摘 要 信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一,在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实施方法,此外,本文还跟踪研究了信息安全管理体系的最新发展,介绍了信息安全管理体系在架构、内容等方面的重大变化,指出了这种变化对未来实施信息安全管理体系的影响。
1 引言
随着信息技术的发展逐渐涌现众多信息安全问题,例如病毒、漏洞、黑客、安全事件等,这些安全问题不断对信息系统造成影响,进而对组织,甚至国家安全产生影响。如何解决信息安全问题也成为大家关注的焦点,防病毒、防火墙、入侵检测等信息安全产品逐步在各组织得到了部署。众所周知,技术和管理是相辅相成的,信息安全并不仅是技术过程,而是一个综合防范的过程,信息安全管理是综合防范过程中的一个重要部分,在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路。
信息安全管理体系(Information Security Management Systems, 简称ISMS)是管理体系方法在信息安全领域的运用,它可以从组织整体的角度来识别安全风险,通过采取相应的安全控制措施(既包括安全技术措施,也包括安全管理措施),达到综合防范、保障安全的目标。信息安全管理体系的概念已经跳出了传统的“为了安全而安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身是组织整个管理体系的一部分。
2 信息安全管理体系方法及应用
2.1 信息安全管理体系的风险管理思想
风险管理是信息安全管理体系建设中的关键。风险管理包括风险评估和风险处理两个阶段,风险评估是信息安全管理体系建设中提出信息安全要求的关键依据,风险处理是解决信息安全问题,采取控制措施的指导规范。
1)风险管理是信息安全的基础性工作
信息安全中的风险管理是传统风险理论和方法在信息安全领域的运用,是科学分析和理解信息资产在保密性、完整性、可用性等方面所面临风险,并针对重要风险作出接受、减缓、转移和规避等控制方法的过程。
风险评估将导出信息资产的安全保护需求,因此,信息安全建设应以风险评估为起点,以控制安全风险,减少安全事件发生为目标。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全投资、信息安全措施选择、信息安全保障体系建设等方面作出合理决策。持续的风险管理工作将成为检查信息安全工作绩效的有力手段,并为信息化项目的立项、投资、运行产生影响,促进组织信息化的进一步发展。
2)风险评估和处理在信息安全管理体系建设中的重要性
信息安全管理体系的建立需要首选确定信息安全需求,而信息安全风险评估获取信息安全需求的主要手段,因此,信息安全风险评估是信息安全管理体系建立的基础,没有风险评估,信息安全管理体系的建立就没有依据。而风险处理的过程则是信息安全管理体系实施与运行阶段的重要内容,残余风险的水平将直接影响体系的运行效果。
因此风险评估和风险处理是信息安全管理体系建设运行过程中最重要的活动之一,风险评估和风险处理所生成的两个文件:风险评估报告和风险处理计划,也是体系运行的重要证据之一。信息安全管理体系运行的效果很大程度上取决于风险管理方法的适宜性和有效性。
2.2 信息安全管理体系的持续改进机制
信息安全管理体系的一个突出特点是持续改进,通过体系的建设,可以有效实现信息安全工作的持续改进,不断提高信息安全的防护水平和能力,应对不断涌现的新的信息安全威胁。
信息安全管理体系的持续改进机制主要体现在下列方面:
(1)过程方法
在管理活动中,过程单元是控制的基本要素,过程方法已成为管理活动的基本方法,研究过程之间的相互联系和作用,有利于对这些过程进行有效的、连续的控制,从而确保整体管理的有效性。过程方法模型如图1所示。
图1 过程方法模型
为使组织有效运作,必须识别和管理众多相互关联的活动,通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成下一个过程的输入。而过程方法则是指组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理。
(2)PDCA循环
PDCA模型又叫戴明环,是管理学中的一个通用模型,如图2所示。
图2 PDCA模型
PDCA模型在实施时,呈现出如下特点:
1)循环进行
2)相互嵌套
3)不断改进
(3)内部审核
信息安全管理体系内部审核的总目标是以规定的时间间隔(一般不超过一年)检查信息安全管理体系的各方面是否按预期功能运行。审核的次数应按计划进行,使得审核工作能均匀地分布在所确定的期间。当信息安全管理体系有重大变化或发生重大不符合项时,要增加审核频次。
(4)管理评审
信息安全管理体系管理评审是管理者按照计划的时间间隔组织实施的信息安全管理体系的评审,其目标是要检查信息安全管理体系是否有效,识别可以改进的地方,并采取措施,以保证信息安全管理体系保持持续的适宜性、充分性和有效性。当确定当前的安全状况是满意时,为了预见未来信息安全管理体系的变化和确保其持续的有效性,注意力应放在变化中的技术与业务要求、新威胁与脆弱性的攻击上。
