信息安全管理體系建設(shè)

1、佛山市南海天富科技有限公司信息安全管理體系建設(shè)咨詢服務(wù)項目編寫人員：黃世榮編寫日期：2015年12月7日項目縮寫：文檔版本：V1.0修改記錄:日期編寫人員版本備注 時間：2015年12月一、 信息化建設(shè)引言隨著我國中小企業(yè)信息化的普及，信息化給我國中小企業(yè)帶來積極影響的同時也帶來了信息安全方面的消極影響。一方面：信息化在中小企業(yè)的發(fā)展過程中，對節(jié)約企業(yè)成本和達到有效管理的起到了積極的推動作用。另一方面，伴隨著全球信息化和網(wǎng)絡(luò)化進程的發(fā)展，與此相關(guān)的信息安全問題也日趨嚴(yán)重。由于我國中小企業(yè)規(guī)模小、經(jīng)濟實力不足以及中小企業(yè)的領(lǐng)導(dǎo)者缺乏信息安全領(lǐng)域知識和意識，導(dǎo)致中小企業(yè)的信息安全面臨著較大的風(fēng)險，

2、我國中小企業(yè)信息化進程已經(jīng)步入普及階段，解決我國中小企業(yè)的信息安全問題已經(jīng)刻不容緩。通過制定和實施企業(yè)信息安全管理體系能夠規(guī)范企業(yè)員工的行為，保證各種技術(shù)手段的有效實施，從整體上統(tǒng)籌安排各種軟硬件，保證信息安全體系協(xié)同工作的高效、有序和經(jīng)濟性。信息安全管理體系不僅可以在信息安全事故發(fā)生后能夠及時采取有效的措施，防止信息安全事故帶來巨大的損失，而更重要的是信息安全管理體系能夠預(yù)防和避免大多數(shù)的信息安全事件的發(fā)生。信息安全管理就是對信息安全風(fēng)險進行識別、分析、采取措施將風(fēng)險降到可接受水平并維持該水平的過程。企業(yè)的信息安全管理不是一勞永逸的，由于新的威脅不斷出現(xiàn)，信息安全管理是一個相對的、 動態(tài)的過

3、程，企業(yè)能做到的就是要不斷改進自身的信息安全狀態(tài)，將信息安全風(fēng)險控制在企業(yè)可接受的范圍之內(nèi)，獲得企業(yè)現(xiàn)有條件下和資源能力范圍內(nèi)最大程度的安全。在信息安全管理領(lǐng)域，“三分技術(shù)，七分管理”的理念已經(jīng)被廣泛接受。結(jié)合ISO/IEC27001信息安全管理體系，提出一個適合我國中小企業(yè)的信息安全管理的模型，用以指導(dǎo)我國中小企業(yè)的信息安全實踐并不斷提高中小企業(yè)的安全管理能力。二、 ISO27001信息安全管理體系框架建立ISO27001信息安全管理體系框架的搭建必須按照適當(dāng)?shù)某绦騺磉M行（如下圖所示）。首先，各個組織應(yīng)該根據(jù)自身的狀況來搭建適合自身業(yè)務(wù)發(fā)展和信息安全需求的 ISO27001信息安全管理體系框

4、架，并在正常的業(yè)務(wù)開展過程中具體實施構(gòu)架的ISO27001信息安全管理體系。同時在信息安全管理體系的基礎(chǔ)上，建立各種與信息安全管理框架相一致的相關(guān)文檔、文件，并對其進行嚴(yán)格的管理。對在具體實施ISO27001信息安全管理體系過程中出現(xiàn)的各種信息安全事件和安全狀況進行嚴(yán)格的記錄，并建立嚴(yán)格的反饋流程和制度。（1）信息安全策略組織應(yīng)制定信息安全策略（Information Security Policy）以對組織的信息安全提供管理方向與支持。組織不僅要有一個總體的安全策略，而且，在總體策略的框架內(nèi)，根據(jù)風(fēng)險評估的結(jié)果，制定更加具體的安全方針，明確規(guī)定具體的控制規(guī)則，如“清理桌面和清楚屏幕策略”、“

