信息安全管理體系建設(shè)研究
20世紀(jì)90年代以來(lái),科學(xué)技術(shù)的高度發(fā)展已經(jīng)毋庸置疑地把我們帶進(jìn)了信息時(shí)代,隨著信息以爆炸式的速度不斷在我們生活中的每一個(gè)角落中涌現(xiàn),如何管理信息,確保信息的安全為世人矚目,信息安全管理則成為了當(dāng)前全球的熱門(mén)話題。傳統(tǒng)的信息安全著眼于常規(guī)的信息系統(tǒng)安全設(shè)備,諸如防火墻、VPN、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、認(rèn)證系統(tǒng)等,構(gòu)成了信息安全的防護(hù)屏障。事實(shí)上,要保證信息安全需要有三個(gè)方面的工作要做,這就是需要技術(shù)、管理與法制。所以僅僅依靠技術(shù)保障信息安全的做法是不會(huì)達(dá)到應(yīng)有效果的,“三分技術(shù),七分管理”這個(gè)在其他領(lǐng)域總結(jié)出來(lái)的實(shí)踐經(jīng)驗(yàn)和原則,在信息領(lǐng)域也同樣適用。因此,在信息安全的重要性日益突出、信息安全手段日新月異的今天,加強(qiáng)信息安全管理工作就顯得尤為重要。
一、建立信息安全管理體系的作用與意義
信息安全管理體系ISMS(Information Securitry Management Systems)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全系統(tǒng),其目的是保障組織的信息安全。它是直接管理活動(dòng)的結(jié)果,表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表(Checklists)等要素的集合,是涉及到人、程序和信息技術(shù)(Information Technology)系統(tǒng)。
建立健全信息安全管理體系對(duì)企業(yè)的安全管理工作和企業(yè)的發(fā)展意義重大。首先,此體系的建立將提高員工信息安全意識(shí),提升企業(yè)信息安全管理的水平,增強(qiáng)組織抵御災(zāi)難性事件的能力,是企業(yè)信息化建設(shè)中的重要環(huán)節(jié),必將大大提高信息管理工作的安全性和可靠性,使其更好地服務(wù)于企業(yè)的業(yè)務(wù)發(fā)展。其次,通過(guò)信息安全管理體系的建設(shè),可有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力,通過(guò)與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作接續(xù)起來(lái),使得信息安全管理更加科學(xué)有效。最后,信息安全管理體系的建立將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌,從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。
參照信息安全管理模型,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)建立的全面規(guī)劃、明確目的、正確部署的、組織完整的信息安全管理體系,達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式,實(shí)現(xiàn)用最低的成本,保障信息安全合理水平,從而保證業(yè)務(wù)的有效性與連續(xù)性。組織建立、實(shí)施與保持信息安全管理體系產(chǎn)生的作用主要有下幾點(diǎn):
- 強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;
- 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),維持競(jìng)爭(zhēng)優(yōu)勢(shì);
- 在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度;
- 使組織的生意伙伴和客戶對(duì)組織充滿信心;
- 如果通過(guò)體系認(rèn)證,表明體系符合標(biāo)準(zhǔn),證明組織有能力保障重要信息,提高組織的知名度與信任度;
- 促使管理層堅(jiān)持貫徹信息安全保障體系。
二、我國(guó)信息安全管理現(xiàn)狀
我國(guó)歷來(lái)非常重視信息安全保密工作,并且從敏感性,特殊性和戰(zhàn)略性的高度把信息安全保密工作自始至終置于黨和國(guó)家的絕對(duì)領(lǐng)導(dǎo)之下。中央機(jī)要管理部門(mén),國(guó)家安全機(jī)關(guān),公安機(jī)關(guān)和國(guó)家保密主管部門(mén)分工協(xié)作,各司其職,形成了維護(hù)國(guó)家信息安全的管理體系。
