時間:2022-02-06 16:26:39
序論:在您撰寫信息安全管理時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
【關鍵詞】 信息安全 違規外聯 電力企業
一、前言
國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行,從職能部室到一線班組,電力企業所有的業務數據都依賴網絡進行流轉,電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計)等方面的防御,重要的安全設施大多集中于核心機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅已大大減少,尤其實行內外網隔離、雙網雙機后,來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛,管控難度大,加之現在無線上網卡、無線wifi和智能手機的興起,內網計算機接入互聯網的事件時有發生,一旦使用人員將內網計算機通過以上方式接入互聯網,即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故,給企業信息安全帶來重大的安全隱患和風險。
二、強化管理、落實責任,監培并進
1、將違規外聯明確寫入公司各項規章制度,并納入經濟責任考核。在《公司信息系統安全管理辦法》中,對杜絕違規外聯事件進行了明確的要求:所有內網計算機必須粘貼防止違規外聯提示卡,嚴禁將接入過互聯網未經處理的計算機接入內網,嚴禁在普通計算機上安裝雙網卡,嚴禁將智能設備(3G手機、無線網卡等)插入內網計算機USB端口,嚴禁在辦公區通過路由器連接外網,杜絕違規外聯行為。 一旦發生違規外聯事件,依據《企業信息化工作評級實施細則》,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核,并在全公司通報批評。將信息安全責任落實到人。
2、加大違規外聯宣貫和培訓力度。信息安全工作,重在預防,將一切安全事件消滅在萌芽狀態,才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓工作,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術人員,本部門技術人員培訓一線員工。通過分層式培訓,提高了培訓效果,同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質,強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工,實現全員重視、全員掌握,做到內網計算機“離座就鎖屏,下班就關機”的工作習慣。
3、加強外來工作人員管控。加強外來工作人員信息安全教育,并簽訂《第三方人員現場安全合同書》,嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控,防止因外來工作人員擅自操作造成違規外聯事件。
二、加強技術管控,從源頭杜絕安全事件的發生
2.1嚴格執行“雙網雙機”
嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機,需向本人核實該計算機之前網絡接入情況,對內外網絡接入方式有變化、或者是不清楚的情況,需對計算機進行硬盤格式化并重裝系統后方可接入網絡。
2.2安裝桌面終端,設置強口令,防止違規外聯
實時監控全公司內網終端桌面終端系統安裝率,確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略,一旦發生違規外聯,系統立即采取斷網措施,并對終端用戶進行警示。要求全部內網計算機設置開機強口令(數字+字母+特殊符號,且大于8位),防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。
2.3做好溫馨提示,明確內外網設備,防止違規外聯
做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡,無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識,防止員工誤接網絡。
2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定
加強IP地址綁定,從交換機端口對接入內網的計算機進行IP、MAC地址綁定,確保除本計算機外,其余計算機無法通過該端口接入內網。
通過外網審計(網康科技)對外網IP和用戶認證賬戶進行綁定,完善外網用戶和計算機基礎資料,做到全局外網終端和用戶可控。
一、前言
國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行,從職能部室到一線班組,電力企業所有的業務數據都依賴網絡進行流轉,電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計)等方面的防御,重要的安全設施大多集中于核心機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅已大大減少,尤其實行內外網隔離、雙網雙機后,來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛,管控難度大,加之現在無線上網卡、無線wifi和智能手機的興起,內網計算機接入互聯網的事件時有發生,一旦使用人員將內網計算機通過以上方式接入互聯網,即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故,給企業信息安全帶來重大的安全隱患和風險。
二、強化管理、落實責任,監培并進
1、將違規外聯明確寫入公司各項規章制度,并納入經濟責任考核。在《公司信息系統安全管理辦法》中,對杜絕違規外聯事件進行了明確的要求:所有內網計算機必須粘貼防止違規外聯提示卡,嚴禁將接入過互聯網未經處理的計算機接入內網,嚴禁在普通計算機上安裝雙網卡,嚴禁將智能設備(3G手機、無線網卡等)插入內網計算機USB端口,嚴禁在辦公區通過路由器連接外網,杜絕違規外聯行為。 一旦發生違規外聯事件,依據《企業信息化工作評級實施細則》,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核,并在全公司通報批評。將信息安全責任落實到人。
