信息安全管理体系的研究与建立.PDF

信息安全管理体系的研究与建立 杨东娴  社科院 计算机网络中心  【摘要】信息时代，迅猛发展的信息技术和日益丰富的信息资源极大地影响着人 们的工作和生活。在社科院，信息化建设的成果（如各类电子资源和业务应用系 统等）不仅是院内科研人员进行各类科研活动不可或缺的基础资源，同时也是我 院重要的信息资产。随着信息化进程的不断推进，成果的拥有量不断增加，科研 人员对它们的依赖程度也逐渐增强，使得电子资源和业务应用系统等信息资产的 安全保障和安全管理问题逐渐为我院各级信息化管理部门所重视。本文从国内外 信息安全管理的现状分析着手，阐述在我院建立完善信息安全管理体系的重要性 和必要性。同时依据我院信息安全保障和信息安全管理的基本需求，基于 PDCA 循环模型，参照国际标准 ISO/IEC27001 的相关规程，通过适当的裁减，引入风 险管理和安全事件管理等理念，设计并建立一套可持续改进的、符合我院实际的 信息安全管理体系。 【关键词】信息安全管理体系、PDCA 循环、风险管理、安全事件管理 1 引言 信息时代，迅猛发展的信息技术和日益丰富的信息资源极大地影响着人们的 工作和生活。信息技术的运用不仅引起了人们生活方式和思想观念的巨大转变， 而且也给组织机构的发展带来了新机遇。一般来说，组织机构的信息化成果大多 以信息系统的形式直接参与到组织机构的运作和管理流程中，而随着对这些信息 系统使用频率的增加，组织机构对它们的依赖程度也逐步加大，随之而来的信息 安全问题也逐步为各组织机构所关注。 在社科院，信息化建设的成果（如各类电子资源和业务应用系统等）不仅是 院内科研人员进行各类科研活动不可或缺的基础资源，同时也是我院重要的信息 资产。随着信息化进程的不断推进，成果的拥有量不断增加，科研人员对它们的 依赖度也逐步增强，使得这些信息资产的安全保障和安全管理问题逐渐为我院各 级信息化管理部门所重视。而面对日益严峻的信息安全形势，此类信息资产的信 息安全问题也正成为我院信息安全保障工作乃至信息化建设中必须面对的经常 性问题。 一提及信息系统的安全，人们的第一反应就是：这是个技术性问题，要确保 信息系统的安全，就要装备足够多和足够强健的安全产品。但事实上，信息系统 的安全保障工作不能仅依靠简单堆砌多种安全技术或安全产品来实现，与之相关 的信息安全管理工作也不容忽视，毕竟影响信息系统安全的不仅有技术因素，还 包含了靠纯粹技术手段不能完全解决的非技术类因素，如：与人员相关的安全、 信息安全成本投入和产出的平衡、业务连续性保障等。正如管理学箴言「三分技 术，七分管理」所述，一套完整的信息安全保障体系应该包括技术和管理两个层 面，即信息安全技术体系和信息安全管理体系。只有以信息安全管理体系为基础， 以信息安全技术体系为支撑，通过加强信息安全管理工作，持续地进行风险识别 和控制，不断的监督指导信息安全技术的贯彻落实才能有效的保障信息安全。因 此，为了保障院内的信息安全，信息安全管理工作的加强和标准化工作刻不容缓。 2 信息安全管理现状分析 信息安全的内涵很宽泛，若从安全属性方面定义，信息安全就是信息的保密 性（Confidentiality ）、完整性（Integrity ）和可用性（Availability ）等安全属性或 安全目标的保持；另外也可包括真实性（Authenticity ）、可核查性（Accountability ）、 不可否认性（Non-repudiation ）和可靠性（Reliability ）等安全属性的保持。相对 应的，信息安全管理就是各组织机构为了实现以上的信息安全属性或安全目标， 运用一定的手段，对信息安全进行系统管理的各项活动。自信息安全理念产生至 今，它已经经历了三个发展阶段：技术浪潮阶段、管理浪潮阶段和制度浪潮阶段。 随着对信息安全认识的加深，人们意识到制度浪潮阶段的信息安全要以体系化的 方法来实现[1] ，而这也进一步的促进了信息安全管理体系的产生。 2.1 国内外信息安全管理现状 信息安全是一个多层次、多因素、综合性的动态过程，是一个需要系统体系 来保证的持续发展过程[2] 。为完善信息安全的体系化，我国分别从管理、技术和 法规制度等 3 个方面进行部署，加强了对信息安全的综合管理。在管理方面，我 国加强了宏观管理力度，强化了各主管部门的信息安全管理工作；在技术方面， 我国不仅加大了基础关键技术的科研支持力度