构建信息安全管理体系提升信息安全管理水平

来源:用户上传      作者: 刘经文

　　摘要：对信息系统安全的特点进行分析，提出了在安全产品的辅助下，通过管理手段体系化和构建信息安全管理体系(ISMs)，来保障信息系统安全。
　　关键词：信息安全；管理体系；ISMS
　　中图分类号：TP315　文献标识码：A　文章编号：1009-8631(2010)05-0171-02
　　
　　一、概述
　　
　　当前，信息资源的开发和利用，已成为信息化建设的核心。信息作为一种重要的资产，已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出：“没有信息安全保障的信息工程一定是豆腐渣工程”。
　　所谓信息安全，是针对技术和管理来说的，为信息处理体统提供安全保护，保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面：
　　1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
　　2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
　　3)信息安全是指防止信息资源的非授权泄漏、更改、破坏，或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
　　4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段，确保系统安全生存和运营。
　　信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险，一般的信息系统都部署了基本的防御和检测体系，如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用，在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题，日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题，并不能应用到所有问题上，所以说它们的功能相对比较狭窄，因此想通过设置安全产品来彻底解决信息安全问题是不可能的；另一方面，信息安全问题并不是固定的、静态的，它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下，当产品安装和配置一段时期后，旧的问题解决了。新的安全问题就会产生，安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段，通过安全产品的辅助，从而保障信息系统的安全。
　　
　　二、搭建信息安全管理体系
　　
　　(一)BS7799
　　信息安全管理体系是安全管理和安全控制的有效结合体，通过分析信息安全各个环节的实际需求情况和风险情况，建立科学合理的安全控制措施，并且同信息系统审计相结合，从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有：英国标准协会制定的信息安全管理体系标准-BS7799；国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT；是目前国际上通用的信息系统审计标准；英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL；国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0／IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准，于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订，目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面，全面而不失操作性，提供了一个可持续发展提高的信息安全管理环境。在该标准中，信息安全已经不只是人们传统上所讲的安全，而是成为一种系统化和全局化的观念。和以往的安全体系相比，该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。
　　
　　(二)息安全管理体系(ISMs)
　　信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的分析和认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳，它一般是要求通过确定的过程来建立ISMS框架：确定体系范围，制定信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。整个体系一旦建立起来，组织就必须实施、维护和不断改进ISMS，保持整个体系运作的有效性。
　　
　　(三)ISMS搭建步骤
　　当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议，即遵循PDCA(Plan，Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系，其PDCA过程如下：
　　1)信息安全体系(PLAN)
　　在PLAN阶段通过风险评估来了解安全需求，根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤：
　　A、定义安全方针：信息安全方针是组织的信息安全委员会制定的高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。
　　B、定义1SMS的范围：ISMS的范围是需要重点进行信息安全管理的领域，组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。
　　C、实施风险评估：首先对ISMS范围内的信息资产进行鉴定或估计，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。
　　D、风险管理：根据风险评估与现状调查的结果。确定安全需求，决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。
　　E、选择控制目标和控制措施：根据风险评估和风险管理的结果，选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择，也可以应选择一些其它适宜的控制方式。
　　F、准备适用性申明(SOA)：SOA是适合组织需要的控制目标和控制的评论，记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。
　　2)实施信息安全体系(D01
　　在DO阶段将解决方案付诸实现，实施组织所选择的控制目标与控制措施。
　　3)检查信息安全体系(cHECK)
　　在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查，对存在的问题采取措施，予以改进，以保证控制措施的有效运行。在此过程中，要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有：日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。
　　4)改进信息安全体系(ACT)
　　在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础，寻求改进的机会，采取相应的措施进行调整与改进。
　　
　　三、提高信息安全管理水平
　　
　　各组织根据业务所需选择不同的国际、国内标准搭建信息安全管理体系(ISMS)，无论是基于国际信息安全标准IS027000，还是基于国家标准国家等级保护测评准则的要求，信息安全管理体系(ISMS)的建立并不是一蹴而就的。ISMS只是提供了一些原则性的建议，怎样才能将这类原则性的建议与工作中的实际情况相结合在一起，实施符合自身状况的信息安全管理体系，才是真正具有挑战性的工作。要真正的将信息安全管理体系落到实处，不能仅仅停留在一年一到两次的风险评估、突击性的控制措施实施和一套看似完备的信息安全管理制度，只有需通过不断健全和完善信息安全管理体系，不断提升全体员工信息安全意识。加强安全组织管理建设，培养信息安全人才，才能有效地控制信息系统的风险，减少了潜在的风险隐患、有效地降低信息系统面临的风险。达到保障信息系统的安全运行的目的。从而实现信息安全管理水平的整体提升。

转载注明来源:https://www.xzbu.com/2/view-516532.htm