2、加大違規外聯宣貫和培訓力度。信息安全工作,重在預防,將一切安全事件消滅在萌芽狀態,才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓工作,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術人員,本部門技術人員培訓一線員工。通過分層式培訓,提高了培訓效果,同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質,強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工,實現全員重視、全員掌握,做到內網計算機“離座就鎖屏,下班就關機”的工作習慣。
3、加強外來工作人員管控。加強外來工作人員信息安全教育,并簽訂《第三方人員現場安全合同書》,嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控,防止因外來工作人員擅自操作造成違規外聯事件。
三、加強技術管控,從源頭杜絕安全事件的發生
2.1嚴格執行“雙網雙機”
嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機,需向本人核實該計算機之前網絡接入情況,對內外網絡接入方式有變化、或者是不清楚的情況,需對計算機進行硬盤格式化并重裝系統后方可接入網絡。
2.2安裝桌面終端,設置強口令,防止違規外聯
實時監控全公司內網終端桌面終端系統安裝率,確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略,一旦發生違規外聯,系統立即采取斷網措施,并對終端用戶進行警示。要求全部內網計算機設置開機強口令(數字+字母+特殊符號,且大于8位),防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。
2.3做好溫馨提示,明確內外網設備,防止違規外聯
做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡,無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識,防止員工誤接網絡。
2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定
加強IP地址綁定,從交換機端口對接入內網的計算機進行IP、MAC地址綁定,確保除本計算機外,其余計算機無法通過該端口接入內網。
通過外網審計(網康科技)對外網IP和用戶認證賬戶進行綁定,完善外網用戶和計算機基礎資料,做到全局外網終端和用戶可控。
四、信息安全前景:
在信息安全領域沒有絕對的安全防護技術和手段。隨著信息技術日新月異的發展,電力企業內網計算機違規外聯風險也在增加。在已有的管控手段的基礎上,還要及時關注新技術,不斷完善和調整制度管理和技術策略。信息安全是伴隨企業信息化應用發展而發展的永恒課題。
企業要想在市場當中生存并發展,不僅僅要提升企業競爭力,還需要時時刻刻關注企業的信息安全。現代市場競爭十分激烈,只有做好企業的信息安全管理,才能避免企業因為信息管理的疏漏造成相關的損失。
近十年來,企業的生產經營越來越離不開網絡,離不開計算機,企業的每一項活動都需要計算機與網絡的參與,企業的管理需要借助相關的計算機軟件,企業的銷售需要運用到電子商務,企業的倉儲管理需要數據庫系統的支持,在企業感受到計算機帶來生產經營便利的同時,企業也不得不重視由計算機網絡所帶來的信息安全問題。通過分析我國企業信息安全管理的相關資料,可以發現我國企業在信息安全管理上所做的努力顯然無法與西方企業相比,我國企業在信息安全管理這條路上還有很長的路要走。
我國企業在信息管理上起步較晚,同時受制于觀念,技術,人力等各個方面的因素,我國企業在信息安全管理上存在十分嚴重的漏洞。不僅如此,企業信息安全管理受到各方面的威脅,各類病毒層出不窮,釣魚軟件,木馬也防不勝防,我國企業信息安全管理所面臨的考驗十分嚴峻。企業的信息安全管理不僅僅是企業自身的事,企業是我國經濟發展最重要的角色,倘若我國企業在信息安全管理上存在漏洞,這也將直接影響我國的經濟發展,這并不是危言聳聽。
因此,加強我國企業信息安全管理勢在必行,必須采取有效的舉措提升我國企業信息安全管理水平。開展我國企業信息安全管理工作不僅僅需要政府的支持,企業自身也應當充分認識到企業信息安全管理對于企業自身的重要性,企業信息安全管理并不是一件小事,理應得到足夠的重視。下面本文將首先介紹影響我國企業信息安全管理的幾點因素,結合各種影響我國企業信息安全的幾點因素展開探討,在此基礎上,分析我國企業在信息安全管理中常用的手段,并通過借鑒國外優秀企業在信息安全管理的經驗,對更好地完善我國企業信息安全管理提出幾點意見與建議。
二、企業面臨的信息安全管理風險
1.企業內部管理缺陷
企業要想提升信息安全管理的水平,其中很重要的一個步驟在于完善企業的管理制度。企業的信息安全管理會受到許許多多的因數影響,但是做好企業信息安全管理的基礎在于提升企業的內部管理水平。企業內部管理的制度涉及到企業生產經營的方方面面,倘若企業在內部管理制度上存在缺陷,那么做好企業的信息安全管理也就無從談起了。常見的影響企業信息安全管理的制度缺陷有以下幾個方面。第一,企業對于企業內部信息安全管理的工作人員缺乏監督。企業信息安全管理必須建立在企業信息安全管理工作人員認知履行職責,規范操作的基礎上,倘若企業對于信息安全管理的工作人員缺乏監督,那么久很難保證企業整個信息安全管理系統的行之有效。第二,企業對于企業內部信息安全管理工作人員缺乏培訓,企業內部并沒有指定相關的信息安全管理規章制度。要想完善企業的信息安全管理,就必須做到對企業內部信息安全管理的每一個環節都一絲不茍,對每一個可能存在信息安全漏洞的地方都要嚴格管理,對每一項信息安全管理的工作步驟都做明確要求。要想確保企業內部信息安全管理系統的平穩運行,只有從規范企業內部信息安全管理的行為規范上著手。第三,企業內部信息安全管理系統投入不足。這一點在我國大型企業上并不存在,我國大型企業擁有足夠的資金,足夠的人力資本,足夠技術投入,相比較于我國中小型企業,在信息安全管理工作上具有較大的優勢。可是,我國大型企業畢竟是少數,我國中小企業的數量十分巨大,中小企業并沒有相應的資金,人員,技術投入,中小企業受制于現實條件,在信息安全管理系統上所做的工作嚴重不足,我國中小企業在信息安全上所面臨的風險十分巨大。
