什么是信息安全管理体系?(ISMS)

作者:星期三, 十二月 18, 20130
分享:

eceb897d0fd6639f3e44044af36f5762_middle

信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列标准定义了信息安全管理体系(ISMS)的要求,奠定了信息安全管理体系的认证基础。标准解释的了整体计划 – 执行 – 检查 – 行动(PDCA)的方法,并为其实施提供了详细的指导。
ISO/IEC27001标准介绍定义了整个信息安全管理体系的范围和使用的词汇,并提供包括标准的出版物的目录。ISO/ IEC 27001对那些寻求独立ISMS认证的机构来说是一套正式的规范,ISO / IEC 27002包含一个组织用于应对信息安全风险被结构化的建议控制,ISO/ IEC2700X出版物为特定行业和情况管理信息安全提供指导。ISO/ IEC27002是由ISO/ IEC17799演变而来,ISO/ IEC17799是由英国标准BS7799演化而来,BS7799是信息安全管理方面的最佳实践。ISO27001新版标准在2013年底正式颁布。

为了有效地保护信息,需要建立信息安全管理的一些重要基础,并与组织中所有员工进行沟通,下表描述了信息安全管理的关键因素:

 

信息安全管理的关键因素

高级管理层的承诺与支持 在一个组织内实施信息安全必须得到高层管理人员的承诺与支持,得到高层管理人员的认同和承诺有两个作用:一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;二是可以得到有效的资源保证,比如实施有效安全过程的必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。
信息安全政策与程序  安全政策
信息安全政策从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。
信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。
信息安全政策可以分为二层次,一个信息安全方针,另一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺,提出组织管理信息安全的方法,并由管理层批准,采用适当的方法将方针传达给每一个员工。信息安全方针应当简明、扼要,便于理解,但至少应包括以下内容:
• 信息安全的定义,总体目标、范围,安全对信息共享的重要性
• 管理层意图、支持目标和信息安全原则的阐述。
• 信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。
• 信息安全管理的一般和具体责任定义,包括报告安全事故。
具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果,在为保证控制措施的有效执行而制定的明确具体的信息安全实施规则。常用策略举例如下:
• 人员审查策略
• 清除桌面和清除屏幕策略
• 电子邮件使用策略
• 电子办公系统安全策略
• 访问控制策略
• 网络服务使用策略
• 移动计算设施的安全策略
• 远程工作策略
• 使用密码控制技术策略
安全政策应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
 安全程序
程序是为进行某项活动所规定的途径或方法。程序可以形成文件,也可以不形成文件,为确保信息安全管理活动的有效性,信息安全管理体系程序通常要求形成文件。
信息安全管理程序包括两部分:一是实施控制目标与控制方式的安全控制程序(例如信息处置与储存程序),另一部分是为覆盖信息安全管理体系的管理与运作的程序(例如:风险评估与管理程序)。程序文件应描述安全控制或管理的责任及相关活动,是信息安全政策的支持性文件,是有效实施信息安全政策、控制目标与控制方式的具体措施。
程序文件的内容通常包括:活动的目的与范围(Why)、做什么(What)、谁来做(Who)、何时(When)、何地(Where)、如何做(How),应使用什么样的材料、设备和文件,如何对活动进行控制和记录,即人们常说的“5W1H”。
 组织  信息安全组织的首要任务就是要明确组织中信息资产的保护责任和完成特定的安全流程的责任。在信息安全政策中应当对进行信息安全角色与责任的分配提供总的指导,如果需要的话,要对特定的站点、服务和相关的安全流程提供更详细的指南。例如灾难性恢复和企业可持续性计划等。组织中每个物理资产、信息资产及安全流程的责任都应当清楚地定义出来。
 安全意识与教育 组织应当对所有员工及第三方相关用户经常性地进行信息安全教育与培训,对于新员工要在其访问信息和某项服务之前首先进行安全意识与教育培训。内容可以包括信息安全风险与控制、法律责任、业务相关控制、信息处理设施的使用等,以提高安全意识与安全防范技能,并促使遵守国家法律、法规与组织的安全政策与程序。

采用的教育与培训方式可以如下:
 书面安全策略
 正式的信息安全培训
 员工签订协议遵守组织的安全政策与程序
 员工签订的业务保密协议
 利用各种媒体在公司内部宣传安全问题(定期刊物、公司主页、录音录像、在线培训等)
 安全规定的强制执行
 鼓励员工报告可疑事件
 阶段性审计

 监督与符合性审核  为在连续性的基础上评估组织安全程序与控制的有效性,IT审计师必须清楚地了解组织的各种监督活动。例如,为了获得组织遵守相关法律法规的情况,审计师必须对敏感信息的安全与隐私政策的执行进行尽职调查,特别在一些特殊行业,如:银行、金融机构及健康中心。组织一般通过建立安全政策与程序来建立安全基线(Baseline)来把风险控制在可接受的水平,审计师需要对组织成员遵守安全政策与程序的情况进行审核。审计师还要确认当生产状态中的信息资源发生变化时,组织要对安全基线作及时调整。
 应急处理与响应  计算机安全事件是指威胁计算机安全的有关活动,计算机安全事件可能会造成信息机密性的丧失、完整性的破坏、拒绝服务、对系统的非授权访问、对系统的滥用与损害等。典型的安全事件包括病毒攻击、内部人员以及外部组织的入侵等。

关键词:
分享:

相关文章

没有相关文章!

写一条评论

 

 

0条评论