信息安全管理与管理体系-科飞咨询

信息安全管理与管理体系科飞管理咨询有限公司吴昌伦王毅刚目前我国的信息安全管理主要依靠传统的管理方法和手段来实现，传统的管理模式缺乏现代的系统管理思想，而技术手段又有其局限性保护信息安全，国际公认的、最有效的方式是采用系统的方法（管理+技术）目前国际性标准ISO/IEC17799就是这样一套系统的信息安全管理方法本栏目特别邀请出版了《信息安全管理概论一BS7799理解与实施》、（BS7799和ISO/IEC17799信息安全管理体系及其认证认可相关知识问答》两书的科飞管理咨询有限公司的顾问专家，阐述运用相关国际标准实施信息安全管理体系应该注意的问题组织的信息资产和其他资产一样对组织具有重要作用，组织为了保证这些信息资产的安全，需要付出持续的努力在采取行动之前，需要首先理解信息安全的目标明确信息安全管理目标为了保障组织信息资产的安全，为了更好的理解和便于操作，信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三个性质保密性（Confidentiality）.完整性（Integrity）和可用性（Availability）o保密性保障信息只有被授权使用的人可以访问完整性保护信息及其处理方法的准确性和完整性可用性保障授权使用人在需要时可以获取信息和使用相关的资产各类组织，无论其规模和性质，其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性如果把组织的信息安全管理行为作为一个过程（一组将输入转化为输出的相互关联或相互作用的活动,见ISO9000:2000《质量管理体系一基础和术语》）来看待，其输入应该是组织和其他相关方对组织信息安全管理的要求和期望，而输出应该是令组织和相关方满意的信息安全状态（见图1）图1:信息安全管理过程作用示意图组织不仅需要达到满意的信息安全状态，而且要持续地保持这种状态这要求组织建立保持机制，保证组织能够不断的识别并适应自身情况和环境的变化应用系统方法解决系统问题实践证明，信息安全是个复杂的系统问题，必须以系统的方法来解决建立管理体系建立方针和目标并实现这些目标的体系，见ISO9000:2000《质量管理体系一基础和术语》是系统解决复杂问题的有效方法正如同为了保证质量管理的有效性、充分性和适宜性，组织需要建立质量管理体系QMS；为了保证信息安全管理的有效性、充分性和适宜性，组织需要建立信息安全管理体系ISMS从系统管理的观点来看，一个体系系统必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性信息安全管理体系通过不断地识别组织和相关方的信息安全要求，不断地识别外界环境和组织自身的变化，不断地学习采用新的管理理念和技术手段，不断地调整自己的目标、方针、程序和过程等，才可以实现持续的安全下面结合国际著名的信息安全管理体系标准BS7799-2:2002《信息安全管理体系规范》讨论信息安全管理体系的作用理解“过程模型”的作用BS7799-2:2002标准的总要求是“组织应在其整体商业活动和风险范围内，建立、实施、保持并持续改进一个文件化的信息安全管理体系”为了满足这个总要求，BS7799-2:2002采用的过程模式如图2所示,也就是将过程分解为“计划-实施-检查-措施”四个阶段，通过四个阶段周而复始的循环，使体系得到保持和改进这个过程模式不仅可以像图2那样用于信息安全管理体系的整体过程，同样可以应用于体系所涵盖的任何其他过程及其子过程，例如信息安全风险评估或者商务持续性计划的安排等过程图2:PDCA过程模式策划阶段要保证信息安全管理体系的范围和环境得到建立，信息安全风险合理评估并针对风险制定了可行、有效的风险处理计划实施阶段就是执行策划阶段的决定和方案，配备相应的资源，进行必要的培训，保持策划的信息安全管理文件，在组织内形成适当的风险和安全文化，获得所有相关方的支持检查阶段目的是确认控制方法按既定的目的行之有效，发现改进的机会，认识到纠正措施只是必需的BS7799-2:2002附录B中提供了几个检查的实例，包括例行检查、自查程序、向其他人学习、审核和管理评审等很多计算机系统可以做到自动审核，联动响应机制儿乎可以做到即时审核、即时响应当然标准还要求组织有其他的响应安排，例如响应安全失效事件、所保护信息资产的重要更改、新威胁或薄弱点的出现等当然每年还必须进行至少一次的管理评审，以确保整个管理体系达到既定方针目标措施阶段不仅需要根据检查的结果采取纠正措施，重要的是以长远的眼光观察和解决问题，确保工作不仅致力于目前的问题，而且还要预防或降低类似事故再发生的可能性，这应成为持续改进循环的本质部分BS7799-2:2002标准还要求组织将体系的更改及时通知相关方，如需要还应该安排必要的安全培训策划和实施阶段一直延伸到第一次管理评审，可以认为是信息安全管理体系持续改进过程“启动器”检查和措施阶段通常是进一步补充、改正、改善前面所识别并实施的安全方案通过这样一个闭合的环，信息安全管理体系得以自组织、自学习、自适应、自修复、自生长，也即BS779922002所说的保持并持续改进BS7799-2:2002其他特征BS7799-2:2002《信息安全管理体系规范》是由英国标准协会开发的信息安全管理体系标准，其对于信息安全管理体系的地位与ISO9001《质量管理体系一一要求》之于质量管理体系类似，可以作为审核、认证和自我评价的依据为了响应组织应该是“良好企业公民good corporatecitizens”的呼声，1999年世界经合组织OECD发布《经合组织企业治理原则OECD principlesof CorporateGovernanceK目前这些原则在全球范围内得到广泛实施，这些原则要求组织建立完善的内部控制体系BS