2.影響企業信息安全管理的外部因素
影響我國企業信息安全管理的外部因素有許多。常見的影響我國企業信息安全管理的外部因素包括病毒,木馬,釣魚網站等等。不論是誰出于怎么樣的目的破壞企業的信息安全,較為常見的手段也就是通過黑客攻擊企業的信息安全管理系統。我國企業在應對黑客的攻擊時往往處于較為被動的局面,一方面,黑客屬于主動攻擊,主動攻擊的前提在于對于企業的內部信息安全管理系統有著較為全面的了解,并且往往已經掌握了企業內部信息安全管理系統所存在的安全漏洞,另一方面,我國絕大多數企業在信息安全管理系統的投入有限,企業內部信息安全管理的工作人員在技術手段上與黑客比較并沒有優勢。即使企業內部信息安全管理的工作人員最終能夠戰勝黑客,但是,由于缺乏完善的信息安全手段,對企業內部重要的信息保護不足,黑客對企業的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性,因此,即使戰勝了黑客,但是黑客對企業信息安全的攻擊行為往往已經發生,企業必然會因此造成相應的損失,在現代企業經營管理信息化的背景下,這樣的攻擊行為對企業造成的損失往往是企業不能夠承擔的,很有可能影響一個企業最基本的生存。
三、完善企業信息安全管理的幾點建議
1.建立信息安全密碼
密碼技術近年來在應用中不斷成熟,越來越多企業開始將密碼技術應用到企業信息安全管理中去,這是一個十分正確的選擇。企業內部信息具有重要價值,密碼技術是企業信息安全最為關鍵的一道屏障。密碼的形式十分多樣,企業應當根據自身情況正確選擇密碼的形式,密碼技術是一項十分成熟的技術,應當得到更多的關注,并且將這項技術全面應用到企業內部信息安全管理當中去。企業內部信息得到密碼的保護,能夠在企業內部信息不慎泄露后得到最大化的保護,對于企業內部信息的密碼也應當嚴格保密,做好相關的密碼保護工作。
2.建立安全管理制度
企業信息安全管理制度的建立需要多方面的配合,同時,企業信息安全管理制度的建立是一項十分復雜的工作,必須在實踐的過程中不斷完善。建立企業內部信息安全管理制度是為了更加規范地保證企業內部信息的安全,也對企業內部信息安全管理人員的工作內容,工作步驟做了明確規定,這對于企業內部形成信息安全管理的長效機制具有重要價值。企業信息安全管理制度應當與企業的實際生產經營情況相結合,在盡可能不影響企業正常工作的前提下,對企業的信息安全作出明確規定。常見的規定包括定期組織企業內部信息安全管理工作人員進行信息安全的例行檢查;對企業內部信息安全管理人員的工作做到全面監督,有效反饋等等。
3.建立數據庫的備份與恢復機制
現如今,外界主動攻擊企業信息安全的事件越來越頻發,企業在被外界攻擊信息安全后所造成的損失往往無法挽回,同時這些信息對于企業具有十分重要的價值,倘若能夠及時恢復相關信息,能夠在很大程度上減小企業所遭受的損失,因此,建立一套基于數據庫信息備份與還原的信息安全管理機制十分重要。企業內部信息系統數據庫的備份,可以有效保障企業信息系統非法入侵后的系統恢復工作。備份是對數據庫內容保護最為穩定和容易的一種方法。當不穩定因素發生的時候,能夠保證企業網絡信息的正常運行。而恢復的理解,就是在不限定因素發展之后利用網絡技術的備份功能用來對數據庫內容進行重新恢復并正常使用的功能。
4.建立網絡安全預警系統
一般這種情況可以分為人為預警和病毒預警兩個方面。 在電腦中的重要位置安裝上網絡入侵監測體系,可以便于對電腦的技術和安全性在發展危害行為或改變。入侵監測體系還能通過設立在固定時間對制定要求的位置進行監督和控制,判斷哪些系統是具有危害性的,但是防火墻還不能夠準確判斷的系統。主要針對的是從企業內部管理出現漏洞后對自身安全系統的“侵略”行為。而病毒預警系統通常是采用對企業內部網絡的全部數據進行監督監控的行為,確保在一天每個時間段內都對數據包傳送掃描一旦發展病毒就要馬上進行危險信息提示,使得相關工作人員可以很快的通過定位查找的方法找到病毒的發出地。同時,在短時間內陸續產生通過快速掃描出來的網絡日志和調查報告,為企業專業人員查找病毒具體來源提供便利條件。
關鍵詞:信息安全管理;測評;要素;指標
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)27-6080-03
人類進入信息化社會,社會發展對信息化的依賴程度越來越大,一方面信息化成果已成為社會的重要資源,在政治、經濟、國防、教育、科技、生活等發面發揮著重要的作用,另一方面由于信息技術的迅猛發展而帶來的信息安全事件、事故層出不窮,信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程,其包括關鍵基礎設施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網絡安全、人員安全等。組織要實現信息安全目標,就必須建立一套行之有效信息安全管理與技術有機結合的安全防范體系。信息安全管理包括制定信息安全策略(包括計劃、程序、流程與記錄等)、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1],強調了測量對組織管理的重要意義,信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量,根據測量的結果對組織信息安全管理情況進行評價并進一步指導信息安全管理,提高信息安全管理能力和水平,目前已經成為信息安全領域的一個研究熱點[2]。
信息安全管理測評是組織圍繞信息化持續發展與信息安全保障的現狀和未來綜合能力的反映,不僅是對過去和現在的能力展現,而且為未來發展提供保障和動力。在我國,目前關于信息安全管理測評研究剛處于起步階段,還沒有一套可供使用的信息安全測評體系標準、方法等。因此,開展信息安全管理測評研究,對組織信息化建設既具有重要的現實意義也具有長遠的持續發展意義。
1 信息安全管理測評發展綜述與需求
關于信息安全測評,美國早在2002年通過的《聯邦信息安全管理法案》中就要求各機構每年必須對其信息安全實踐進行獨立測評,以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試,其頻率視風險情況而定,但不能少于每年一次。在獨立評價的基礎上,聯邦管理與預算局應向國會上報評價匯總結果;而聯邦審計署則需要周期性地評價并向國會匯報各機構信息安全策略和實踐的有效性以及相關要求的執行情況。
