信息安全管理体系及其构架

establishing methods approaches.
〔Key words〕 information security risk evaluation ; information security management system
■
〔中图分类号〕G250 〔文献标识码〕A 〔文章编号〕1008 - 0821 (2004) 04 - 0204 - 02
组织在进行信息资产风险评估时 , 必须将直接后果和 潜在后果一并考虑 。对 ISMS 范围内的信息资产进行鉴定和 估价 , 然后对信息资产面对的各种威胁和脆弱性进行评估 , 同时对已存在的或规划的安全管制措施进行鉴定 。
风险评估主要依赖于商业信息和系统的性质 、使用信 息的商业目的 、所采用的系统环境等等 。 21114 信息安全风险管理
现代情报
2004 年 4 月 April12004
第4期 No. 4
信息安全管理体系及其构架
张心明 (安徽财贸学院 , 蚌埠 233061)
〔摘 要〕 比较详细地介绍信息安全管理体系的内容和构建信息安全管理的方法和途径 。
〔关键词〕 信息安全风险评估 ; 信息安全管理体系 〔Abstract〕 The article depicts in detail about the content of the information security management system and its
信息安全政策是组织信息安全的最高方针 , 必须形成
重高达 70 %以上 , 这正应了人们常说的 “三分技术 , 七分 书面文件 , 广泛散发到组织内所有员工手中 , 并要对所有
管理”的箴言 。因此 , 解决网络与信息安全问题 , 不仅应 相关员工进行信息安全政策的培训 , 对信息安全负有特殊
从技术方面着手 , 更应加强网络住处的管理工作 。
建议 , 如何将这些原则性的建议与各个组织单位自身的实
际情况相结合 , 构架起符合组织自身状况的 ISMS , 才是真
正具有挑战性的工作 。在构架安全的信息系统时 , 应牢记
如下的指导思想 : “信息安全技术 、信息安全产品是信息安
全管理的基础 , 信息安全管理是信息安全的关键 , 人员管
理是信息安全管理的核心 , 信息安全政策是进行信息安全
成的 , 25 %由 火 灾 、水 灾 等 自 然 灾 害 引 起 , 技 术 错 误 占 简单明了 , 通俗易懂并直指主题 , 避免将组织内所在层面
10 % , 组织内部人员作案占 10 % , 仅有 3 %左右是由外部 的安全方针全部揉在一个政策中 , 使人不知所云 。
不法人员的攻击造成 。简单归类 , 属于管理方面的原因比
2004 年 4 月 April12004
第4期 No. 4
现代情报
价将会太昂贵 , 并可能使日常操作受到过分的限制 ; 但如 果定得太低 , 则可能对一些风险的管制力度不够 。另一方 面 , 可能会使与信息安全管理有关的调整比较困难 , 因为 , 在信息安全管理系统被更新 、调整时 , 可能很难去评估原 先的管制措施是否仍然满足现行的安全需求 。
方法三 : 基本风险评估和详细风险评估相结合 。首先 利用基本风险评估方法鉴别出在信息安全管理系统范围内 存在的潜在高风险或者对组织商业动作至关重要的资产 。 其次 , 将信息安全管理系统范围内的资产分为两类 , 一类 是需要特殊对待的 , 另一类是一般对待的 。对特殊对待的 信息资产使用详细风险评估方法 , 对一般对待的信息资产 使用基本风险评估方法 。两种方法的结合可将组织的费用 和资源用于最有益的方面 。但也存在着一些缺点 , 如果在 对高风险的信息系统的鉴别有误时 , 将会导致不精确的结 果 , 从而将会对组织的某些重要信息资产的保护失去效果 。
素 , 网络系统本身存在的安全脆弱性 ; 二是管理因素 , 组 不同的信息安全政策 ; 同样 , 如果组织是一个集团公司 ,
