ISMS信息安全管理体系建立方法全解.doc

资源描述

ISMS信息安全管理体系建立方法全解信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同。后续将具体介绍不同部分的管理。 1 信息安全管理体系概述信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理使命，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产必需要保护的程度等内容。 1. ISMS的范围 ISMS的范围可以依据整个组织或者组织的一部分进行定义，包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等，ISMS的范围可以包括： ●组织所有的信息系统； ●组织的部分信息系统； ●特定的信息系统。此外，为了确保不同的业务利益，组织必需要为业务的不同方面定义不同的ISMS。例如，可以为组织和其他公司之间特定的贸易关系定义ISMS，也可以为组织结构定义ISMS，不同的情境可以由一个或者多个ISMS表述。 ●反映业务目标的安全方针、目标和活动； ●与组织文化一致的实施安全的方法； ●来自管理层的有形支持与承诺； ●对安全要求、风险评估和风险管理的优良理解； ●向所有管理者及雇员推行安全意思； ●向所有雇员和承包商分发有关信息安全方针和准则的导则； ●提供适当的培训与教育； ●用于评价信息安全管理绩效及反馈改善建议，并有利于综合平衡的测量系统。不同的组织在建立与完善信息安全管理体系时，可依据自己的特点和具体的状况，采用不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下四个基本步骤： a)信息安全管理体系的策划与准备； b)信息安全体系文件的编制； c)信息安全管理体系的运行； d)信息安全管理体系的审核与评审。 1. ISMS的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点： ●体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求； ●强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式； ●强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的机密性、完整性和可用性，保持组织的竞争优势和商务运作的继续性。 2. 实施ISMS的作用组织建立、实施与保持信息安全管理体系将会产生如下作用： ●强化员工的信息安全意识，规范组织信息安全行为； ●对组织的关键信息资产进行全面体统的保护，维持竞争优势； ●在信息系统受到侵袭时，确保业务继续展开并将损失降到最低程度； ●使组织的生意伙伴和客户对组织充满信心； ●如果通过体系认证，说明体系符合标准，证实组织有能力确保重要信息，提升组织的知名度与信任度； ●促使管理层落实信息安全确保体系； ●组织可以参照信息安全管理模型，按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参加、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上确保业务的连续性。为在组织中顺利建设信息安全管理体系，必需要建立有效信息安全机构，对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。 1．成立信息安全委员会信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成，定期召开会议，就以下重要信息安全议题进行讨论并做出决策，为组织信息安全管理提供导向与支持。 ●评审和审批信息安全方针； ●分配信息安全管理使命； ●确认风险评估的结果； ●对与信息安全管理有关的重大事项，如组织机构调整、关键人事变动、信息安全设施购置等； ●评审与监督信息安全事故； ●审批与信息安全管理有关的其他重要事项。 2．任命信息安全管理经理组织最高管理者在管理层中指定一名信息安全管理经理，分管组织的信息安全管理事宜，具体由以下责任： ●确定信息安全管理标准建立、实施和维护信息安全管理体系； ●负责组织的信息安全方针与安全策略的落实与落实； ●向最高管理者提交信息安全管理体系绩效报告，以供评审，并为改善信息安全管理体系提供证据； ●就信息安全管理的有关问题与外部各方面进行联系。 3．组建信息安全管理推动小组在信息安全委员会的批准下，由信息安全管理经理组建信息安全管理推动小组，并对其进行管理。