2003年7月,美國國家標準與技術研究所(National Institute of Standards and Technology,NIST)了NIST SP 800-55《信息技術系統安全測量指南》,其包括以下內容[3]:
1) 角色和職責:介紹發展和執行信息安全測量的主要任務和職責。
2) 信息安全測量背景:介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。
3) 測量發展和執行過程:介紹用于信息安全測量發展的方法。
4) 測量項目執行:討論可以影響安全測量項目的技術執行的各種因素。
5) 以附件的形式給出的16種測量的模板。
2004年11月17日,美國的企業信息安全工作組(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4],2005年國際標準化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems,ISMS)的系列標準——ISO27000系列。2005年1月10日又了修訂版,并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27,該文檔是根據CISWG的最佳實踐和測量小組的報告改編。
2005年8月31日,美國國際系統安全工程協會(International System Security Engineering Association,ISSEA)針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測量的貢獻背景)和“ISSEA Metrics”[6](ISSEA測量)兩個貢獻文檔。
2009年國際標準化組織(ISO)了ISO/IEC 27004:2009(信息技術一安全技術一信息安全管理測量)標準,為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。
信息安全管理體系是信息安全保障體系的重要組成部分。近年來,隨著組織對信息安全保障工作重視程度的日益增強,不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產,但是體系建立起來了,不少管理者都對ISMS的運行效果極其控制措施的有效性,持懷疑的態度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進行科學的評價,進一步提升ISMS的執行力。該文研究的信息安全管理測評將為確定ISMS的實現目標,衡量ISMS執行的效力和效率提供一些思想、方法,其結果具有客觀的可比性,還可以作為信息安全風險管理、安全投入優化和安全實現變更的客觀依據,有助于降低安全風險,減少安全事件的概率和影響,改進安全控制和管理過程的效率或降低其成本。
2 信息安全管理測評研究內容
信息安全管理測評是信息安全管理體系的重要部分,是信息安全管理測量與評價的綜合。信息安全管理測量的結果是信息安全績效評價的依據。信息安全管理測量比較具體,信息安全管理評價則通過具體來反映宏觀。
2.1 信息安全管理測評要素及其框架
信息安全管理測評要素包括:測評實體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等,其框架如圖3.1信息安全測評框架所示,包括:基于什么樣的需求來測評(即測評需求),對什么進行測評(即實體及其屬性),用什么指標體系來測評(包括測評制式、測評變量和測評尺度),用什么方法來測評(即測評方法),用什么函數來計算測評結果(即測評函數),用什么模型來分析測評結果(即分析模型),用什么方式來使分析結果能夠輔助決策(即指示器)等問題。
信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業務目標,與相關利益者的利益訴求密切相關。指示器的生成和分析模型的選擇是以信息需求為導向的。
決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出,或作為統計控制限度或統計信心限度計算出來。
可測評概念是實體屬性與信息需求之間的抽象關系,體現將可測評屬性關聯到信息需求以及如何關聯的思想。可測評概念的例子有生產力、質量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象,例如,過程、產品、系統、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中,一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項(信息安全管理測評要素)。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區分的一個實體的某一特性或特征。一個實體可能有多個屬性,其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性(信息安全管理測評指標)。
測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作,可以有多種測評方法。基礎測評是依照屬性和定量方法而定義的測評方法,是用來直接測評某一屬性的,是根據屬性和量化他的方法來定義,他捕獲單獨屬性的信息,其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評,是根據屬性之間的關系來定義,他捕獲多個屬性或多個實體的相同屬性的信息,其功能依賴于基礎測評的,是兩個或更多基礎測評值得函數。
測評尺度是一組連續或離散的數字量值(如小數/百分比/自然數等)或離散的可數量值(如高/中/低/等)。測評尺度是規范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。
測評尺度根據尺度上量值之間關系的性質分為四種類型:
名義(Nominal) :測評值是直呼其名。
序數(Ordinal) :測評值是有等級的。
間隔(Interval) :測評值是等距離的,對應于屬性的等量,不可能是零值。