為加強(qiáng)信息安全管理工作,中央批準(zhǔn)成立了兩個(gè)非常重要的機(jī)構(gòu),一個(gè)是國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心,負(fù)責(zé)管理和運(yùn)行國(guó)家信息安全的測(cè)評(píng)認(rèn)證體系,對(duì)信息安全產(chǎn)品,信息系統(tǒng),對(duì)提供信息安全服務(wù)的單位以及提供信息安全服務(wù)的人員進(jìn)行測(cè)試,考試和認(rèn)證。第二個(gè)重要機(jī)構(gòu)是國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心,負(fù)責(zé)管理和運(yùn)行國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)容監(jiān)控和應(yīng)急協(xié)調(diào)工作。這兩個(gè)機(jī)構(gòu)目前都在國(guó)家信息安全管理中發(fā)揮著技術(shù)支撐的作用。
為了更好地推進(jìn)我國(guó)信息安全管理工作,國(guó)家相關(guān)部門(mén)引進(jìn)了國(guó)際上著名的ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》、ISO/IEC 15408:1999《IT安全評(píng)估準(zhǔn)則》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn),并制定了中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 18336:2001-信息技術(shù)安全性評(píng)估準(zhǔn)則和GB/T 20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標(biāo)準(zhǔn)。為配合信息安全管理的需要,國(guó)家、相關(guān)部門(mén)、行業(yè)和地方政府相繼制定了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《軟件產(chǎn)品管理辦法》、《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》、《電子簽名法》等有關(guān)信息安全管理的法律法規(guī)文件。
我國(guó)國(guó)務(wù)院信息化工作辦公室(國(guó)信辦)還在于2006年3月啟動(dòng)了“信息安全管理標(biāo)準(zhǔn)應(yīng)用(ISMS)試點(diǎn)工作,驗(yàn)證國(guó)際上通用的信息安全管理標(biāo)準(zhǔn)(ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》)在我國(guó)的適用性和合理性,相信這項(xiàng)工作將為國(guó)家信息安全主管部門(mén)制定相關(guān)管理政策提供很重要的客觀依據(jù),將會(huì)為政府機(jī)關(guān)、稅務(wù)系統(tǒng)、大型制造企業(yè)、證券交易系統(tǒng)、醫(yī)療保險(xiǎn)系統(tǒng)、住房公積金管理等行業(yè)和系統(tǒng)建立實(shí)施ISMS提供寶貴的經(jīng)驗(yàn)和借鑒,將會(huì)為推動(dòng)我國(guó)信息安全管理工作的順利進(jìn)行起到積極的作用。
雖然信息安全管理工作正在積極的推動(dòng)與建設(shè),但是在信息安全管理工作中目前存在的不少的問(wèn)題,信息安全管理現(xiàn)狀仍還比較混亂,主要表現(xiàn)為:
- 缺乏權(quán)威、統(tǒng)一、專(zhuān)門(mén)的組織、規(guī)劃、管理和實(shí)施協(xié)調(diào)的立法管理機(jī)構(gòu),致使我國(guó)現(xiàn)有的一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。
- 信息安全管理并沒(méi)有在IT系統(tǒng)建設(shè)過(guò)程中充分考慮,導(dǎo)致后期安全建設(shè)和管理工作比較被動(dòng),同時(shí)業(yè)務(wù)的發(fā)展及IT的建設(shè)與信息安全管理建設(shè)不對(duì)稱;
- 目前大部分的安全建設(shè)多局限于局部性地使用安全產(chǎn)品,或使用有洞補(bǔ)洞的方式被動(dòng)地解決問(wèn)題,缺乏科學(xué)的、全面的安全管理規(guī)劃;
- 目前的技術(shù)人員多偏重于網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開(kāi)發(fā),安全管理的力量薄弱;
- 信息安全管理的一個(gè)重要方面是運(yùn)用法律法規(guī)的約定方法去進(jìn)行管理,但是多數(shù)企業(yè)沒(méi)有切實(shí)可行的管理辦法。
- 信息安全管理不僅僅是CIO或CFO的事情,這項(xiàng)工作更應(yīng)該引入企業(yè)高層領(lǐng)導(dǎo)的重視與參與,但是多數(shù)企業(yè)的領(lǐng)導(dǎo)還是沒(méi)有時(shí)間和精力顧及這方面的工作。
三、信息安全管理標(biāo)準(zhǔn)
1、國(guó)際信息安全管理標(biāo)準(zhǔn)
ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織,各國(guó)的相關(guān)標(biāo)準(zhǔn)化組織都是其成員,他們通過(guò)各技術(shù)委員會(huì),參與相關(guān)標(biāo)準(zhǔn)的制定。近年來(lái),國(guó)際ISO/IEC和西方一些國(guó)家開(kāi)始發(fā)布和改版一系列信息安全管理標(biāo)準(zhǔn),使安全管理標(biāo)準(zhǔn)進(jìn)入了一個(gè)繁忙的改版期。這表明,信息安全管理標(biāo)準(zhǔn)已經(jīng)從零星的、隨意的、指南性標(biāo)準(zhǔn),逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。
ISO/IEC聯(lián)合技術(shù)委員會(huì)子委員會(huì)27(ISO/IEC JTC1 SC27)是信息安全領(lǐng)域最權(quán)威和國(guó)際認(rèn)可的標(biāo)準(zhǔn)化組織,它已經(jīng)為信息安全保障領(lǐng)域發(fā)布了一系列的國(guó)際標(biāo)準(zhǔn)和技術(shù)報(bào)告,目前最主要的標(biāo)準(zhǔn)是ISO/IEC 13335、ISO/IEC 27000系列等。
ISO/IEC JTC1 SC27的信息安全管理標(biāo)準(zhǔn)(ISO 13335)《IT安全管理方針》系列(第一至第五部分),已經(jīng)在國(guó)際社會(huì)中開(kāi)發(fā)了很多年。5個(gè)部分組成分別如下:ISO/IEC13335-1:1996《IT安全的概念與模型》;ISO/IEC13335-2:1997《IT安全管理和計(jì)劃制定》;ISO/IEC13335-3:1998《IT安全管理技術(shù)》;ISO/IEC13335-4:2000《安全措施的選擇》;ISO/IEC13335-5《網(wǎng)絡(luò)安全管理方針》。27000系列綜合信息安全管理系統(tǒng)要求、風(fēng)險(xiǎn)管理、度量和測(cè)量以及實(shí)施指南等一系列國(guó)際標(biāo)準(zhǔn),是目前國(guó)際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn)。27000 系列當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè),分別為:1、ISO/IEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》;2、ISO/IEC 27001:2005《信息安全管理體系要求》;3、ISO/IEC 27002(17799:2005)《信息安全管理實(shí)用規(guī)則》; 4、ISO/IEC 27003《信息安全管理體系實(shí)施指南》;5、ISO/IEC 27004《信息安全管理測(cè)量》;6、ISO/IEC 27005《信息安全風(fēng)險(xiǎn)管理》。隨著ISO/IEC 27000系列標(biāo)準(zhǔn)的規(guī)劃和發(fā)布,ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。
2、我國(guó)信息安全管理相關(guān)標(biāo)準(zhǔn)
與國(guó)外相比,我國(guó)的信息安全領(lǐng)域的標(biāo)準(zhǔn)制定工作起步較晚,但隨著2002年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的成立,信息安全相關(guān)標(biāo)準(zhǔn)的建設(shè)工作開(kāi)始走向了規(guī)范化管理和發(fā)展的快車(chē)道。在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)中,成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、鑒別與授權(quán)工作組(WG4)、信息安全評(píng)估工作組(WG5)和信息安全管理工作組(WG7)四個(gè)工作組,它們?cè)趯?duì)我國(guó)信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展方面,起到了積極作用。在我國(guó),另一個(gè)與信息安全標(biāo)準(zhǔn)有關(guān)的組織就是中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)下設(shè)的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì),下設(shè)四個(gè)工作組,即有線網(wǎng)絡(luò)安全工作組(WG1)、無(wú)線網(wǎng)絡(luò)安全工作組(WG2)、安全管理工作組(WG3)、安全基礎(chǔ)設(shè)施工作組(WG4)。