小组成员要懂信息安全技术知识，有一定的信息安全管理技能，并且有较强的分析能力及文字能力，小组成员一般是企业各部门的骨干人员。 4．确保有关人员的作用、使命和权限得到有效沟通用适当的方式，如通过培训、制定文件等方式，让每位员工明白自己的作用、使命与权限，以及与其他部分的关系，以确保全体员工各司其职，互相配合，有效地展开活动，为信息安全管理体系的建立做出贡献。 5．组织机构的设立原则 ●合适的控制范围一般状况下，一个经理直接控制的下属管理人员不少于6人，但不应超过10人。在作业复杂的部门或车间，一个组长对15人保持控制。在作业简单的部门或车间，一个组长能控制50个人或更多的人。 ●合适的管理层次公司负责人与基层管理部门之间的管理层数应保护最少程度，最影响利润的部门经理应该直接向公司负责人报告。 ●一个上级的原则 ●责、权、利一致的原则 ●既无堆叠，又无空白的原则 ●执行部门与监督部门分开的原则 ●信息安全部门有一定的独立性，不应成为生产部门的下属单位。 6．信息安全管理体系组织结构建立及使命划分的注意事项 ●如果现有的组织结构合理，则只必需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理，则按上面〔5〕中所述规则对组织结构进行调整。 ●应将组织内的部门设置及各部门的信息安全使命、权限及互相关系以文件的形式加以规定。 ●应将部门内岗位设置及各岗位的使命、权限和互相关系以文件的形式加以规定。 ●日常的信息安全监督检查工作应有专门的部门负责 ●关于大型企业来说，可以设置专门的安全部〔可以把信息安全和职业健康与安全的职能划归此部门〕，安全部设立首席安全执行官，首席安全执行官直接向组织最高管理层负责〔有的也向首席信息官负责〕。美国“911〞恐惧袭击事件以后，在美国的一些大型企业，这种安全机构的设置方式逐渐流行，它强调对各种风险的综合管理和对威胁的快速反应。 ●关于小型企业来说，可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。 2 建立信息安全管理体系原则 2.1P DCA原则 PDCA循环的概念最早是由美国质量管理专家戴明提出来的，所以又称为“戴明环〞。在质量管理中应用广泛，PDCA代表的含义如下： P(Plan)：计划，确定方针和目标，确定活动计划； D(Do)：实施，实际去做，实现计划中的内容； C(Check)：检查，总结执行计划的结果，注意效果，找出问题； A(Action)：行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。 PDCA循环的四个阶段具体内容如下： (1) 计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下4个步骤。分析目前现状，找出存在的问题；分析产生问题的各种原因以及影响因素；分析并找出管理中的主要问题；制定管理计划，确定管理要点。依据管理体制中出现的主要问题，制定管理的措施、方案，明确管理的重点。制定管理方案时要注意整体的详尽性、多项选择性、全面性。 (2) 实施阶段：就是指按照制定的方案去执行。在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的状况，直接影响全过程。所以在实施阶段要保持按照制定的方案去执行。 (3) 检查阶段：即检查实施计划的结果。检查工作这一阶段是比较重要的一个阶段，它是对实施方案是否合理，是否可行有何不妥的检查。是为下一个阶段工作提供条件，是检验上一阶段工作好坏的检验期。 (4) 处理阶段：依据调查效果进行处理。对已解决的问题，加以标准化：即把已成功的可行的条文进行标准化，将这些纳进制度、规定中，防止以后再发生类似问题；找出尚未解决的问题，转入下一个循环中去，以便解决。 PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中，PDCA循环得到了广泛的应用，并取得了很好的效果，有人也称其为质量管理的基本方法。之所以叫PDCA循环，是因为这四个过程不是运行一次就完结，而是周而复始地进行，其特点是“大环套小环，一环扣一环，小环保大环，推动大循环〞；每个循环系统包括PDCA四个阶段曾螺旋式上升和发展，每循环一次要求提升一步。建立和管理一个信息安全管理体系必需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环：计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了确保您的组织的最好施行文件化、强化并随时间改善。信息安全管理体系的PDCA过程如以下图12-1所示。