5、訪問控制策略”等。（2）范圍組織要根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)對信息安全管理體系范圍（scope）進行界定。組織信息安全管理體系范圍包括以下項目：l 需保護的信息系統(tǒng)、資產(chǎn)、技術(shù)。l 實物場所（地理位置、部門）。（3）風(fēng)險評估組織需要選擇一個適合其安全要求的風(fēng)險評估和管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風(fēng)險及風(fēng)險等級；風(fēng)險評估的對象是組織的信息資產(chǎn)，評估考慮 的因素包括資產(chǎn)所受的威脅、薄弱點及威脅發(fā)生后對組織的影響。無論采用何種風(fēng)險評估工具方法，其最終評估結(jié)果應(yīng)是一致的。（4）風(fēng)險管理組織應(yīng)根據(jù)信息安全策略和所要求的安全程度，識別所要管理的風(fēng)險內(nèi)容。控制風(fēng)險包括識別所需的安

6、全措施，通過降低、避免、轉(zhuǎn)移將風(fēng)險降至可接受的水平。風(fēng)險隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。（5）控制目標(biāo)與控制方式的選擇風(fēng)險評估之后，組織應(yīng)從已有信息安全技術(shù)中選擇適當(dāng)?shù)目刂品椒?，包括額外的控制（組織新增加的和法律法規(guī)所要求的），降低已識別的風(fēng)險。（6）適用性聲明信息安全適用性聲明記錄了組織內(nèi)相關(guān)的風(fēng)險管制目標(biāo)和針對每種風(fēng)險所采取的控制措施。它的準(zhǔn)備，一方面是為了向組織內(nèi)的員工聲明對信息安全面對風(fēng)險的態(tài)度；另一方面也是為了向外界表明組織的態(tài)度和作為。三、 ISO27001信息安全管理體系實施方法ISO27001信息安全管理體系（Information Securi

7、ty Management System）作為組織完整的管理體系中的一個重要環(huán)節(jié)，構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。了解信息安全管理的方法，我們必須先明確企業(yè)或組織的信息安全需求。一般來說，企業(yè)的信息安全需求主要有三個來源，他們分別是法 律法規(guī)與合同條約的要求；組織的原則、目標(biāo)和規(guī)定；風(fēng)險評估的結(jié)果等。信息安全的成敗取決于兩個因素：技術(shù)和管理，人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性，我們可以把安全技術(shù)比作信息安全的構(gòu)筑材料，那么安全管理則是真正的粘合劑和催化劑?，F(xiàn)實世界里，大多數(shù)安全事件的發(fā)生和安

8、全隱患的存在，與 其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全不是產(chǎn)品的簡單堆 積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作這三種要素的緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程。信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動。首先應(yīng)該制定信息安全的策略方針，它是信息安全管理的導(dǎo)向和支持，在此基礎(chǔ)上選擇控制目標(biāo)與控制方式，企業(yè)和組織還需考慮控制成本與風(fēng)險平衡的原則，將風(fēng)險降低到組織可接受的水平，整個管理過程需要全員的參與，實施動態(tài)管理。實施安全管理，還應(yīng)遵循管理的一般模式PDCA模型

9、。PDCA模型，即Plan、Do、Check和Act，是一種持續(xù)改進的管理模式，見下圖所示。措施（Action）針對檢查結(jié)果采取應(yīng)對措施，改進安全狀況；計劃（Plan）根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自身需要來確定控制目標(biāo)與控制措施；實施（Do）實施所選的安全控制措施；檢查（Check）依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對安全措施的實施情況進行符合性檢查。PDCA模型是一種抽象的模型，它把相關(guān)的資源和活動抽象為過程進行管理，具有廣泛通用性。 PDCA是順序依次進行的，依靠組織的力量推動，周而復(fù)始，不斷循環(huán)，持續(xù)改進，組織中的每個部門和個人，在履行相關(guān)職責(zé)時，都是基于PDCA這個過程的