近年來(lái),我國(guó)對(duì)信息安全標(biāo)準(zhǔn)的制定與實(shí)施工作非常重視,不僅引進(jìn)了國(guó)際上著名的ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》、ISO/IEC 15408:1999《IT安全評(píng)估準(zhǔn)則》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標(biāo)準(zhǔn)。而且,為了更好地推進(jìn)我國(guó)信息安全管理工作,相關(guān)部門(mén)還制定了中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T 18336:2001-信息技術(shù)安全性評(píng)估準(zhǔn)則和GB/T 20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標(biāo)準(zhǔn)。
近年來(lái)(特別是2005年),信息安全管理標(biāo)準(zhǔn)化工作中主要的研究熱點(diǎn)包括:信息安全國(guó)際標(biāo)準(zhǔn)的轉(zhuǎn)化(主要是國(guó)際ISO/IEC 17799和ISO/IEC 13335的采標(biāo)工作),風(fēng)險(xiǎn)管理指南的標(biāo)準(zhǔn)化工作(主要是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理指南的標(biāo)準(zhǔn)化工作),以及信息系統(tǒng)評(píng)估的標(biāo)準(zhǔn)制定工作(主要是信息系統(tǒng)安全保障評(píng)估框架標(biāo)準(zhǔn)的編制工作等),對(duì)促進(jìn)信息安全管理工作起到了良好的推進(jìn)作用。
四、信息安全管理體系模型
信息安全管理體系模型一般被認(rèn)為是安全策略的正式陳述(formal presentation),并由系統(tǒng)組織強(qiáng)制實(shí)施,用以檢驗(yàn)安全策略的完整性和一致性,它描述的是組織為貫徹實(shí)施安全策略而必須采取的所有安全機(jī)制的組合。信息安全管理是一個(gè)持續(xù)發(fā)展的過(guò)程,像其他管理過(guò)程那樣,它也遵循著一般性的循環(huán)模式,信息安全管理體系模型就是我們常說(shuō)的PDCA模型,見(jiàn)圖5.1。
5.1 PDCA模型
計(jì)劃(Plan)—— 這是信息安全管理周期的起點(diǎn),作為安全管理的準(zhǔn)備階段,為后續(xù)活動(dòng)提供基礎(chǔ)和依據(jù)。計(jì)劃階段的活動(dòng)包括:建立組織機(jī)構(gòu),明晰責(zé)任,確定安全目標(biāo)、戰(zhàn)略和策略,進(jìn)行風(fēng)險(xiǎn)評(píng)估,選擇安全措施,并在明確安全需求的基礎(chǔ)上制定安全計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃、意識(shí)培訓(xùn)等信息安全管理程序和過(guò)程。
實(shí)施(Do)—— 實(shí)施階段是實(shí)現(xiàn)計(jì)劃階段確定目標(biāo)的過(guò)程,包括安全策略、所選擇的安全措施或控制、安全意識(shí)和培訓(xùn)程序等。
檢查(Check)—— 信息安全實(shí)施過(guò)程的效果如何,需要通過(guò)監(jiān)視、審計(jì)、復(fù)查、評(píng)估等手段來(lái)進(jìn)行檢查,檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)、程序,以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn),檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。
改進(jìn)(Action)—— 如果檢查發(fā)現(xiàn)安全實(shí)施的效果不能滿足計(jì)劃階段建立的需求,或者有意外事件發(fā)生,或者某些因素引起了新的變化,經(jīng)過(guò)管理層認(rèn)可,需要采取應(yīng)對(duì)措施進(jìn)行改進(jìn),并按照已經(jīng)建立的響應(yīng)機(jī)制來(lái)行事,必要時(shí)進(jìn)入新的一輪信息安全管理周期,以便持續(xù)改進(jìn)和發(fā)展信息安全。
五、信息安全管理體系建設(shè)思路
信息安全管理體系(ISMS)是一個(gè)系統(tǒng)化、程序化和文件化的管理體系,屬于風(fēng)險(xiǎn)管理的范疇,體系的建立需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估。ISM體現(xiàn)預(yù)防控制為主的思想,強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī),強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制,本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,合理選擇安全控制方式保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),確保信息的保密性、完整性和可用性,從而保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)運(yùn)作的持續(xù)性。