图12-1 PDCA模型与信息安全管理体系过程 ISMS的PDCA具有以下内容： 1. 计划和实施一个继续提升的过程通常要求最初的投资：文件化施行，将风险管理的过程正式化，确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来确保为信息安全管理体系建立的内容和范围正确地建立，评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。 2. 检查与行动检查和处置评审阶段用来强化、修改和改善已识别和实施的安全方案。评审可以在任何时间、以任何频率实施，取决于怎样做合适于合计的具体状况。在一些体系中他们可能必需要建立在计算机化的过程中以运行和马上回应。其他过程可能只必需在有信息安全事故时、被保护的信息资产变化时或必需要增加时、威胁和脆弱性变化时必需要回应。最后，必需要每一年或其他周期性评审或审核以确保整个管理体系达成其目标。 3. 控制措施总结(Summary of Controls) 组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结〔SoC〕的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包涵敏感的信息，因此当SoC 在外部和内部同时应用时，应合计他们关于接收者是否合适。信息安全管理另一个非常重要的原则就是文件化，即所有计划及操作过的事情都要有文件记录，这样可做到有章可循，有据可查，文件的类型通常有手册、规范、指南、记录等，使用这些文件可以使组织内部沟通意图，统一行动，并为事件提客观证据，同时也可用于学习和培训。如果有些组织曾参加过9000或BS7799的认证，会深入体会到文件化的重要性。组织建立信息安全管理体系必需要投入大量物力和人力，这就必需要得到领导的认可，尤其是最高领导，这样才干确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点： (1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改善信息安全管理体系的证据，包括： a)建立信息安全方针； b)确保建立信息安全目标和计划； c)为信息安全确立职位和责任； d)向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及继续改善的必需要； e)提供足够的资源以开发、实施，运行和维护信息安全管理体系； f)确定可接受风险的水平； g)进行信息安全管理体系的评审。 (2) 管理层为组织将确定和提供所必需的资源，以： a)建立、实施、运行和维护信息安全管理体系； b)确保信息安全程序支持业务要求； c)识别和强调法律和法规要求及合同的安全义务； d)正确地应用所有实施的控制措施维护足够的安全； e)必要时，进行评审，并适当回应这些评审的结果； f)必需要时，改善信息安全管理体系的有效性。仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来，而组织内由于一般人员的误操作和疏忽造成严重损失的不只少数，因此我们必需明确安全管理体系不是组织内IT部门的事情，而是必需要全体员工参加的。组织应确保所有被分配信息安全管理体系使命的人员具有能力履行指派的任务。组织应： a)确定从事影响信息安全管理体系的人员所必要的能力； b)提供能力培训和，必要时，聘用有能力的人员满足这些必需求； c)评价提供的培训和所采用行动的有效性；d)保持教育、培训、技能、经验和资格的纪录。组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标。 3 信息安全管理体系的建立以下图是建立信息安全管理体系的流程图,图12-2，图12-2ISMS 流程图组织应在整体业务活动和风险的环境下建立、实施、维护和继续改善文件化的信息安全管理体系。为满足该标准的目的，使用的过程建立在图一所示的PDCA 模型基础上。组织应做到如下几点： a)应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。 b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针，方针应： 1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。 2)合计业务及法律或法规的要求，及合同的安全义务。 3)建立组织战略和风险管理的环境，在这种环境下，建立和维护信息安全管理体系。 4)建立风险评价的标准和风险评估定义的结构。 5)经管理层批准。 