(5)纠正和预防措施
首先应该认识到纠正与纠正措施的区别:纠正是指为消除已发现的不符合所采取的措施,而纠正措施是指为消除已发现的不符合或其他不期望情况的原因所采取的措施,其目的是消除不符合的原因,防止不符合项的再次发生。采取纠正措施的范围和程度要根据不符合项对组织的综合影响程度而定,包括风险、利益和投入成本等,要评价确保不符合项不再发生的措施需求。
2.3 信息安全管理体系的实施方法
组织需要信息安全,一方面是业务连续性发展的要求,另一方面是适用的法律法规和标准的要求。这些要求是不断发展和变化的,组织必须持续的增强其信息安全能力和改进其信息安全水平以满足不断发展的信息安全要求。
信息安全管理体系方法指导组织分析信息安全要求,识别和规定相关过程,并使其持续受控,以实现组织能接受的信息安全目标。信息安全管理体系提供持续改进的框架,以增强组织信息安全能力,同时向组织的其它利益相关方提供信心和信任。信息安全管理体系的实施方法应重点关注下列三个方面:
1)应用PDCA模型
在信息安全管理体系的建设过程中,应用PDCA模型,可以有效规范各类活动的阶段性,充分体现其持续改进机制,最大程度发挥信息安全管理体系的特点,应用PDCA模型的信息安全管理体系建设过程如图3所示。
图3 应用PDCA模型的信息安全管理体系建设过程
2)实施安全风险评估和处理
安全风险评估和风险处理的实施,对于体系的建设和运行而言异常关键,在体系建设运行过程中,需要完成下列活动:
a) 确定信息安全风险评估方法;
b) 识别信息安全风险;
c) 分析和评价信息安全风险;
d) 识别和评价风险处理的可选措施;
e) 为处理风险选择控制目标和控制措施;
f) 获得管理者对建议的残余风险的批准;
g) 实施风险处置计划以达到已识别的控制目标;
h) 按照计划的时间间隔进行风险评估的评审。信息安全风险管理流程如图4所示。
图4 信息安全管理过程
3)编制安全体系文件
信息安全管理体系是一个文件化的体系,所制定的所有安全策略应形成文件,应将为降低风险所选择的控制措施以及之前已实施的控制措施形成体系文件,建立完善的信息安全管理制度体系,涵盖安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、信息安全业务连续性管理、符合性等方面。
3 信息安全管理体系的最新发展
3.1 背景
目前存在多个管理体系标准,例如ISO 9001、ISO 14000、ISO 22000、ISO/IEC 27001等,其他诸如交通、社会安全、记录管理、事件管理和能源等领域也正在开发管理体系标准。基于如此众多的管理体系标准以及巨大的市场,国际标准化组织的技术委员会(TMB)意识到应找出一种协调不同管理体系实施的方法。TMB的联合技术协调组/管理体系(JTCG/MS)承担该项任务,将为任何一个管理体系开发一个统一架构和部分同一文本。
3.2 信息安全管理体系标准的修订
正在修订中的ISMS的要求标准ISO/IEC27001,将采用ISO/TMB/JTCG MSS的统一结构,将原来的架构做比较大的调整,并采用标准的文本,只是在信息安全方面做相应的扩充。
为适应新的ISO/TMB/JTCG MSS架构,ISO/IEC 27001原有架构和内容将有相应的调整,如图5所示。
图5 ISO/IEC 27001架构调整图
信息安全管理体系的这种变化,从管理体系层面来看,有利于与其他管理体系的兼容实施,并保障不同管理体系之间的协调一致。但就信息安全管理体系本身而言,其原有的标准架构直接规范了体系的建设流程,按PDCA四个阶段明确了各流程的活动,比较有利于体系建设方应用该标准。而新架构划分了更多的环节与控制,这种架构将影响到原有用户对体系的认识,从逻辑性和条理性方面,都将需要一定时间的学习,因此会一定程度上增大体系建设的难度。
3.3 信息安全控制域的变化
新版本的ISO/IEC 27001不仅从架构上做了调整,从内容,尤其是信息安全控制方面,也做了相应调整。
原有标准将信息安全控制域划分为11个方面:安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、信息安全业务连续性管理、符合性。新标准将增加供应商关系管理、网络应用服务管理两个方面,控制域中的控制类也做了相应调整,例如将原来信息安全组织域中的对外部各方的管理,调整到新的供应商关系管理中。
体系在这方面的变化,也将影响到原有体系建设用户,从整个文件体系的框架设计,到具体安全策略,可能都需要做相应的调整。
4 结束语
只要存在信息化应用,就会有信息安全问题。随着组织信息化水平的不断提高,其对信息化的依赖性也越来越强,因此信息安全也就成为组织信息化工作中非常重要的一环。信息安全管理体系作为实现组织信息安全的一种优秀方法,已经得到了业界的认可。
本文从信息安全管理体系的特点出发,基于风险管理和持续改进的思想,从实践出发,提出了行之有效的实施方法,此外,本文还跟踪研究了信息安全管理体系的最新发展,介绍了信息安全管理体系在架构、内容等方面的重大变化,指出了这种变化对未来实施信息安全管理体系的影响。
