信息安全管理與管理體系..doc

信息安全管理與管理體系 科飛管理咨詢(xún)有限公司 吳昌倫 王毅剛目前我國(guó)的信息安全管理主要依靠傳統(tǒng)的管理方法和手段來(lái)實(shí)現(xiàn)，傳統(tǒng)的管理模式缺乏現(xiàn)代的系統(tǒng)管理思想，而技術(shù)手段又有其局限性。保護(hù)信息安全，國(guó)際公認(rèn)的、最有效的方式是采用系統(tǒng)的方法（管理技術(shù)）。目前國(guó)際性標(biāo)準(zhǔn)ISO/IEC 17799就是這樣一套系統(tǒng)的信息安全管理方法。本欄目特別邀請(qǐng)出版了信息安全管理概論BS7799理解與實(shí)施、BS7799和ISO/IEC17799信息安全管理體系及其認(rèn)證認(rèn)可相關(guān)知識(shí)問(wèn)答兩書(shū)的科飛管理咨詢(xún)有限公司的顧問(wèn)專(zhuān)家，闡述運(yùn)用相關(guān)國(guó)際標(biāo)準(zhǔn)實(shí)施信息安全管理體系應(yīng)該注意的問(wèn)題。組織的信息資產(chǎn)和其他資產(chǎn)一樣對(duì)組織具有重要作用，組織為了保證這些信息資產(chǎn)的安全，需要付出持續(xù)的努力。在采取行動(dòng)之前，需要首先理解信息安全的目標(biāo)。明確信息安全管理目標(biāo)為了保障組織信息資產(chǎn)的安全，為了更好的理解和便于操作，信息安全管理目標(biāo)通常被分解為保持組織信息資產(chǎn)及其所支持業(yè)務(wù)流程的三個(gè)性質(zhì)：保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。保密性 保障信息只有被授權(quán)使用的人可以訪問(wèn)。完整性 保護(hù)信息及其處理方法的準(zhǔn)確性和完整性?？捎眯?保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。各類(lèi)組織，無(wú)論其規(guī)模和性質(zhì)，其信息安全管理行為的目的都是為了保障組織的信息資產(chǎn)及其所支持業(yè)務(wù)流程的保密性、完整性和可用性。如果把組織的信息安全管理行為作為一個(gè)過(guò)程(一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)，見(jiàn)ISO 9000:2000質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ))來(lái)看待，其輸入應(yīng)該是組織和其他相關(guān)方對(duì)組織信息安全管理的要求和期望，而輸出應(yīng)該是令組織和相關(guān)方滿意的信息安全狀態(tài)（見(jiàn)圖1）。圖1：信息安全管理過(guò)程作用示意圖組織不僅需要達(dá)到滿意的信息安全狀態(tài)，而且要持續(xù)地保持這種狀態(tài)。這要求組織建立保持機(jī)制，保證組織能夠不斷的識(shí)別并適應(yīng)自身情況和環(huán)境的變化。應(yīng)用系統(tǒng)方法解決系統(tǒng)問(wèn)題實(shí)踐證明，信息安全是個(gè)復(fù)雜的系統(tǒng)問(wèn)題，必須以系統(tǒng)的方法來(lái)解決。建立管理體系(建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系，見(jiàn)ISO 9000:2000質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ))是系統(tǒng)解決復(fù)雜問(wèn)題的有效方法。正如同為了保證質(zhì)量管理的有效性、充分性和適宜性，組織需要建立質(zhì)量管理體系(QMS)；為了保證信息安全管理的有效性、充分性和適宜性，組織需要建立信息安全管理體系(ISMS)。從系統(tǒng)管理的觀點(diǎn)來(lái)看, 一個(gè)體系(系統(tǒng))必須具有自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長(zhǎng)的能力和功能才可以保證其持續(xù)有效性。信息安全管理體系通過(guò)不斷地識(shí)別組織和相關(guān)方的信息安全要求，不斷地識(shí)別外界環(huán)境和組織自身的變化，不斷地學(xué)習(xí)采用新的管理理念和技術(shù)手段，不斷地調(diào)整自己的目標(biāo)、方針、程序和過(guò)程等，才可以實(shí)現(xiàn)持續(xù)的安全。