织内部没有建立相应的信息安全管理制度 。据有关部门统 则需要制订一个信息安全政策丛书 , 分别适用于不同的子
计 , 在所有的计算机安全事件中 , 约有 52 %是人为因素造 公司或各分支机构 。但是 , 无论如何 , 信息安全政策应该
信息安全适用性申明纪录了组织内相关的风险管制目 标和针对每种风险所采用的各种控制措施 。信息安全适用 性申明的准备 , 一方面是为了向组织内的员工申明对信息
安全面对的风险的态度 , 在更大程度上则是为了向外界表
明组织的态度和作为 , 以表明组织已经全面 、系统地审视
了组织的信息安全系统 , 并将所有有必要管制的风险控制
管制目标的确定和管制措施的选择原则是费用不超过 风险所造成的损失 。但应注意有些风险的后果并不能用金 钱衡量 (如商誉的损失等) 。由于信息安全是一个动态的系 统工程 , 组织应时时对选择的管理目标和管制措施加以校 验和调整 , 以适应变化了的情况 , 使组织的信息资产得到 有效 、经济 、合理的保护 。 21116 准备信息安全适用性申明
方法二 : 详细风险评估 。即先对组织的信息资产进行 详细划分并赋值 , 再具体针对不同的信息资产所面对的不 同的风险 , 详细划分对这些资产造成的威胁的等级和相关 的脆弱性等级 , 并利用这些信息评估系统存在的风险的大 小来指导下一步管制措施的选择 。一个组织对安全风险研 究得越精确 , 安全需求也就越明确 。与基本风险评估相比 , 详细风险评估将花费更多的时间和精力 , 有时会需要专业 技术知识和外部组织的协助才能获得评估结果 。
息安全政策定义 、安全管理措施的选择等的修正提供了现 报
实的依据 。安全事件记录必须清晰 , 明确记录每个相关人
纵 横
员当时的活动 。安全事件记录必须适当保存 (可以以书面
或电子的形式保存) 并进行维护 , 使得当记录被破坏 、损
坏或丢失时容易挽救 。
《信息安全管理体系标准》毕竟仅仅提供一些原则性的
横 包括中国在内的国际标准组织成员国投票表决 , 目前该标
21112 定义 ISMS 的范围 即在组织内选定在大范围内构架 ISMS。一个单位现有
的组织结构是定义 ISMS 范围需要考虑的最重要的方面 , 组 织可能会根据自己的实际情况 。只有在相关的部门或领域
准的第一部分已正式转化成为国际标准 。具体说来 , 该标 构架 ISMS , 所以 , 在信息安全范围定义阶段 , 应将组织划
织应根据自身的状况搭建适合自身业务发展和信息安全需
方法一 : 基本风险评估 。是参照标准所列举的风险对
求的信息安全管理框架 , 并在正常的业务开展过程中具体 组织资产进行风险评估的方法 。标准罗列了一些常见信息
实施构架的 ISMS , 同时建立各种与信息安全管理框架一致 资产所面对风险及其管制要点 , 这些要点对一些中小企业
在考虑转嫁风险前 , 应首先考虑采取措施降低风险 ; 有些风险很容易避免 , 例如通过采用不同的技术 、更改操 作流程 、采用简单的技术措施等 ; 通常只有当风险不能被 降低或避免 、且被第三方 (被转嫁方) 接受时才被采用 。 一般用于那些低概率 、但一旦风险发生会对组织产生重大 影响的风险 。用于寻找在采取了降低风险和避免风险措施 后 , 出于实际和经济方面的原因 , 只要组织进行运营 , 就 必须存在并必须接受的风险 。 21115 确定管理目标和选择管制措施
在 ISMS 建设 、实施的过程中 ,必须建立起各种相关的文
档 、文件 。例如 , ISMS 管理范围中所规定的文档内容 、对管
理框架的总结 (包括信息安全政策 、管理目标和在适用性申
明是所提出的控制措施) 、在 ISMS 管理范围中规定的管制采 ■
取过程 、ISMS 管理和具体操作的过程 (包括 IT 服务部门 、系
据美国 FBI 统计 , 美国每年因网络安全问题所造成的
对于一个规模小的组织单位 , 可能只有一个信息安全