c)确定风险评估的系统化的方法第一步：第二步：第三步：第四步：第五步：第六步：评估报告声明文件识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平。 d)确定风险 1)在信息安全管理体系的范围内，识别资产及其责任人。 2)识别对这些资产的威胁。 3)识别可能被威胁利用的脆弱性。 4)别资产失去保密性、完整性和可用性的影响。 e)评价风险 1)评估由于安全故障带来的业务损害，要合计资产失去保密性、完整性和可用性的潜在后果； 2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施； 3)估计风险的等级； 4)确定介绍风险或使用在c中建立的标准进行衡量确定必需要处理。 f)识别和评价供处理风险的可选措施：可能的行动包括： 1)应用合适的控制措施； 2)知道并有目的地接受风险，同时这些措施能清楚地满足组织方针和接受风险的标准； 3)避免风险； 4)转移相关业务风险到其他方面如：保险业，供应商等。 g)选择控制目标和控制措施处理风险：应从2.6章节中控制措施中选择合适的控制目标和控制措施，应该依据风险评估和风险处理过程的结果调整。 h)准备一份适用性声明。从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从2.6章节中剪裁的控制措施也应加以记录； i)提议的残余风险应获得管理层批准并授权实施和运作信息安全管理体系。信息安全管理体系文件应包括： a)文件化的安全方针文件和控制目标； b)信息安全管理体系范围和程序及支持信息安全管理体系的控制措施； c)风险评估报告； d)风险处理计划； e)组织必需要的文件化的程序以确保有效地计划运营和对信息安全过程的控制； f)本标准要求的记录； g)适用性声明。信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序，以规定以下方面所必需的控制： a)文件公布前得到批准，以确保文件的充分性； b)必要时对文件进行评审与更新，并再次批准； c)确保文件的更改和现行修订状态得到识别； d)确保在使用处可获得适用文件的有关版本； e)确保文件保持清楚、易于识别； f)确保外来文件得到识别，并控制其分发； g)确保文件的发放在控制状态下； h)防止作废文件的非预期使用； i)假设因任何原因而保留作废文件时，对这些文件进行适当的标识。应建立并保持纪录，以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应合计任何有关的法律要求。记录应保持清楚、易于识别和检索。应编制形成文件的程序，以规定记录的标识、储存、保护、检索、储存期限和处置所必需的控制。必需要一个管理过程确定记录的程度。应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如：访问者的签名簿，审核记录和授权访问记录。 4 实施和运作信息安全管理体系组织应按如下步聚实施： a)识别合适的管理行动和确定管理信息安全风险的优先顺序〔即：风险处理计划； b)实施风险处理计划以达到识别的控制目标，包括对资金的合计和落实安全角色和责任； c)实施在上述章节里选择的控制目标和控制措施； d)培训和意识； e)管理运作过程； f)管理资源； g)实施程序和其他有能力随时探测和回应安全事故的控制措施。 5 监控和评审信息安全管理体系组织应： a)执行监控程序和其他控制措施，以： 1)实时探测处理结果中的错误； 2)及时识别失败和成功的安全破坏和事故； 3)能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标； 4)确定解决安全破坏的行动是否反映了运营的优先级。 b)进行常规的信息安全管理体系有效性的评审〔包括符合安全方针和目标，及安全控制措施的评审〕合计安全评审的结果、事故、来自所有利益相关方的建议和反馈； c)评审残余风险和可接受风险的水平，合计以下方面的变化： 1)组织 2)技术 3)业务目标和过程 4)识别威胁，及 5)外部事件，如：法律、法规的环境发生变化或社会环境发生变化。 d)在计划的时间段内实施内部信息安全管理体系审核。 e)常常进行信息安全管理体系管理评审〔至少每年评审一次〕以确保信息安全管理体系的范围仍然足够，在信息安全管理体系过程中的改善措施已被识别〔见信息安全管理体系的管理评审〕； f)记录所采用的行动和能够影响信息安全管理体系的有效性或绩效的事件。组织应常常： a)实施已识别的关于信息安全管理体系的改善措施 b)采用合适的改正和预防措施[见7.2和7.3]. 应用从其他组织的安全经验和组织内学到的知识。 