比率(Ratio) :測評值是等距離的,對應于屬性的等量,無該屬性為零值。
測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準,以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。
測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析模型的選擇。
測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執行頻率。測評計劃應按規定的頻度定期地或在必要的時候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的成本之間的折中,可以是每周、每月、每季度或每年等。不定期執行的必要時候包括ISMS初始規劃和實施以及ISMS本身或運行環境發生重大變化。
2.2 信息安全管理測評量表體系
任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎,是對指定屬性的評價,這些屬性與測評需求方的信息保障需求相關聯,對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準,其從信息安全方針、信息安全組織、法律法規符合性等11個方面,提出了133個控制措施供使用者在信息安全管理過程中選擇適當的控制措施來加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中,通常以控制措施的實施情況作為指標,建立預選指標集,通過對預選指標集的分析,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。
3 信息安全管理測評方法探討
測評方法通常影響到用于給定屬性的測評尺度類型。例如,主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而,每一個屬性和測評方法的獨特結合產生一個不同的基礎測評。測評方法可能采用多種方式實現。測評規程描述給定機構背景下測評方法的特定實現。
測評方法根據量化屬性的操作性質分為兩種類型:
主觀:含有人為判斷的量化。
客觀:基于數字規則(如計數)的量化。這些規則可能通過人或自動手段來實現。
測評方法的可能例子有:調查觀察、問卷、知識評估、視察、再執行、系統咨詢、測試(相關技術有設計測試和操作有效性測試等)、統計(相關技術有描述統計、假設檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統計過程控制(SPC, statistical Process control) 圖和時序分析等)。
4 結束語
當前,信息安全領域的測評研究多側重于對技術產品、系統性能等方面的測評,其中信息安全風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息安全狀況;信息安全審計則只是對信息安全相關行為和活動提供相關證據;而信息安全管理評審則是符合性審核,他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此,非常有必要對信息安全管理的有效性進行測評,這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執行情況,為管理者決策提供依據,也能為組織信息安全管理過程的持續改進提供足夠的幫助,達到更好地管理信息安全的最終目的。
參考文獻:
[1] 閆世杰,閔樂泉,趙戰生.信息安全管理測量研究[J].信息安全與通信保密,2009,5:53.
[2] 朱英菊,陳長松.信息安全管理有效性的測量[J].信息網絡安全,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics , Adapted from the report of the Best Practices and Metrics Teams , Corporate Information Security Working Group ( CISWG ) , 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl),2005-08-31
關鍵詞:企業;信息;安全管理
中圖分類號:U283.4 文獻標識碼:A
企業信息安全管理是運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的薄弱點,提出有針對性的抵御威脅的防護對策和控制措施,這是企業推進信息化進程和促進生產經營管理的重要內容,是保障企業信息系統正常運行、高效應用和健康發展的前提條件。
1我國企業信息安全管理存在的問題
1.1缺少企業信息安全的法規和規范。企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,即便現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。
1.2存在物理安全風險。物理安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。風險的來源有:水災、火災、雷擊等自然災害,人為的破壞或誤操作外界的電磁干擾,設備固有的弱點或缺陷等。物理安全的威脅可以直接造成設備的損壞、系統和網絡的不可用、數據的直接損壞或丟失等。
1.3信息外泄現象時有發生。進入信息化時代后,企業的諸多資料都由原先的紙介質變成了電子文檔。電子文檔的特點就是復制十分容易,許多跳槽的員工和競爭對手都會將這些資料通過各種手段帶離企業。而且,在企業信息管理系統中,大量購、銷、存等業務、財務數據、文檔及客戶資料,以存儲介質形式存在于計算機中,由于電磁輻射或數據可訪問性等弱點,受到人為和非人為因素的破壞。數據一旦遭到破壞,將會嚴重影響企業日常業務的正常運作。因此,保證數據的安全,就是保證企業的安全。
1.4缺少安全管理制度和責任性。目前企業的安全解決方案,基本上只是一個安全產品方案,這使人們誤以為企業的信息安全只是信息技術部門的工作和責任,與其他人員不直接相關.但是一個企業的信息系統是企業全體人員參與的,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素.
