- UID
- 872339
|
摘 要 信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一,在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实施方法,此外,本文还跟踪研究了信息安全管理体系的最新发展,介绍了信息安全管理体系在架构、内容等方面的重大变化,指出了这种变化对未来实施信息安全管理体系的影响。
1 引言
随着信息技术的发展逐渐涌现众多信息安全问题,例如病毒、漏洞、黑客、安全事件等,这些安全问题不断对信息系统造成影响,进而对组织,甚至国家安全产生影响。如何解决信息安全问题也成为大家关注的焦点,防病毒、防火墙、入侵检测等信息安全产品逐步在各组织得到了部署。众所周知,技术和管理是相辅相成的,信息安全并不仅是技术过程,而是一个综合防范的过程,信息安全管理是综合防范过程中的一个重要部分,在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路。
信息安全管理体系(Information Security Management Systems, 简称ISMS)是管理体系方法在信息安全领域的运用,它可以从组织整体的角度来识别安全风险,通过采取相应的安全控制措施(既包括安全技术措施,也包括安全管理措施),达到综合防范、保障安全的目标。信息安全管理体系的概念已经跳出了传统的“为了安全而安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身是组织整个管理体系的一部分。
2 信息安全管理体系方法及应用
2.1 信息安全管理体系的风险管理思想
风险管理是信息安全管理体系建设中的关键。风险管理包括风险评估和风险处理两个阶段,风险评估是信息安全管理体系建设中提出信息安全要求的关键依据,风险处理是解决信息安全问题,采取控制措施的指导规范。
1)风险管理是信息安全的基础性工作
信息安全中的风险管理是传统风险理论和方法在信息安全领域的运用,是科学分析和理解信息资产在保密性、完整性、可用性等方面所面临风险,并针对重要风险作出接受、减缓、转移和规避等控制方法的过程。
风险评估将导出信息资产的安全保护需求,因此,信息安全建设应以风险评估为起点,以控制安全风险,减少安全事件发生为目标。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全投资、信息安全措施选择、信息安全保障体系建设等方面作出合理决策。持续的风险管理工作将成为检查信息安全工作绩效的有力手段,并为信息化项目的立项、投资、运行产生影响,促进组织信息化的进一步发展。
2)风险评估和处理在信息安全管理体系建设中的重要性
信息安全管理体系的建立需要首选确定信息安全需求,而信息安全风险评估获取信息安全需求的主要手段,因此,信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据。而风险处理的过程则是信息安全管理体系实施与运行阶段的重要内容,残余风险的水平将直接影响体系的运行效果。
因此风险评估和风险处理是信息安全管理体系建设运行过程中最重要的活动之一,风险评估和风险处理所生成的两个文件:风险评估报告和风险处理计划,也是体系运行的重要证据之一。信息安全管理体系运行的效果很大程度上取决于风险管理方法的适宜性和有效性。
2.2 信息安全管理体系的持续改进机制
信息安全管理体系的一个突出特点是持续改进,通过体系的建设,可以有效实现信息安全工作的持续改进,不断提高信息安全的防护水平和能力,应对不断涌现的新的信息安全威胁。
信息安全管理体系的持续改进机制主要体现在下列方面:
(1)过程方法
在管理活动中,过程单元是控制的基本要素,过程方法已成为管理活动的基本方法,研究过程之间的相互联系和作用,有利于对这些过程进行有效的、连续的控制,从而确保整体管理的有效性。过程方法模型如图1所示。
图1 过程方法模型
为使组织有效运作,必须识别和管理众多相互关联的活动,通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成下一个过程的输入。而过程方法则是指组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理。
(2)PDCA循环
PDCA模型又叫戴明环,是管理学中的一个通用模型,如图2所示。
图2 PDCA模型 |
|