c)沟通结果和行动并得到所有参加的相关方的同意。 d)确保改善行动达到了预期的目标。管理层应按策划的时间间隔评审组织的信息安全管理体系，以确保其继续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改善的机会和变更的必需要，包括安全方针和安全目标。评审的结果应清楚地文件化，应保持管理评审的纪录。 5.3.1 评审输入管理评审的输入应包括以下方面的信息： a)信息安全管理体系审核和评审的结果； b)相关方的反馈； c)可以用于组织改善其信息安全管理体系绩效和有效性的技术，产品或程序； d)预防和改正措施的状况； e)以前风险评估没有足够强调的脆弱性或威胁； f)以往管理评审的跟踪措施； g)任何可能影响信息安全管理体系的变更； h)改善的建议。 5.3.2 评审输出管理评审的输出应包括以下方面有关的任何决定和措施： a)对信息安全管理体系有效性的改善； b)修改影响信息安全的程序，必要时，回应内部或外部可能影响信息安全管理体系的事件，包括以下的变更： 1〕业务要求； 2〕安全要求； 3〕业务过程影响现存的业务要求； 4〕法规或法律环境； 5〕风险的等级和/或可接受风险的水平； c)资源必需求。 5.3.3 内部信息安全管理体系审核组织应按策化的时间间隔进行内部信息安全管理体系审核，以确定信息安全管理体系的控制目标、控制措施、过程和程序是否： a)符合本标准和相关法律法规的要求； b)符合识别的信息安全的要求； c)被有效地实施和维护； d)达到预想的绩效。任何审核活动应策划，策划应合计过程的状况和重要性，审核的范围以及前次审核的结果。应确定审核的标准，范围，频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作。应在一个文件化的程序中确定策划和实施审核，报告结果和维护记录[见4.3.3]的责任及要求。负责被审核区域的管理者应确保没有延迟地采用措施减少被发现的不符合及引起不合格的原因。改善措施应包括验证采用的措施和报告验证的结果[见条款7]。 6 信息安全管理体系改善组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、改正和预防措施和管理评审的信息继续改善信息安全管理体系的有效性。组织应确定措施，以消除与实施和运行信息安全管理体系有关的不合格的原因，防止不合格的再发生。应为改正措施编制形成文件的程序，确定以下的要求： a)识别实施和/或运行信息安全管理体系中的不合格； b)确定不合格的原因； c)评价确保不合格不再发生的措施的必需求； d)确定和实施所必需的改正措施； e)记录所采用措施的结果； f)评审所采用的改正措施。组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序，以规定以下方面的要求： a)识别潜在的不合格及引起不合格的原因； b)确定和实施所必需的预防措施； c)记录所采用措施的结果； d)评价所采用的预防措施； e)识别已变更的风险和确保注意力关注在重大的已变更的风险。改正措施的优先权应以风险评估的结果为基础确定。注：预防不合格的措施总是比改正措施更节约成本。7 控制措施的选择通常控制措施是在BS7799的十大领域中进行选择，当然针对不同组织的实际状况选择控制目标不同，上述曾介绍过的必需进行适用性声明。以下将具体介绍十大领域的控制措施。 7.1.1 信息安全方针 1. 信息安全方针文件方针文件应得到管理者批准，并以适当的方式公布、传达到所有员工。该文件应该阐明管理者对执行信息安全的承诺，并陈述组织管理信息安全的方法，它至少应该包括以下几个部分：信息安全的定义，其总体目标和范围，以及其作为信息共享的安全机制的重要性〔见引言〕；申明支持信息安全目标和原则的管理意向；对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明，例如：符合法规和合同的要求；安全教育的要求；对计算机病毒和其他恶意软件的防范和检测；可继续运营的管理；违反安全方针的后果；对信息安全管理的总体和具体责任的定义，包括汇报安全事故；提及支持安全方针的文件，如：特定信息系统的更加具体的安全方针和程序，或用户应该遵守的安全规定。本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达。 7.1.2 评审与鉴定方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估依据的变化都会得到相应的评审，如：重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化。