2加強我國企業信息安全管理的幾點建議
2.1全面提高職工的信息安全知識素質,加強安全文化建設,提升防患水平,防微杜漸。對于信息安全工作的開展,不是系統管理部門的事,也不是系統使用部門的事,而是全體員工的事,必須要提高全體員工的信息安全意識。通過培訓和考核等措施,提高員工對公司信息安全的認識,讓信息安全成為業務開展的一部分,才能有效提高公司整體信息安全水平,也是信息安全工作得到有效的支持和推進。在此基礎上,要建立適應21世紀知識經濟時代的企業信息安全文化,只有加強安全文化建設,才能適應知識經濟時代的發展。
2.2完善企業信息安全管理制度。首先,數據安全管理制度,即確保數據存儲介質(設備)的安全;定時進行數據備份,備份數據必須異地存放;對數據的操作需經主管部門的審批、同意方可進行;數據的清除、整理工作需兩人或兩人以上在場,并由相關部門進行監督、記錄。第二,準入管理制度。準入管理又稱密碼、權限管理,通過準入系統可以判斷請求登錄的用戶是否是合法的、值得信任的。一個安全的準入系統則需要收集請求登錄者的以下信息:一是請求方式。當同一網段在單位時間內多次請求登錄或多次登錄用戶、密碼錯誤者,就應在一定時間內封閉其所在網段的請求,并發出報警信號。二是系統安全驗證,即對登錄用戶的操作系統進行安全證,并提示登錄用戶進行一系列的修復操作。三是檢測設備自身數據是否被修改或篡改,并對登錄戶相應的操作進行記錄備案。
2.3采取傳統的信息安全防范策略。物理安全策略:包括環境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等;網絡安全策略:包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等;數據加密策略:包括加密算法、適用范圍、密鑰交換和管理等;數據備份策略:包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等;身份認證及授權策略:包括認證及授權機制、方式、審計記錄等;災難恢復策略:包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等;事故處理、緊急響應策略:包括響應小組、聯系方式、事故處理計劃、控制過程等。
2.4實施、檢查和改進信息安全管理體制。企業應按照規劃階段編制安全管理體系文件的控制要求來實施活動,主要實施和運行ISMS方針、控制措施、過程和程序,包括安全策略、所選擇的安全措施或控制、安全意識和培訓程序等。在實施期間,企業應及時檢查發現規劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。信息安全實施過程的效果如何,需要通過監視、審計、復查、評估等手段來進行檢查,檢查的依據就是計劃階段建立的安全策略、目標、程序,以及標準、法律法規和實踐經驗,檢查的結果是進一步采取措施的依據。
2.5加強信息安全監控,保障信息系統安全運行。在信息安全監控、信息安全配置和系統訪問控制方面,信息管理部門借助先進成熟的信息技術,充分挖掘和利用現有資源功能潛力,進一步提升企業信息系統的安全防范能力。例如,加強信息系統監控管理和風險評估,優化信息系統安全架構,開展入侵檢測分析防范、核心網絡冗余和服務器架構調整等工作,確保公司信息系統安全穩定運行。統一企業桌面安全管理體系,建立網絡運維管理系統,加強接入層管理、桌面安全管理和安全監控管理,有效保障聯網計算機的安全運行。優化企業內外網連接架構和訪問控制策略,增加網絡出口流量監控環節,使有限的網絡帶寬資源得到合理分配和充分利用。針對因特網瀏覽用戶違規現象較多,造成非授權用戶占用大量網絡資源的問題,加強用戶訪問監控,嚴肅處理違規用戶,加強保密教育,促進用戶規范使用信息系統。
2.6構建信息安全管理團隊。信息安全管理團隊是由決策者、管理者以及計算機、信息、通訊、安全和網絡技術等方面的專家為提升企業信息安全管理水平而組建的團隊。信息安全管理團隊是企業信息安全管理的直接管理者,其管理能力、技術能力的高低會直接影響到企業信息安全管理的效率。因此必須增加對企業內部信息安全管理人員、技術人員的定期培訓,同時與外部專業技術企業建立長期有效的外部技術支持網絡,才能對企業信息安全事件做出及時、快速、準確的響應,確定并及時排除突發事件,使企業的風險和損失最小化,最終形成一套有效的一體化管理體系,給企業帶來更大的管理效益與管理效率的提升。
綜上所述,隨著網絡普及和企業信息化業務的不斷拓展,信息成為一種重要的戰略資源,信息安全保障能力成為一個企業綜合能力的重要組成部分。因此,要提高企業信息安全管理的效率,為企業決策提供信息支持,確保企業信息數據安全、可靠、真實,為企業發展和經營管理提供有力保障。
參考文獻
關鍵詞:石油企業;信息安全;管理手段
0引言
隨著信息化建設進程飛速發展,作為信息載體的計算機、互聯網已在企業生產、經營管理各個層面得到廣泛應用。計算機網絡的開放性、靈活性和廣泛性在全面數字化的今天給經營管理帶來了便捷、高效、有序的工作環境,同時也帶來了較大的安全管理隱患。黑客的出現、安全漏洞的增多、管理的交叉混亂、惡意的網絡攻擊使網絡安全管理遭受了較大的沖擊,成為信息化健康發展的絆腳石。網絡信息管理疏于安全的防范將危及到企業生產經濟的有序發展。石油企業在國民經濟中發揮著重要作用,任何風險都可能導致國家經濟受到重大影響。因此,提高石油企業信息安全意識,加強信息管理應以保瘴服務和應用為目標,強化安全意識、制定周密的安全手段從而構建完善的信息安全管理體系。
1加強企業信息管理的必要性
1.1企業信息管理概念
