信息安全管理的内容、框架和方法.docxVIP

信息安全管理的内容、框架和方法 信息安全管理是组织为了达到和维护适当的保密性、完整性、可用性所进行的管理活动。信息安全管理是组织管理体系的一部分，主要用于组织的信息资产的风险管理，以确保组织的信息资产的安全性。 信息安全管理的功能包括： 制定组织信息安全目标、策略、政策 制定组织信息安全需求 识别和分析对组织信息资产的威胁 风险评估 采取适当的安全控制措施 在组织内部为有效地保护信息和服务，对安全政策措施的执行和操作进行监控 开发和执行安全监控程序 检测并对安全事故进行相应 信息安全管理必须是一个组织完整的管理计划的一部分。 信息安全管理内容 信息处理技术的应用已经深入到各种组织的各个层面，信息安全管理的内容随着信息技术的应用也延伸到了组织的各个部分。对于信息安全管理包含的内容，ISO/IEC 17799中定义了如下十个方面： 安全政策。建立组织信息安全各方面的政策、方针、制度、规章文档，并传达到各级员工，确保理解与执行 安全组织。建立组织中的信息安全机构，管理信息安全事件。第三方访问的管理和外包业务的安全。 资产分类与控制。对组织中信息安全相关的资产进行分类管理 人员安全。主要是对人员的培训以及人员考核、安全事件报告制度 设备与环境安全。安全区域、设备安全和介质安全，通用安全措施 通信与操作管理。操作程序与责任、系统设计与审核、防范恶意代码、日常事务管理、网络管理、介质处理与安全、信息和软件交换 访问控制。访问控制的商业要求、用户访问管理、用户责任、网络访问控制、主机访问控制、应用访问控制、系统访问与监控、移动计算和远程作业的访问控制 系统开发与维护。系统安全要求、应用系统的安全要求、密码技术控制、系统文件的安全、开发和支持过程的安全 商务连续性管理。保证组织一旦出现信息安全事故时能够在最快时间里恢复相关商业运作，以及最小化损失的措施 信息安全管理的一致性。符合法律法规要求、安全方针和标准化、对系统审核的考虑。信息事件的证据收集 信息安全管理框架 同组织的其他管理活动一样，信息安全管理也是一个有目的、有计划、需要组织和进行控制的管理活动。下图是ISO/IEC 17799中定义的信息安全管理框架 图一，信息安全管理框架 信息安全管理方法 信息安全状况是一个随着环境和时间变化的动态过程，对信息安全进行的管理也是一个动态的管理过程，通常信息安全管理按照如下循环的步骤进行： 计划与管理 信息安全计划与管理是在一个组织内建立与维护信息安全程序的全部过程。图二显示的是这一过程的主要活动。由于管理风格与组织规模结构的不同，在实现时要根据不同的环境进行裁减。 图二，信息安全计划与管理流程 图二中，信息安全政策是从组织的信息安全目标导出的，而组织的信息安全目标要遵从于组织的使命和商业目标。因此，组织的安全政策是适应于组织的管理结构的，这将确保所组织所确定的信息安全目标能够被达到。 风险管理 风险管理是对信息系统面临的安全风险进行管理的过程，是信息安全管理的核心内容。信息安全风险管理中包括四个明确的活动： 在组织信息安全政策范围内确定风险管理策略 根据风险分析结论、或者按照基本的安全控制要求选择针对信息系统的安全措施 根据安全建议形成明确的信息系统安全政策，并持续对信息安全政策进行调整与升级 基于确认的信息系统安全政策，执行安全措施计划 执行 对每个信息系统的安全措施应按照信息安全计划来执行。提高安全意识是提高这些措施的效率的重要手段。从图二中可看到，安全措施和安全意识是执行阶段的两个主要任务。需要注意的是在执行（部署和使用）安全措施的同时，必须持续不断的增强安全意识。 跟踪反复 信息安全管理体系一但确定起来，就需要根据安全形势的不断变化而进行动态的调整，因此，信息安全管理的流程是一个不断重复的过程，在这个重复的过程中需要进行如下的工作： 维护安全措施，确保持续高效的操作 检验安全政策和计划，确保安全措施的有效性 监控资产、威胁、脆弱性和安全措施的变化情况，防止风险 确保有适合的手段对未知的事件和事故进行处理