同样应对以下各项进行有计划的、定期的评审： a〕方针的有效性，可通过记录在案的安全事故的性质、数量和所造成的影响来论证； b〕对运营效率进行控制的成本和效果； c〕技术变化所造成的影响； 7.2.1 信息安全基础结构 1. 信息安全管理委员会信息安全是管理团队中所有成员共同的职务责任。因此应合计建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和显然的管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。信息安全管理委员会可以作为现有管理团体的一部分，所承当的使命主要有：评审和批准信息安全方针和总体使命；监督信息资产面临重大威胁时所暴露出的重大变化；评审和监督信息安全事故；批准强化信息安全的主动行为。应有一名经理负责和安全有关的所有行为。 2. 信息安全的协作问题在较大的组织内部，有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会，以合作实施信息安全的控制措施。它的主要功能有： ∙批准组织内关于信息安全的具体任务和责任； ∙批准信息安全方面的具体方法和程序，如风险评估、安全分类系统； ∙批准和支持全组织范围的信息安全问题的提议，如安全意识培训； ∙确保安全问题是信息制定过程的一部分； ∙评估新系统或服务在信息安全控制实施方面的充分程度和协作状况； ∙评审信息安全事故； ∙提升全组织对信息安全的支持程度。 3. 信息安全责任分配保护单独的资产和实施具体的安全过程的使命应该给予明确定义。信息安全方针〔见上述条款〕应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时，针对具体的地点、系统和服务，应对此方针作更具体的补充。对由各项有形资产和信息资产以及安全程序所在方承当的责任，如可继续运营计划，应清楚定义。在许多组织中，会任命一名信息安全经理来负责信息安全工作的展开和实施，并支持控制措施的鉴别工作。然而，分配资源和实施控制措施的责任一般由各部门经理承当。通常的做法是为每项信息资产指定专人来负责日常的安全工作。信息资产的负责人可以把安全使命委托给各部门的经理或服务提供商。然而，信息资产负责人对资产的安全负有最终的责任，并应有权确定责任人是否恰当的履行了使命。对各个经理所负责的安全领域的清楚描述是很重要的，特别应进行以下工作：和各个系统相关的各种资产和安全过程应给予识别和明确的定义。各项资产或安全过程的管理者责任应经过审批，并以文件的形式具体记录该使命。授权级别应清楚定义并记录在案。 4. 信息处理设备的授权程序关于新的信息处理设备应建立管理授权程序，应合计以下控制措施：新设备应有适当的用户管理审批制度，对用户的使用目的和使用状况进行授权。同样应得到负责维护本地信息系统安全环境的经理的批准，以确保满足所有相关的安全方针和要求。如有必要，应检查硬件和软件，以确保与其他系统部件兼容〔注：关于有些连接，类型兼容也是必需的〕。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性，因此应经评估和授权。上述控制措施在联网的环境中尤为重要。 5. 信息安全专家建议许多组织可能必需要安全专家的建议，这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问。因此，建议组织专门指定一个人来协调组织中的知识和经验，以确保一致性，并帮助做出安全决议。同时他们还应和合适的外部顾问保持联系，以提供自身经验之外的专家建议。信息安全顾问或等同的联系人员的任务应该是使用他们自己的和外部的建议，为信息安全的所有方面提供咨询。他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性。为使其建议最大程度的发挥作用，他们应有权接触组织管理层的各个方面。假设怀疑出现安全事件或破坏，应及早的咨询信息安全顾问和相应的外部联系人员，以获得专业指导和调查资源。无论多数的内部安全调查通常是在管理层的控制下进行的，但仍可以邀请安全顾问给出建议，领导或实施调查。 6. 组织间的合作为确保在发生安全事故时能最快的采用适当措施和获得指导建议，各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系。同样也应合计成为安全组织和行业论坛的成员。安全信息的交流应该加以限制，以确保组织的秘密信息不会泄漏到未通过授权的人员手中。 7. 信息安全审核的独立性信息安全方针条例制定出了信息安全的方针和职能。实施状况的审核工作应该独立进行，来确保组织规范能够很好的反映安全方针，并且是可行的和有效的。