ISMS信息安全组织管理框架.docVIP

ISMS信息安全组织管理框架

信息安全基础结构

目标：在组织内部管理信息安全。

应建立管理框架，在组织内部开展和控制信息安全的实施。

应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要，应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系，以跟踪行业趋势，监督安全标准和评估方法，并在处理安全事故时提供适当的联络渠道。另外应鼓励多学科的信息安全方法的发展，如：经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家（如保险和风险管理领域）之间的协作。

1.信息安全管理委员会

信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。信息安全管理委员会可以作为现有管理团体的一部分，所承担的职责主要有：

评审和批准信息安全方针和总体职责；

监督信息资产面临重大威胁时所暴露出的重大变化；

评审和监督信息安全事故；

批准加强信息安全的主动行为。

应有一名经理负责和安全有关的所有行为。

2.信息安全的协作问题

在较大的组织内部，有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会，以合作实施信息安全的控制措施。它的主要功能有：

批准组织内关于信息安全的具体任务和责任；

批准信息安全方面的具体方法和程序，如风险评估、安全分类系统；

批准和支持全组织范围的信息安全问题的提议，如安全意识培训；

确保安全问题是信息设计过程的一部分；

评估新系统或服务在信息安全控制实施方面的充分程度和协作情况；

评审信息安全事故；

提高全组织对信息安全的支持程度。

3.信息安全责任分配

保护单独的资产和实施具体的安全过程的职责应该给予明确定义。

信息安全方针（见上述条款）应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时，针对具体的地点、系统和服务，应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任，如可持续运营计划，应清晰定义。

在许多组织中，会任命一名信息安全经理来负责信息安全工作的开展和实施，并支持控制措施的鉴别工作。

然而，分配资源和实施控制措施的责任一般由各部门经理承担。通常的做法是为每项信息资产指定专人来负责日常的安全工作。

信息资产的负责人可以把安全职责委托给各部门的经理或服务提供商。然而，信息资产负责人对资产的安全负有最终的责任，并应有权确定责任人是否恰当的履行了职责。对各个经理所负责的安全领域的清晰描述是很重要的，特别应进行以下工作：

和各个系统相关的各种资产和安全过程应给予识别和明确的定义。

各项资产或安全过程的管理者责任应经过审批，并以文件的形式详细记录该职责。

授权级别应清晰定义并记录在案。

4.信息处理设备的授权程序

对于新的信息处理设备应建立管理授权程序，应考虑以下控制措施：

新设备应有适当的用户管理审批制度，对用户的使用目的和使用情况进行授权。同样应得到负责维护本地信息系统安全环境的经理的批准，以确保满足所有相关的安全方针和要求。如有必要，应检查硬件和软件，以确保与其他系统部件兼容（注：对于有些连接，类型兼容也是必须的）。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性，因此应经评估和授权。上述控制措施在联网的环境中尤为重要。

5.信息安全专家建议

许多组织可能需要安全专家的建议，这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问。因此，建议组织专门指定一个人来协调组织中的知识和经验，以确保一致性，并帮助做出安全决议。同时他们还应和合适的外部顾问保持联系，以提供自身经验之外的专家建议。信息安全顾问或等同的联络人员的任务应该是使用他们自己的和外部的建议，为信息安全的所有方面提供咨询。他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性。为使其建议最大程度的发挥作用，他们应有权接触组织管理层的各个方面。若怀疑出现安全事件或破坏，应尽早的咨询信息安全顾问和相应的外部联络人员，以获得专业指导和调查资源。尽管多数的内部安全调查通常是在管理层的控制下进行的，但仍可以邀请安全顾问给出建议，领导或实施调查。

6.组织间的合作

为确保在发生安全事故时能最快的采取适当措施和获得指导建议，各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系。同样也应考虑成为安全组织和行业论坛的成员。

安全信息的交流应该加以限制，以确保组织的秘密信息不会泄漏到未经授权的人员手中。

7.信息安全审核的独立性