企業信息管理是通過現代化的信息技術和設備,以網絡技術和網絡設備實現企業管理的自動化,進而對企業進行全方位和多角度的管理,以此來促進企業生產、經營管理的優化配置,進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平,增強企業的核心競爭力。企業信息管理的主要內容,一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向,以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時,企業的信息管理也應當包括企業內部的信息資源,如財務管理信息、物資庫存、鉆井施工、職工檔案管理等多方面的內容,并且促進企業的全面發展。
1.2企業信息安全管理的必要性
企業信息的存在方式有著多樣性,而進行企業安全信息管理的主要目的,在于保護企業的信息安全,保證企業能夠順利的參與到市場經濟活動中,進而提高企業的經濟效益和社會效益,構筑起信息安全管理系統的保密性、完整性、可用性、可維護性、可驗證性的目標,使企業安全信息管理能夠通過有效的控制措施來實現。第一,企業管理的信息具有很強的保密性和完整性的特點,因此其對于企業的生產勢力、科技含量、資金流動、企業的綜合競爭力等多方面都有著重要的影響,同時對于企業的商業形象與合法經營也至關重要,因此加強企業信息安全管理是必要的。第二,由于網絡自身所具有的開放性特性,決定了企業信息管理也面臨著來自各方面的安全威脅,比如計算機病毒、黑客等,以及計算機詐騙、泄密等問題,也說明了加強企業信息安全管理勢在必行。第三,企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱,公共網絡與私人網絡的連接增強了信息的控制難度,使得信息在分散化的管理模式下,集中、專業控制的有效性大大減弱。另外,由于很多信息管理系統設計的缺陷,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度。基于此,對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。
2加強企業信息管理安全的防范措施
2.1不斷完善信息管理系統
隨著企業信息化的發展,目前應用的管理系統有PKI、郵箱、AD域、普OA、合同系統、A6、ERP、網絡、操作系統、A7、檔案系統、物采系統、OSC、視頻會議、企業微信、門戶網站、寶石花、數字營房、會議保障、E2、一體化、RTX、移動應用、短信平臺。信息系統的連續穩定運行越來越重要,一旦系統中斷,將會給企業的生產經營管理帶來混亂,而數據一旦丟失,后果是不可估量的。為此,信息管理系統的投入和使用,是建立在充分的實踐經驗的基礎上,通過一段時間的運行和觀察,才能夠投入使用。在不同的部門進行信息系統的引入時,應當按照部門的實際情況,通過多方引進,使用統一的信息管理系統。對于信息安全來說,首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權限,這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問,保證信息不會被盜用。同時,為保證信息系統的連續穩定運行,應采用雙機服務器和從服務器。一旦發生服務器故障,由從服務器自動接替主服務器工作。
2.2有效的設備管理
設備安全主要涉及到由于自然災害、人為因素造成的數據丟失。信息安全應建設完善的容災備份系統,容災備份系統一般由兩個數據中心構成,主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。同時,對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄,通過這些記錄,定期對設備進行維護,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況,對于設備的損壞或者是丟失情況都能夠及時地了解。
2.3加強對人員的監督與管理
企業信息安全不單純是技術問題,而是一個綜合性的問題。其中最重要的因素是人,人是設備的主要操作者,因此對于信息的安全管理,就需要加強對人的管理,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關的培訓,對于唯一的用戶名和密碼等信息要進行妥善保管,同時讓操作人員認識到泄密會導致的嚴重后果,增強責任意識。只有通過不斷地學習及意識的培養,管理人員才能養成定期維護、按時打補丁、及時更新的操作習慣,以不變應萬變的態度應對各種網絡攻擊手段。通過不斷的加強過程管理,通過對每個細節的嚴密審查,能夠有效減少人為出錯的現象,同時通過科學的評價機制和激勵機制,刺激人員工作的積極性,加強自身的責任意識。
2.4網絡傳輸安全
關鍵詞:信息安全;管理體系;ISMS
中圖分類號:TP315 文獻標識碼:A 文章編號:1009-8631(2010)05-0171-02
一、概述
當前,信息資源的開發和利用,已成為信息化建設的核心。信息作為一種重要的資產,已成為大家的共識。其一旦損毀、丟失、或被不失當地曝光。將會給組織帶來一系列損失。這些損失是我們不愿意面對的。因此信息安全越來越成為大家關注的熱點問題。前國家科技部部長徐冠華曾經指出:“沒有信息安全保障的信息工程一定是豆腐渣工程”。
所謂信息安全,是針對技術和管理來說的,為信息處理體統提供安全保護,保護計算機軟硬件及信息內容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏。信息安全包括實體安全、運行安全、信息(針對信息內容)安全和管理安全四個方面:
1)實體安全是指保護計算機設備、網絡設施以及其他通信與存儲介質免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施、過程。