审核工作应由组织内部的审核职能部门、独立经理人或精通于此种审核工作的第三方组织来实施，只要审核人员掌握了相应的技术和经验。 7.2.2 第三方访问安全管理 1. 第三方访问的风险鉴别 (1) 访问类型给予第三方访问的类型至关重要。比如，通过网络连接的访问风险与物理访问的风险有很大区别。必需要合计的访问类型有： a〕物理访问，如访问办公室，计算机房，文件柜等 b〕逻辑访问，如访问组织的数据库，信息系统等 (2) 访问原因授权第三方访问有假设干原因。例如，向组织提供服务却不在现场的第三方，就可以被授予物理和逻辑访问权，如： a〕硬件和软件支持人员，他们必需要有权访问系统级或低级的应用程序功能。 b〕贸易伙伴或合资伙伴，他们之间必需要交流信息，访问信息系统或共享数据库。假设没有充分的信息安全管理，同意第三方访问将给信息带来风险。因此，在业务上有与第三方接触的必需求时，则必需进行风险评估，以确定具体的控制措施的要求。还要合计所要进行的访问类型、信息的价值、第三方使用的控制措施和访问给组织信息的安全可能带来的后果。 (3) 现场承包方按照合同规定，可以在现场滞留一段时间的第三方也有可能带来安全隐患。现场第三方的例子有：-硬件和软件维护和支持人员 -清洁人员、送餐人员、保安和其他的外包支持服务人员 -同学和其他的短期临时工作人员 -顾问了解采用哪些控制措施来管理第三方对信息处理设备的访问是至关重要的。总的来说，在与第三方所签的合同中应反映出所有的由第三方访问导致的安全必需求或内部的控制措施。例如：假设对信息的保密性有特别要求的时候，就要采纳保密协议。只有在实施了适当的控制措施并签订了涵盖连接和访问条件的合同之后，第三方方可访问信息和信息处理设备。 2. 与第三方签约时的安全要求涉及到第三方访问本组织信息处理设备的安排应基于正式的合同。该合同应包括或提到安全要求，以确保遵守本组织安全方针和安全标准。合同应确保本组织和第三方之间没有误会。各个组织应确保供应商的可靠性。合同中应该合计如下条款： a)信息安全的总体方针； b)资产保护方面，包括： 1)保护组织资产〔包括信息和软件在内〕的程序； 2)确定资产是否受到危害的程序，如数据的丢失或窜改； 3)确保在合同截止时或合同执行期间某一双方同意的时间，归还或销毁信息的控制措施； 4)完整性和可用性； 5)对复制和泄漏信息的限制； c)对可用服务的描述； d)服务的目标级和服务的不可接受级； e)人员调整的规定； f)协约方各自的责任； g)法律方面的责任，如数据保护法规，如果合同涉及到其他国家的组织，还应特别合计不同国家法律体系的区别； h)知识产权和版权转让〔见控制措施遵从性〕与合作成果保护； i)访问控制协议，包括： 1)所同意的控制方法，对独特的标识符〔如用户ID，密码〕的控制和使用； 2)用户访问和特权的授权过程； 3)要求保有一份名单，用来记录被授权使用可用服务的用户，以及他们的使用权和特权； j)可验证的行为标准的定义、监督和汇报； k)监督和废除用户行为的权力； l)审核合同的责任，或是委任第三方来执行审核工作； m)建立解决问题的升级流程，在适当状况下，还要合计应急安排； n)软件和硬件安装和维护责任； o)清楚的汇报结构和业经认同的汇报形式； p)清楚、具体的变更管理流程； q)确保控制措施得以实施所必需的物理保护控制和机制； r)对用户和管理者在方法、流程和安全方面的培训； s)确保防范恶意软件的控制措施； t)汇报、通知和调查安全事故和安全破坏的安排； u)包括第三方和次承包商； 7.2.3 委外资源管理 1. 委外合同中的安全要求如果组织将其全部或部分信息系统、网络或桌面环境的管理和控制任务委托给其他组织，委外的安全要求应在合同中加以规定并要争得双方的同意。例如：合同中应规定： a〕如何满足法律方面的要求，如数据保护法规； b〕做出哪些安排来确保涉及委外的各方，包括次分包商，能意识到各自的责任； c〕如何维护和监测组织的商业资产的完整性和保密性； d〕要采用哪些物理和逻辑上的控制措施来约束和限制业经授权的用户对商业信息的访问； e〕在发生灾难的状况下，如何维持服务的可用性； f〕对委外设备必需要提供何种程度的物理安全； g〕审核权。前面条款中的列表所给出的款项也应作为合同的一部分合计进去。在双方同意的安全管理计划中，此合同应当具体论述安全要求与流程。 7.3.1 资产责任 1. 资产清单资产清单有助于确保进行有效的资产保护，其它商业目的，如卫生和安全、保险或财务〔资产管理〕原因同样必需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织必需要识别其资产及这些资产的相对价值和重要性。基于这些信息，组织能够进而提供与资产

展开阅读全文