公司信息安全管理bs99模版.doc

1、 信息安全管理ＢS７799 　 简介：ＢS77９9覆盖了1０大管理领域,为了全面介绍这十个方面的内容，从本期起，我刊将连续刊载信息安全管理BS７799十大领域方面的文章。我们将结合实际的应用案例，系统地阐述十大领域的知识，并给出具体的应用指导方案。敬请关注。ﻫ 　 2０04年春节后上班的第一天,某集团公司北京信息中心的网络管理员,打开了节日期间关闭的邮件服务器，刚上班的员工们都忙着下载和浏览积压的邮件,他们没有想到一场灾难正慢慢逼近：由于刚打开的邮件服务器的防病毒软件没有即时更新病毒库,邮件中夹带的病毒迅速泛滥，很快就使网络及服务器无法正常工作。ﻫﻫ 　信息中心主任带领手下5、６

2、名管理员进行了为期一周的杀毒拉锯战,最终还是成为了病毒的手下败将,在没有办法的情况下，只好把所有的服务器格式化,重新安装服务器操作系统与应用软件。信息中心主任感慨地说“要是早制定了即时更新的防病毒策略，并严格遵守,就不会吃这么大的苦头了……”ﻫﻫ 　这位信息中心主任所说的防病毒策略就是信息安全政策的一种。安全政策的制定与正确实施对组织的安全有着非常重要的作用,不仅能促进全体员工参与到保障组织信息安全的行动中来,而且能有效地降低由于人为因素所造成的对安全的损害。ﻫ 　 BS77９9覆盖了10大管理领域,提供了36个管理目标,12７种安全控制指南供用户选择和使用。如表一所示： ﻫﻫﻫ在所有这些

3、领域中，信息安全政策是ＢＳ779９中最重要的控制目标。 ﻫ 什么是信息安全政策？ﻫ 　信息安全政策从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担什么样的责任,详细描述对员工的安全意识与技能要求，列出被组织禁止的行为。 ﻫ　　BS7799明确提出:管理层应当提出一套清晰的政策来指导信息安全实践,并且通过在组织内发布和维护信息安全政策来表明对信息安全的支持和承诺。 ﻫ 　ＢS７799标准中的英文“Policy”一词可以有两种解释：

4、一个是信息安全方针,另一个是具体的信息安全策略。 ﻫ　 所谓信息安全方针,就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准,采用适当的方法将方针传达给每一个员工。ﻫ 　 具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果而制定的明确具体管理风险的信息安全实施规则。表二列出了有关ＢS7７99控制与信息安全策略的对应关系。ﻫ ﻫ　　安全政策的内容与格式 ﻫ　 信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而

5、在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚，能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任，强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。 　 安全方针属于高层管理文件，简要陈述信息安全宏观需求及管理承诺，应该篇幅短小，内容明确。信息安全方针应当简明、扼要，便于理解，至少应包括以下内容：ﻫﻫ ◆信息安全的定义，总体目标、范

6、围,安全对信息共享的重要性。 ﻫ　　◆管理层意图、支持目标和信息安全原则的阐述。ﻫﻫ 　◆信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性。ﻫ 　◆信息安全管理的一般和具体责任定义,包括报告安全事故。ﻫﻫ 　信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础。安全策略的内容包括： 目标：建立信息系统安全的总体目标，定义信息安全的管理结构和提出对组织成员的安全要求。信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全策略中有明

7、确和积极的反映。信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。 范围：信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下，安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外，还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。 　　策略内容：根据ＢSS7799中定义,对信息安全策略的描述应该集中在三个方面：机密性、完整性和可用性。这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户、或非授权方式不能访问。完整性就

8、是保证信息必须是完整无缺的，信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。ﻫ 　　根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标。例如，组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。ﻫﻫ　 角色责任:信息安全策略除了要建立安全程序及程序管理职责外，还需要在组织中定义

9、各种角色并分配责任,明确要求。比如：部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。ﻫ 　　在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。例如，要明确规定谁应该负责批准新系统所使用的安全措施,是相关业务部门的负责人，还是内部专职信息系统人员。如果可能的话，还应该由安全程序的负责人签署授权书。 ﻫ 执行纪律:没有一个正式的、文件化的安全策略，管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。 ﻫ　　对于严重安全

10、事件，例如:盗窃、内部破坏、密谋犯罪等行为，要执行开除、起诉等惩戒措施；对于一般安全事件，例如：使用盗版软件,要执行相应的处罚条款。ﻫ 　 还要考虑到有时员工违反安全策略并非是有意的，比如，由于缺乏必要的知识或训练，员工可能会有违规行为;有时也可能是对安全策略缺乏必要的了解造成的。对于这种情况，信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。 ﻫ　　专业术语：对于信息安全策略中涉及的专业术语作必要的描述，使组织成员对策略的了解不会产生歧义。 ﻫ 　版本历史:对策略版本在各个阶段的修订情况作出说明ﻫ 信息安全政策的制定过程ﻫﻫ 　　（1)理

11、解组织业务特征和企业文化ﻫ 　充分了解组织业务特征是设计信息安全政策的前提。 ﻫ （2）得到管理层的明确支持与承诺 要制定一个好的信息安全政策,必须与决策层进行有效沟通，并得到组织高层领导的支持与承诺。这有三个作用，一是制定的信息安全政策与组织的业务目标一致；二是制定的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;三是可以得到有效的资源保证。ﻫﻫ　 (３)组建一个安全政策制定小组 ﻫ　 安全政策制定小组应当由以下人员组成： ﻫ 　◆高级管理人员 ﻫ　　◆信息安全管理人员ﻫ 　 ◆负责安全政策执行的管理人员 　　◆熟悉法律事务的人员ﻫﻫ　 ◆用户部门的

12、人员ﻫ （4)确定信息安全整体目标ﻫﻫ 描述信息安全宏观需求和要达到的目标。一个典型的目标是:通过防止和最小化安全事故的影响,保证业务持续性，并最小化业务损失，为企业实现业务目标提供保障。 　　(5）确定信息管理体系的范围ﻫﻫ　　确定信息管理体系的范围后,组织需要根据自己的实际情况,可以在整个组织范围内、或者在个别部门或领域制定信息安全方针,因为范围不一样，方针的制定可能不一样。ﻫﻫ (6）风险评估与选择安全控制ﻫﻫ 　组织信息安全管理现状调查与风险评估工作是建立具体的信息安全策略的基础与关键，在安全体系建立的整个过程中,风险评估工作占了很大的比例，风险评估的工作质量直接影响安

13、全控制的合理选择和安全策略的完备制定。ﻫﻫ 　(７)起草拟订安全政策ﻫ 根据前面风险评估与选择安全控制的结果,起草拟订安全政策,安全政策要尽可能地涵盖所有的风险和控制，没有涉及的内容要说明原因。　 　（８）评估安全政策 　 安全政策被制订出来后,要进行充分的专家评估和用户测试,以评审安全政策的完备性、易用性，确定安全政策能否达到组织所需的安全目标。 　 (9)安全政策的实施ﻫ 　 安全政策通过测试评估后,需要由管理层正式批准实施。可以把安全方针与具体安全政策编制成组织信息安全政策手册,然后发布到组织中的每个员工与相关利益方,明确安全责任与义务。 ﻫ　　(10)政策的持续改进ﻫﻫ 安全政策制定实施后，并不能“高枕无忧”，组织要定期评审安全政策，并进行持续改进。