2)運行安全是指為保障系統功能的安全實現。提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急措施)來保護信息處理過程的安全。
3)信息安全是指防止信息資源的非授權泄漏、更改、破壞,或使信息被非法系統辨別、控制和否認。即確保信息的完整性、機密性、可用性和可控性。
4)管理安全是指通過信息安全相關的法律法令和規章制度以及安全管理手段,確保系統安全生存和運營。
信息安全是一個多層面、多因素、綜合和動態的過程。安全措施必須滲透到所有的環節。才能獲得全面的保護。為了防范和減少風險,一般的信息系統都部署了基本的防御和檢測體系,如防火墻、防病毒軟件、入侵檢測系統、漏洞掃描設備等等。這些安全技術和安全設備及軟件的應用,在很大程度上提高了信息系統的安全性。但是這樣做不能從根本上降低安全風險。解決安全問題。因為不能把信息安全問題僅僅當做是技術問題,日常所說的防范黑客入侵和病毒感染只能是信息安全問題的一個方面。一方面由于所有安全產品的功能都是針對某一類問題,并不能應用到所有問題上,所以說它們的功能相對比較狹窄,因此想通過設置安全產品來徹底解決信息安全問題是不可能的;另一方面,信息安全問題并不是固定的、靜態的,它會隨著信息系統和操作流程的改變而變化。而設置安全產品則是一種靜態的解決辦法。一般情況下,當產品安裝和配置一段時期后,舊的問題解決了。新的安全問題就會產生,安全產品無法進行動態調整來適應安全問題的變化。有效解決上述問題的關鍵是搭建一個信息安全體系。建設體系化管理手段,通過安全產品的輔助,從而保障信息系統的安全。
二、搭建信息安全管理體系
(一)BS7799
信息安全管理體系是安全管理和安全控制的有效結合體,通過分析信息安全各個環節的實際需求情況和風險情況,建立科學合理的安全控制措施,并且同信息系統審計相結合,從而保證信息資產的安全性、完整性和可用性。國際上制定的信息安全管理標準主要有:英國標準協會制定的信息安全管理體系標準-BS7799;國際信息系統審計與控制協會制定的信息和相關技術控制目標-COBIT;是目前國際上通用的信息系統審計標準;英國政府的中央計算機和通信機構提出的一套IT服務管理標準-ITIL;國際標準化組織(IS01和國際電工委員會(IEC)所制定信息安全管理標準-IS0/IECl335。其中BS7799英國的工業、政府和商業共同需求而發展的一個標準,于1995年2月制定的、世界上第一個信息安全管理體系標準。經過不斷的修訂,目前已經成為信息安全管理領域的權威標準。其兩個組成部分目前已分別成為IS017799和IS027001標準。BST799涵蓋了安全所應涉及的方方面面,全面而不失操作性,提供了一個可持續發展提高的信息安全管理環境。在該標準中,信息安全已經不只是人們傳統上所講的安全,而是成為一種系統化和全局化的觀念。和以往的安全體系相比,該標準提出的信息安全管理體系(SMS)具有系統化、程序化和文檔化的管理特點。
(二)息安全管理體系(ISMs)
信息安全管理體系(LSMS)是組織整體管理體系的一個重要組成部分,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業務風險的分析和認識,ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動。IS027001是建立和維護信息安全管理體系的準繩,它一般是要求通過確定的過程來建立ISMS框架:確定體系范圍,制定信息安全策略,明確管理職責,通過風險評估確定控制目標和控制方式。整個體系一旦建立起來,組織就必須實施、維護和不斷改進ISMS,保持整個體系運作的有效性。
(三)ISMS搭建步驟
當一個組織建立和管理信息安全體系時。BS7799提供了指導性的建議,即遵循PDCA(Plan,Check和Act)的持續改進的管理模式。PDCA循環實際上是有效進行任何一項工作的合乎邏輯的工作程序。對于搭建和管理信息安全體系,其PDCA過程如下:
1)信息安全體系(PLAN)
在PLAN階段通過風險評估來了解安全需求,根據需求設計解決方案。根據BS7799-2。搭建ISMS一般有如下步驟:
A、定義安全方針:信息安全方針是組織的信息安全委員會制定的高層文件,用于指導組織如何對資產,包括敏感信息進行管理、保護和分配的規則和指示。
B、定義1SMS的范圍:ISMS的范圍是需要重點進行信息安全管理的領域,組織可根據自己的實際情況。在整個組織范圍內、或者在個別部門或領域架構ISMS。
C、實施風險評估:首先對ISMS范圍內的信息資產進行鑒定或估計,然后對信息資產面對的各種威脅和脆弱性進行評估,同時對已存在的或規劃的安全控制措施進行鑒定。
D、風險管理:根據風險評估與現狀調查的結果。確定安全需求,決定如何對信息資產實施保護及保護到何種程度限(如接受風險、避免風險、轉移風險或降低風險)。
E、選擇控制目標和控制措施:根據風險評估和風險管理的結果,選擇合適的控制目標和控制措施來滿足特定的安全需求。可以從BS7799-1的中進行選擇,也可以應選擇一些其它適宜的控制方式。
F、準備適用性申明(SOA):SOA是適合組織需要的控制目標和控制的評論,記錄組織內相關的風險控制目標和針對每種風險所采取的各種控制措施。
2)實施信息安全體系(D01
在DO階段將解決方案付諸實現,實施組織所選擇的控制目標與控制措施。
3)檢查信息安全體系(cHECK)
在CH ECK階段進行有關方針、程序、標準與法律法規的符合性檢查,對存在的問題采取措施,予以改進,以保證控制措施的有效運行。在此過程中,要根據風險評估的對象及范圍的變化情況。以及時調整或完善控制措施。常見的檢查措施有:日常檢查、從其他處學習、內部ISMS審核、管理評審、趨勢分析等。
4)改進信息安全體系(ACT)
在ACT階段對ISMS進行評價。以檢查階段發現的問題為基礎,尋求改進的機會,采取相應的措施進行調整與改進。
