关注。
相关文章
IT领域出现了全面的业务和技术的融合,许多全新的技术名词开始进入大众视野。作为第三次IT浪潮的代表,云计算技术的风起云涌为人类生活、
生产方式和
商业模式带来了巨大的改变。据
Gartner公司最新一季度的IT支出报告称,鉴于2011年全球公有云服务
市场规模突破了910亿美元,预计2012年底这一数字将增加19%,达到1090亿美元。来自Gartner的
云计算领域
观察员Ed Anderson认为,2016年全球
云计算产业很可能
增长率将超过100%,市场规模达到2070亿美元。
伴随着云计算的高速发展与普及,随之而来的全新网络威胁、
数据泄漏和欺诈的风险,在全球范围内引发了诸多危机:2011年3月,
谷歌Gmail邮箱爆发大规模的用户数据泄漏事件,约有15万用户的使用信息受到不同程度的破坏;无独有偶,2011年4月,全球最大的网络零售商
亚马逊也发生史上最严重的
宕机事件,导致其
云服务中断持续了近四天,业务损失十分严重。由此可见,想要获得真正全面的
云计算服务,安全问题是重中之重。如何有效地避免云计算所存在的安全隐患,国际上关于“云”的组织联盟都在积极地做出努力,在对
相关技术水平提出更高要求的同时,如何更好的建立企业自身的信息安全管理标准体系,也成为了行业日益关注的焦点。
作为国际上具有
代表性的信息安全管理体系标准,ISO 27001已在世界各地的政府机构、银行、证券、保险公司、
电信运营商、网络公司及许多跨国公司得到了广泛应用。该标准重新定义了对信息安全管理体系(ISMS) 的要求,旨在帮助企业确保信息安全,有足够并具有针对性的安全控制选择。通过信息安全管理体系的建立、运行和改进,可以进一步规范企业相关的
信息管理工作,从而确保企业云计算服务的安全问题。
此外,开展ISO 27001的培训也是十分必要的,而且要从不同的层面开展针对性培训。首先,需要开展
管理层的培训,让管理者对信息安全管理体系有一个初步的了解,让领导们了解信息安全管理体系的理念和作用 。
企业信息安全体系架构的建立,需要得到企业高层的支持,才能顺利进行。因为信息安全体系架构的实施和运行,会跨越不同的部门,在部门与部门之间的协调上,需要上层领导的协助。此外,让各部门主要信息安全专员参与信息安全管理体系标准的
内审员培训,从而让
内部审核员认识企业的信息安全体系,应该做哪些工作,哪些是重点工作,在培训中进行沟通与讨论,形成统一的信息安全
管理标准。
通过实施
ISO27001信息安全管理体系,将为企业带来多方面的益处,包括:证明企业
内部控制具备独立保障,并满足公司信息管理管理和
业务连续性要求;
独立证明已遵守各项适用的
法律法规;通过满足合同要求以提供
竞争优势,并向客户展示其云计算信息安全已受到保护;在使信息安全流程、程序和文件材料
正式化的同时,能够独立证明公司的云服务相关
信息安全风险已得到妥善识别、评估和管理;证明高级管理层对其信息安全的承诺;定期的评估流程,有助于监控企业的绩效并最终得到改善。