信息安全管理体系应用方法

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2020-04-01 18:50:14

　　1.信息安全管理体系（ISMS）和企业安全架构的关系

　　ISMS指出了需要部署的风险管理，从战略层面出发

　　企业架构则细化了风险管理的组件，并阐明了如何从战略、战术和运营层面开展风险管理

　　ISMS是自上而下的开发方法，确保人们正在保护公司的资产，它由高级管理人员驱动。

　　2.涉及的几个术语

　　1）安全策略/方针

　　安全策略不应受技术和解决方案的约束

　　高级管理层制定的一份声明

　　明确安全战略和战术价值。明确可承受的风险

　　规定安全在组织内所扮演的角色

　　可以组织化策略为组织内部未来提供范围和方向，说明愿意接受多大的风险

　　可针对性设置

　　必须列出目标和任务，不得规定具体做法

　　方向性，战略性的，不具体怎么做

　　2）标准：一般指强制性的活动、动作或规则，为策略提供方向上的支持和实施，是战术目标

　　对于强制性要达到的标准

　　3）基线

　　定义所需要的最低保护要求

　　组织还应制定面向非技术的基线：例身份徽章、参观陪同

　　满足方针/策略要求的最低级别的安全要求

　　基本要求

　　4）指南

　　在没有应用特定标准时向用户、IT人员、运营人员及其他人员提供建议性动作和操作

　　类似于标准，加强系统安全的方法，建议性的

　　建议性的最佳实践方法

　　5）措施

　　为达到特定目标应执行的详细的、分步骤的任务

　　说明如何将策略、标准和指南应用到实际操作中

　　采取的技术和管理手段

　　3.ISMS的具体过程

　　采用PDCA进行管理：

　　计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；

　　实施（Do）——实施所选的安全控制措施；

　　检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。

　　改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS的持继改进。

　　PDCA过程模式

　　策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

　　实施：实施和运作方针（过程和程序）。

　　检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

　　措施：采取纠正和预防措施进一步提高过程业绩。

　　四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。

　　PDCA的应用

　　P—建立信息安全管理体系环境&风险评估

　　要启动PDCA 循环，必须有“启动器”：提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。

　　1）确定范围和方针

　　信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：

　　确立信息安全管理体系范围和体系环境所需的过程；战略性和组织化的信息安全管理环境；组织的信息安全风险管理方法；信息安全风险评价标准以及所要求的保证程度；信息资产识别的范围。

　　信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能：

　　下级信息安全管理体系不使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA 活动；下级信息安全管理体系使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。　安全方针是关于在一个组织内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。

　　2）定义风险评估的系统性方法

　　确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：

　　a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；

　　b. 威胁及薄弱点的识别；

　　c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；

　　d.以风险评估结果为基础的风险计算，以及剩余风险的识别。

　　3）识别风险

　　识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。

　　4）评估风险

　　根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（failure）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。

　　5）识别并评价风险处理的方法

　　对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。

　　6）为风险的处理选择控制目标与控制方式

　　选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。在形式上，组织可以通过设计风险处理计划来完成步骤5 和6。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。

　　7）获得最高管理者的授权批准

　　剩余风险(residual risks)的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。

　　D—实施并运行

　　PDCA 循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险，不需要采取进一步的措施。对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

　　在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

　　提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持策划了的探测和响应机制。

　　C—监视并评审

　　检查阶段，又叫学习阶段，是PDCA 循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程：

　　1）执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

　　2）常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。

　　3）评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。

　　4）审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展开。

　　评审

　　信息安全方针仍然是业务要求的正确反映；正在遵循文件化的程序（信息安全管理体系范围内），并且能够满足其期望的目标；有适当的技术控制（例如防火墙、实物访问控制），被正确的配置，且行之有效；剩余风险已被正确评估，并且是组织管理可以接受的；前期审核和评审所认同的措施已经被实施；审核会包括对文件和记录的抽样检查，以及口头审核管理者和员工。正式评审：为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审（最少一年评审一次）。记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

　　A—改进

　　经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA 循环。在这个过程中组织可能持续的进行一下操作：

　　测量信息安全管理体系满足安全方针和目标方面的业绩。识别信息安全管理体系的改进，并有效实施。采取适当的纠正和预防措施。沟通结果及活动，并与所有相关方磋商。必要时修订信息安全管理体系。确保修订达到预期的目标。　在这个阶段需要注意的是，很多看起来单纯的、孤立的事件，如果不及时处理就可能对整个组织产生影响，所采取的措施不仅具有直接的效果，还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下，以长远的眼光来打算，确保措施不仅致力于眼前的问题，还要杜绝类似事故再发生或者降低其在放生的可能性。

　　不符合、纠正措施和预防措施是本阶段的重要概念。

　　不符合：是指实施、维持并改进所要求的一个或多个管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

　　纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：

　　识别信息安全管理体系实施、运作过程中的不符合；确定不符合的原因；评价确保不符合不再发生的措施要求；取定并实施所需的纠正措施；记录所采取措施的结果；评审所采取措施的有效性。　预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的文件化程序应该规定以下方面的要求：

　　识别潜在不符合及其原因；确定并实施所需的预防措施；记录所采取措施的结果；评审所采取的预防措施；识别已变化的风险，并确保对发生重大变化的风险予以关注。

返回上一级