下面結(jié)合國(guó)際著名的信息安全管理體系標(biāo)準(zhǔn)BS 7799-2:2002信息安全管理體系規(guī)范討論信息安全管理體系的作用。理解“過(guò)程模型”的作用BS 7799-2:2002標(biāo)準(zhǔn)的總要求是“組織應(yīng)在其整體商業(yè)活動(dòng)和風(fēng)險(xiǎn)范圍內(nèi)，建立、實(shí)施、保持并持續(xù)改進(jìn)一個(gè)文件化的信息安全管理體系”。為了滿足這個(gè)總要求， BS 7799-2:2002采用的過(guò)程模式如圖2所示，也就是將過(guò)程分解為“計(jì)劃-實(shí)施-檢查-措施”四個(gè)階段，通過(guò)四個(gè)階段周而復(fù)始的循環(huán)，使體系得到保持和改進(jìn)。這個(gè)過(guò)程模式不僅可以像圖2那樣用于信息安全管理體系的整體過(guò)程，同樣可以應(yīng)用于體系所涵蓋的任何其他過(guò)程及其子過(guò)程，例如信息安全風(fēng)險(xiǎn)評(píng)估或者商務(wù)持續(xù)性計(jì)劃的安排等過(guò)程。圖2：PDCA過(guò)程模式策劃階段 要保證信息安全管理體系的范圍和環(huán)境得到建立，信息安全風(fēng)險(xiǎn)合理評(píng)估并針對(duì)風(fēng)險(xiǎn)制定了可行、有效的風(fēng)險(xiǎn)處理計(jì)劃。實(shí)施階段 就是執(zhí)行策劃階段的決定和方案，配備相應(yīng)的資源，進(jìn)行必要的培訓(xùn)，保持策劃的信息安全管理文件，在組織內(nèi)形成適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化，獲得所有相關(guān)方的支持。檢查階段 目的是確認(rèn)控制方法按既定的目的行之有效，發(fā)現(xiàn)改進(jìn)的機(jī)會(huì)，認(rèn)識(shí)到糾正措施只是必需的。BS 7799-2:2002附錄B中提供了幾個(gè)檢查的實(shí)例，包括：例行檢查、自查程序、向其他人學(xué)習(xí)、審核和管理評(píng)審等。很多計(jì)算機(jī)系統(tǒng)可以做到自動(dòng)審核，聯(lián)動(dòng)響應(yīng)機(jī)制幾乎可以做到即時(shí)審核、即時(shí)響應(yīng)。當(dāng)然標(biāo)準(zhǔn)還要求組織有其他的響應(yīng)安排，例如響應(yīng)安全失效事件、所保護(hù)信息資產(chǎn)的重要更改、新威脅或薄弱點(diǎn)的出現(xiàn)等。當(dāng)然每年還必須進(jìn)行至少一次的管理 評(píng)審，以確保整個(gè)管理體系達(dá)到既定方針目標(biāo)。措施階段 不僅需要根據(jù)檢查的結(jié)果采取糾正措施，重要的是以長(zhǎng)遠(yuǎn)的眼光觀察和解決問(wèn)題，確保工作不僅致力于目前的問(wèn)題，而且還要預(yù)防或降低類(lèi)似事故再發(fā)生的可能性，這應(yīng)成為持續(xù)改進(jìn)循環(huán)的本質(zhì)部分。BS 7799-2:2002標(biāo)準(zhǔn)還要求組織將體系的更改及時(shí)通知相關(guān)方，如需要還應(yīng)該安排必要的安全培訓(xùn)。策劃和實(shí)施階段一直延伸到第一次管理評(píng)審，可以認(rèn)為是信息安全管理體系持續(xù)改進(jìn)過(guò)程 “啟動(dòng)器”。檢查和措施階段通常是進(jìn)一步補(bǔ)充、改正、改善前面所識(shí)別并實(shí)施的安全方案。通過(guò)這樣一個(gè)閉合的環(huán)，信息安全管理體系得以自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長(zhǎng)，也即BS 7799-2:2002所說(shuō)的保持并持續(xù)改進(jìn)。BS 7799-2:2002其他特征BS 7799-2:2002信息安全管理體系規(guī)范是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)開(kāi)發(fā)的信息安全管理體系標(biāo)準(zhǔn)，其對(duì)于信息安全管理體系的地位與ISO 9001質(zhì)量管理體系要求之于質(zhì)量管理體系類(lèi)似，可以作為審核、認(rèn)證和自我評(píng)價(jià)的依據(jù)。