基于ISO27001的信息安全管理体系规划.docVIP

基于ISO27001的信息安全管理体系规划 　　摘要:随着人们对城市轨道交通系统依赖性的日益增强和综合信息网络的建立,必须考虑人为制造的破坏对系统的影响。现在,由各种信息系统组成的交通信息异构网即将形成,相对于过去的封闭系统信息安全问题而言,大型异构网的安全问题变得更加重要。因此,尽快建立轨道交通信息系统的安全管理体系非常必要。本文初步完成了基于ISO 27001的城市轨道交通系统信息安全管理体系规划。 　　关键词:资产;风险;信息安全管理体系 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)10-2337-03 　　Planning for Information Security Management System Based on ISO27001 　　LIU Xia 　　(Deparment of Computer Science and Technology, Tongji University, Shanghai 201804, China) 　　Abstract: As the increasing dependence on urban rail transport system and the establishment of an integrated information network, we must take into account the destruction of man-made impact on the system. Now, heterogeneous transport information network composed of various information systems will be estabilished.Compared with the information security issues of the past closed system, large-scale heterogeneous network security issues become more important. So, it is necessary to establish the information security management system of rail transport information systems as soon as possible. Based on the standards ISO27001, this thesis gives a primary planning for the security management system of rail transport information systems. 　　Key words: asset; risk; information security management system 　　大型异构网的建立带来了许多新的安全需求和安全问题,例如Nawa[1]提出了许多数字安全化信息领域的潜在安全问题,Connell[2]等人也提出了许多安全需求,并且随着网络规模的扩大,网络的薄弱环节受到攻击的可能性会增加,安全管理问题也变得更加重要。组成轨道交通综合信息网的系统的复杂性使得网络面临更严重的安全威胁 [3]。本文立足于现有的安全技术和管理体系,建立了符合国际标准的安全管理体系。 　　1 信息安全管理体系规划 　　信息安全管理体系(ISMS,Information Security Management System)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系,它是直接管理活动的结果,表示为方针、原则、方法、计划、活动、程序、过程和资源的集合[4]。目前的信息安全管理体系有基于BS-7799[5]的信息安全管理体系、基于SSE-CMM[6]的信息安全管理体系和基于等级保护[7]的信息安全管理体系等。 　　其中ISO27001信息安全管理体系共有信息安全方针、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作管理、访问控制、信息系统的获取、开发与维护、信息安全事故管理、业务持续性管理和法律符合性11个要项组成,考虑到了信息安全管理的各个方面,但也只是给出了大概的规则,本文参照ISO27001标准将资产管理、通信和操作管理、访问控制三个要项做了细化。 　　1.1 资产管理 　　资产管理主要是对资产进行分类和采取保护措施。对于信息系统中的重要资产,应进行分类管理,为了更加快捷的定位于资产,建立了一个资产索引,命名为:Asset+”_”+序号。采用这种方法建立了一个资产清单