浅谈信息安全体系如何建立.docVIP

浅谈信息安全体系如何建立 　　[摘 要] 信息安全体系建设已日渐受到企业的重视。笔者根据多年信息安全体系建设及系统运维经验，从信息安全体系建设理论依据、信息安全体系建设过程、信息安全体系建设的决定因素及意义等方面，对企业信息安全体系建立问题加以讨论。 [关键词] ISMS； PDCA； 风险评估； 资产识别； 信息； 安全； 建立； 体系 doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038 [中图分类号] F270.7； TP309 [文献标识码] A [文章编号] 1673 - 0194（2014）01- 0074- 03 1 信息安全体系的重要性 随着信息技术不断发展，信息系统已经成为一种不可缺少的信息交换工具，企业对于信息资源的依赖程度也越来越大。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点，再加上本身存在技术弱点和人为的疏忽，导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵，致使信息被破坏或窃取，使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下，企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题，同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此，要求我们探索建立一套完善的体系，来有效地保障信息系统的全面安全。 2 信息安全体系建设理论依据 信息安全管理体系（Information Security Management System， ISMS）是企业整体管理体系的一个部分，是企业在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。 在建设信息安全管理体系的方法上，ISO 27001标准为我们提供了指导性建议，即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式，适用于任何管理活动，体现了一种持续改进、维持平衡的思想，但具体到ISMS建立及认证项目上，就显得不够明确和细致，组织必须还要有一套切实可行的方法论，以符合项目过程实施的要求。在这方面，ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法，比如IS0 9001，ISO/IEC 2700l， ISO/TS 16949 等，大致上说，这些管理体系都遵循所谓的PROC过程方法。 PROC 过程模型 （Preparation-Realization-Operation-Certification）是对PDCA 管理模式的一种细化，它更富有针对性和实效性，并且更贴近认证审核自身的特点。PROC模型如图1所示。 3 信息安全体系建设过程 根据以往经验，整个信息安全管理体系建设项目可划分成5个阶段，如果每项内容的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设总体目标，最终通过ISO/IEC 27001认证。 调研阶段： 对业务范围内所有制度包括内部的管理规定或内控相关规定，对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描，并形成《漏洞扫描风险评估报告》。 资产识别与风险评估阶段： 针对组织内部人员的实际情况，进行信息安全基础知识的普及和培训工作，让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理，并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求，完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。 设计策划阶段：通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制，并且形成有持续改进功能的信息安全监督审核管理制度，最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理（包括：笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定）、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性