关于信息安全管理体系建设的探讨.docVIP

关于信息安全管理体系建设的探讨摘 要本文依据实际工作经验，对如何结合ISO/IEC 27000系列标准与信息安全等级保护标准建议适用于企业的信息安全管理体系提出了部分探讨性意见。【关键词】信息安全 管理 体系 ISMS近些年来，随着信息化的急速发展，国内多次暴露的信息安全事件泄密、系统遭受入侵等安全事件都在刺激着中国国内企业对信息安全的建设。导致国内纵多企业渴求参照权威的标准建立适合企业自身的信息安全管理体系（ISMS， Information Security Management System），从而把握全局性的信息安全建设，对安全建设进行科学的规划。因此本文旨在通过研究相关权威标准，对引用标准建立适合企业自身发展需求的信息安全管理体系的参考意见。1 标准介绍与对比目前，国内最为流行的信息安全标准主要是ISO/IEC 27000系列标准和信息安全等级保护标准。下面将简单介绍这两个标准。1.1 ISO/IEC 27000系列标准ISO/IEC 27000系列标准是国际化组织为信息安全管理体系制定的一套标准，其核心标准ISO/IEC 27001、 ISO/IEC 27002分别由英国标准协会（BSI）于1995年颁布的BS7799-1和BS7799-2演化而来。BS7799最初由英国贸工部（DTI）立项，经业界、政府和商业机构共同倡导，旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。ISO/IEC 27001类似于ISO9000系列中的ISO9001，强调ISMS的构建和基于PDCA模型的不断循环和改善。安全模型主要建立在风险管理的基础上，通过风险分析的方法，使信息风险发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建过程就是宏观上指导整个项目实施的过程。ISO/IEC 27002则给出了11类需要进行控制的部分：安全策略、安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、信息安全事件管理、业务连续性管理、符合性等方面的安全风险评估和控制，以及133项控制细则。1.2 信息安全等级保护信息安全等级保护制度是国家为了提高信息安全保障能力和水平、维护国家安全、社会稳定和公共利益、保障和促进信息化健康发展的一项基本制度，最早起源于1994年我国国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，其核心标准《GB 17859-1999计算机信息系统安全保护等级划分准则》吸取了TCSEC分等级保护的基本思想，根据我国信息安全的需要进行了改进和完善，把安全等级精简为更具可操作性的五个等级。《GB/T 22239-2008信息系统安全等级保护基本要求》将信息安全控制要求分为技术要求和管理要求两大类。技术要求为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。同时，信息安全等级保护系列标准还具备《GB/T 20270-2006网络基础安全技术要求》、《GB/T 20271-2006信息系统安全通用要求》等细则方面的具体指导要求。1.3 对比分析通过两套标准的介绍对比不难发现，虽然ISO/IEC 27000系列标准与信息安全等级保护系列标准都是为了保障企业信息安全，但两套标准的产生背景、实施流程、标准的涵盖范围及侧重点都略有不同。ISO/IEC 27000作为国际通用标准对于企业开拓国外市场更具备信服力，而信息安全等级保护则作为国家战略需求更贴切国内情况，因此企业在建立信息安全管理体系时可结合两套体系的标准，建立一套信息安全管理体系可以取长补短，进一步的保障企业的信息安全。2 信息安全等级保护的融合ISO/IEC 27000系列标准的实施步骤是：风险评估?安全措施的选择?再评估?管理体系常态化，这样的评估流程非常全面，但在实施时会存在以下问题：（1） ISO/IEC 27000系列标准中体现的风险评估方法非常科学，并能全面地评估组织ISMS范围内所有威胁以及脆弱点，但是存在风险评估方法选择困难、实施难度大、耗时长、成本高等问题。（2） ISO/IEC 27002中包含11项控制领域的39项控制目标和133项控制措施，涵盖了安全管理的各个方面。但在实施过程中，如何选择控制措施很困难，如何有重点有针对地选择控制措施更困难。（3） ISO/IEC 27001侧重于安全管理方面的标准，虽然后来的改版充分考虑了信息处理技术的发展，但ISO/IEC 27001中没有涉及对系统和产品技术指标的评估，让企业在构建信息安全管理体系时对于如何在技术上达到安全标准要求缺乏细节指导。融合信息安全等级保护的分级保护思想及其更为细致的