為了響應(yīng)組織應(yīng)該是“良好企業(yè)公民（good corporate citizens）”的呼聲，1999年世界經(jīng)合組織(OECD)發(fā)布經(jīng)合組織企業(yè)治理原則(OECD principles of Corporate Governance)。目前這些原則在全球范圍內(nèi)得到廣泛實(shí)施，這些原則要求組織建立完善的內(nèi)部控制體系。BS 7799-2:2002在前言部分說(shuō)明，信息安全和信息安全管理體系應(yīng)該作為組織內(nèi)部控制體系的一部分，并且BS 7799-2:2002的方法可與這些原則完美結(jié)合。例如英格蘭和威爾士特許會(huì)計(jì)師協(xié)會(huì)針對(duì)經(jīng)合組織企業(yè)治理原則發(fā)布的指南特恩布爾報(bào)告(Turnbull Report，1999)要求組織應(yīng)該進(jìn)行：（a）商業(yè)風(fēng)險(xiǎn)分析（計(jì)劃）；（b）管理響應(yīng)風(fēng)險(xiǎn)的內(nèi)部控制（實(shí)施）；（c）驗(yàn)證有效性的管理評(píng)審（檢查）；（d）必要時(shí)采取措施（措施），這和BS 7799-2:2002的要求基本一致。為了降低管理的整體復(fù)雜程度,便于組織理解和接受,信息安全管理體系的建立和保持，應(yīng)該采用和其他管理體系相同的方法。BS 7799-2:2002提倡采用過(guò)程方法建立、實(shí)施組織的信息安全管理體系，并持續(xù)改進(jìn)其有效性。過(guò)程方法鼓勵(lì)組織重視下列內(nèi)容的重要性： 理解(組織)業(yè)務(wù)信息安全要求，以及為信息安全建立方針和目標(biāo)的需求； 在管理組織整體商業(yè)風(fēng)險(xiǎn)背景下實(shí)施和運(yùn)行控制； 監(jiān)控并評(píng)審信息安全管理體系的業(yè)績(jī)和有效性； 在目標(biāo)測(cè)量的基礎(chǔ)上持續(xù)改進(jìn)。BS 7799-2:2002采用了和ISO 9001、ISO 14001相類(lèi)似的標(biāo)準(zhǔn)結(jié)構(gòu)(其對(duì)照關(guān)系見(jiàn)表1)，為信息安全管理體系和質(zhì)量管理體系、環(huán)境管理體系等的整合運(yùn)行提供了方便的實(shí)現(xiàn)途徑。由此可見(jiàn)，依照BS7799-2:2002建立的信息安全管理體系，在模式和方法上都和其他管理體系兼容，可以很容易和其他管理體系相融合成為統(tǒng)一的內(nèi)部綜合管理體系。BS77992:2002ISO9001:2000ISO14001:199600.10.20.3引言總則過(guò)程方法與其他管理體系相容性00.10.20.4引言總則過(guò)程方法與其他管理體系的相容性引言11.11.2范圍總則應(yīng)用11.11.2范圍總則應(yīng)用1范圍2引用標(biāo)準(zhǔn)2引用標(biāo)準(zhǔn)2引用標(biāo)準(zhǔn)3術(shù)語(yǔ)及定義3術(shù)語(yǔ)及定義3定義44.14.24.34.3.14.3.24.3.34.3.4信息安全管理體系總要求過(guò)程文件要求總則ISMS手冊(cè)文件控制記錄的控制44.10.24.24.2.14.2.24.2.34.2.4質(zhì)量管理體系要求總要求過(guò)程模式文件要求總則質(zhì)量手冊(cè)文件控制記錄的控制44.14.4.44.4.44.4.54.5.3環(huán)境管理體系要求總要求環(huán)境管理體系文件環(huán)境管理體系文件文件控制記錄55.1管理職責(zé)管理承諾55.15.5.3管理職責(zé)管理承諾內(nèi)部溝通4.4.14.24.4.34.4.14.4.14.4.14.4.14.4.2組織結(jié)構(gòu)和職責(zé)環(huán)境方針信息交流組織結(jié)構(gòu)和職責(zé)組織結(jié)構(gòu)和職責(zé)組織結(jié)構(gòu)和職責(zé)組織結(jié)構(gòu)和職責(zé)培訓(xùn)、意識(shí)和能力5.25.2.15.2.2資源管理資源的提供培訓(xùn)、意識(shí)和能力66.16.26.2.16.2.2資源