7799.2:2002在前言部分说明，信息安全和信息安全管理体系应该作为组织内部控制体系的一部分,并且BS7799-2:2002的方法可与这些原则完美结合例如英格兰和威尔士特许会计师协会针对《经合组织企业治理原则》发布的指南《特恩布尔报告》Turnbull Import,1999要求组织应该进行a商业风险分析计划；b管理响应风险的内部控制实施；c验证有效性的管理评审检查；d必要时采取措施措施,这和BS7799-2:2002的耍求基本一致为了降低管理的整体复杂程度，便于组织理解和接受,信息安全管理体系的建立和保持，应该采用和其他管理体系相同的方法BS7799-2:2002提倡采用过程方法建立、实施组织的信息安全管理体系，并持续改进其有效性过程方法鼓励组织重视下列内容的重要性♦理解组织业务信息安全要求，以及为信息安全建立方针和目标的需求；♦在管理组织整体商业风险背景下实施和运行控制；♦监控并评审信息安全管理体系的业绩和有效性；♦在目标测量的基础上持续改进BS7799-2:2002采用了和ISO

9001.ISO14001相类似的标准结构其对照关系见表1,为信息安全管理体系和质量管理体系、环境管理体系等的整合运行提供了方便的实现途径由此可见，依照BS7799-2:2002建立的信息安全管理体系，在模式和方法上都和其他管理体系兼容，可以很容易和其他管理体系相融合成为统一的内部综合管理体系BS77992:20021809001:200018014001:19960引言0引言—引言总则总则

0.

10.

10.2过程方法

0.2过程方法与其他管理体系相容性与其他管理体系的相容性

0.

30.41范围1范围1范围

1.1总则

1.1总则——

1.2应用

1.2应用——引用标准引用标准引用标准222术语及定义术语及定义定义3334信息安全管理体系4质量管理体系要求4环境管理体系要求

4.1总要求

4.1总要求

4.1总要求

4.2过程

0.2过程模式——

4.3文件要求

4.2文件要求——总则总则环境管理体系文件ISMS手册质量手册环境管理体系文件文件控制文件控制文件控制记录的控制记录的控制记录5管理职责5管理职责组织结构和职责

5.1管理承诺

5.1管理承诺

4.2环境方针内部沟通信息交流

5.2资源管理6资源管理组织结构和职责资源的提供资源提供组织结构和职责

6.

16.2人力资源组织结构和职责总则组织结构和职责培训、意识和能力能力、意识和培训信息培训、意识和能力6ISMS评审

5.6管理评审

4.6管理评审7改进

8.5改进——

7.1持续改进持续改进

4.2环境方针

7.2纠正措施纠正措施不符合项、纠正和预防措施预防措施预防措施不符合项、纠正和预防措施

7.3表、与的对应关系1:IS09001:2000ISO14001:1996BS7799-2:2002。