经济损失高达 100 多亿美元 , 而且还有日益增加的趋势 。 政策 , 并适用于组织内部所有部门和员工 ; 在大型的组织
信息安全问题主要是由两方面的原因引起的 。一是技术因 中 , 有时需要根据组织内各个部门的实际情况 , 分别制订
责任的人员要进行特殊的培训 , 以使信息安全方针真正植
1 何谓信息安全管理体系
根于组织内所有员工的脑海并落实到实际工作中 。
为了系统 、全面 、高效地解决网络与信息安全问题 ,
情 英国标准协会 (BSI) 于 1995 年制订了 《信息安全管理体
报 纵
系标准》, 并于 1999 年进行了修订改版 , 2000 年 12 月 , 经
— 205 —
© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
统管理员 、网络管理员 、现场管理员 、IT 用户以及其他人员
的职责描述和相关的活动事项) 等等 。文档可以以各种形式
保存 ,但是必须划分不同的等级或类型 。同时 ,为了今后的
信息安全认证工作的顺利进行 ,文档必须能很容易地被指定
的第三方 (例如认证审核员) 访问和理解 。
214 文档的严格管理
组织必须对各种文档进行严格的管理 , 结合业务和规
信息安全风险评估的复杂程度将取决于风险的复杂程
2 如何构架信息安全管理体系( ISMS)
度和受保护资产的敏感程度 , 所采用的评估措施应该与组
211 建立信息安全管理框架
Hale Waihona Puke Baidu
织对信息资产风险的保护需求相一致 。具体有三种风险评
信息安全管理框架的搭建需按适当的程序进行 : 各组 估方法可供选择 。
模的变化 , 对文档进行有规律 、周期性的回顾和修正 。当
某些文档不再适合组织的信息安全政策需要时 , 就必须将
其废弃 。但由于法律或知识产权方面的原因 , 组织可以将
相应文档确认后保留 。
215 安全事件记录 、回馈
必须对在实施 ISMS 的过程中发生的各种与信息安全有
关的事件进行全面的记录 。安全事件的记录为组织进行信 情
管理的指导原则 , 信息安全管理体系是实现信息安全管理
最为有效的手段 。”
参考文献
[1 ] 李湘江. 网络安全技术管理 [J ] . 现代图书情报技术 , 2002 , (2) . [2 ] 唐晓东 , 齐治昌. 建立 INTERNET 上的安全环境 [J ] . 计算机科学 , 1998 , (1) .
准内容包括 : 信息安全政策 、信息安全组织 、信息资产分 分成不同的信息安全控制领域 , 以易于组织对有不同需求
类与管理 、个人信息安全 、物理和环境安全 、通信和操作 的领域进行适当的信息安全管理 。
安全管理 、存取控制 、信息系统的开发和维护 、持续运营 21113 进行信息安全风险评估
管理等 。
21111 定义信息安全政策
如果组织安全等级设置太高 , 对一些风险的管制措施的造
收稿日期 : 2003 —10 —27 作者简介 : 张心明 (1966 —) , 女 , 现任安徽财贸学院图书馆部主任 , 馆员 。
— 204 —
© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
在能够被接受的范围内 。
212 具体实施构架的 ISMS
ISMS 管理框架的建设只是第一步 。在具体实施 ISMS
的过程中 , 必须充分考虑各种因素 。例如 , 实施的各项费
用 (例如培训费 、报告费) , 与组织员工原有工作习惯的冲
突 , 不同部门 、机构之间的实施过程中的相互协作问题等 。
213 建立相关文档
的相关文档 、文件 , 并进行严格管理 , 对在具体实施 ISMS (如业务性质较简单 、对信息处理和计算机网络依赖不强或
的过程中出现的各种信息安全事件和安全状况进行严格的 者并不从事外向型经营的企业) 来说已经足够 , 但对于不
记录 , 并建立严格的回馈流程和制度 。
同的组织 , 基本风险评估可能会存在一些问题 。一方面 ,