構(gòu)建信息安全管理體系(ISMS)不是一蹴而就的,也不是每個(gè)企業(yè)都使用一個(gè)統(tǒng)一的模板,不同的組織在建立與完善信息安全管理體系時(shí),可根據(jù)自己的特點(diǎn)和具體情況,采取不同的步驟和方法。但總體來(lái)說(shuō),建立信息安全管理體系一般要經(jīng)過(guò)以下幾個(gè)主要步驟:
1、信息安全管理體系策劃與準(zhǔn)備
策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、安全管理發(fā)展情況調(diào)研,以及人力資源的配置與管理。
2、確定信息安全管理體系適用的范圍
信息安全管理體系的范圍就是需要重點(diǎn)進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實(shí)際情況,可以在整個(gè)組織范圍內(nèi)、也可以在個(gè)別部門(mén)或領(lǐng)域內(nèi)實(shí)施。在本階段的工作,應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域,這樣做易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾。在定義適用范圍時(shí),應(yīng)重點(diǎn)考慮組織的適用環(huán)境、適用人員、現(xiàn)有IT技術(shù)、現(xiàn)有信息資產(chǎn)等。
3、現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估
依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行調(diào)研和評(píng)價(jià),以及評(píng)估信息資產(chǎn)面臨的威脅以及導(dǎo)致安全事件發(fā)生的可能性,并結(jié)合安全事件所涉及的信息資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。
4、建立信息安全管理框架
建立信息安全管理體系要規(guī)劃和建立一個(gè)合理的信息安全管理框架,要從整體和全局的視角,從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè),從信息系統(tǒng)本身出發(fā),根據(jù)業(yè)務(wù)性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件,建立信息資產(chǎn)清單,進(jìn)行風(fēng)險(xiǎn)分析、需求分析和選擇安全控制,準(zhǔn)備適用性聲明等步驟,從而建立安全體系并提出安全解決方案。
5、信息安全管理體系文件編寫(xiě)
建立并保持一個(gè)文件化的信息安全管理體系是ISO/IEC27001:2005標(biāo)準(zhǔn)的總體要求,編寫(xiě)信息安全管理體系文件是建立信息安全管理體系的基礎(chǔ)工作,也是一個(gè)組織實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)不可少的依據(jù)。在信息安全管理體系建立的文件中應(yīng)該包含有:安全方針文檔、適用范圍文檔、風(fēng)險(xiǎn)評(píng)估文檔、實(shí)施與控制文檔、適用性聲明文檔。
6、信息安全管理體系的運(yùn)行與改進(jìn)
信息安全管理體系文件編制完成以后,組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施,至此,信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間,組織應(yīng)加強(qiáng)運(yùn)作力度,充分發(fā)揮體系本身的各項(xiàng)功能,及時(shí)發(fā)現(xiàn)體系策劃中存在的問(wèn)題,找出問(wèn)題根源,采取糾正措施,并按照更改控制程序要求對(duì)體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。
7、信息安全管理體系審核
體系審核是為獲得審核證據(jù),對(duì)體系進(jìn)行客觀的評(píng)價(jià),以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的檢查過(guò)程。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進(jìn)行,可作為組織自我合格檢查的基礎(chǔ);外部審核由外部獨(dú)立的組織進(jìn)行,可以提供符合要求(如ISO/IEC27001)的認(rèn)證或注冊(cè)。
信息安全管理體系的建立是一個(gè)目標(biāo)疊加的過(guò)程,是在不斷發(fā)展變化的技術(shù)環(huán)境中進(jìn)行的,是一個(gè)動(dòng)態(tài)的、閉環(huán)的風(fēng)險(xiǎn)管理過(guò)程,要想獲得有效的成果,需要從評(píng)估、防護(hù)、監(jiān)管、響應(yīng)到恢復(fù),這些都需要從上到下的參與和重視,否則只能是流于形式與過(guò)程,起不到真正有效的安全控制的目的和作用。