10、，組織的內(nèi)部管理，就構(gòu)成了大環(huán)套小環(huán)層層遞進的模式，每一次循環(huán)結(jié)束，都要對其進行總結(jié)，鞏固成績，改進不足，同時提出新的目標(biāo)，以便進入下一次更高 級的循環(huán)。ISO27000/ISO27001標(biāo)準(zhǔn)對于信息安全管理體系的定義如下圖所示：ISO27001信息安全管理可操作的一般過程和相應(yīng)的活動包括：1. 確定組織的信息安全目標(biāo)和戰(zhàn)略2. 開發(fā)信息安全策略3. 進行風(fēng)險評估（Risk Assessment），明確組織的信息安全需求，具體活動包括：1) 制定風(fēng)險評估計劃（明確范圍和責(zé)任，采集相關(guān)信息，描述目標(biāo)系統(tǒng)）；2) 識別并評價信息資產(chǎn)，理解資產(chǎn)的價值和敏感性；3) 識別并評估威脅，理解威脅發(fā)生的可能

11、性；4) 識別并評價弱點，理解弱點被利用的容易程度；5) 評估風(fēng)險，確定風(fēng)險等級；6) 評估并比較現(xiàn)有的安全措施（控制），找出目標(biāo)與現(xiàn)狀之間的差距；7) 根據(jù)已經(jīng)明確的需求來推薦安全措施。4. 進行風(fēng)險消減（Risk Mitigation），具體活動包括：1) 確定風(fēng)險消減策略，以便減少、規(guī)避、轉(zhuǎn)嫁或接受風(fēng)險；2) 選擇安全措施（控制）；3) 制定安全計劃，明確安全措施的構(gòu)建和實施方案；4) 實施安全計劃和策略；5) 對安全計劃和策略的實施結(jié)果進行測試和檢查。5. 進行風(fēng)險控制（Risk Control），具體包括：1) 信息系統(tǒng)的維護與操作；2) 安全意識、培訓(xùn)與教育；3) 對信息系統(tǒng)的運行

12、和安全措施的效力進行監(jiān)視；4) 事件響應(yīng)；5) 再評估與認(rèn)證。6. 配置管理（Configuration Management），確保系統(tǒng)發(fā)生的變化不會降低安全措施的效力和組織的整體安全。7. 變更管理（Change Management），當(dāng)信息系統(tǒng)發(fā)生變化時，識別新的安全需求。8. 應(yīng)急計劃（Contingency Planning），包括業(yè)務(wù)連續(xù)性計劃、災(zāi)難恢復(fù)計劃等。對應(yīng)PCDA模型，信息安全目標(biāo)與戰(zhàn)略的確定、信息安全策略開發(fā)以及風(fēng)險評估屬于計劃階段 （Plan），風(fēng)險消減屬于實施階段（Do），風(fēng)險控制、配置管理、變更管理、應(yīng)急計劃以及安全意識培訓(xùn)等活動都可以歸入到檢查（Check）和

13、措施 （Action）階段。我們所強調(diào)的信息安全管理模式，是由風(fēng)險驅(qū)動的信息安全管理模式，是對組織的信息安全風(fēng)險進行控制和指導(dǎo)的相互協(xié)調(diào)的活動，風(fēng)險管 理是其中的核心。四、 項目實施原則本項目要求以安全咨詢?yōu)榛A(chǔ)，重點進行安全規(guī)劃、安全管理體系細(xì)化和周期性安全服務(wù)為主。在服務(wù)過程中，應(yīng)遵循以下原則：Ø 標(biāo)準(zhǔn)性原則：方案的設(shè)計和實施應(yīng)依據(jù)國際標(biāo)準(zhǔn)ISO27001、數(shù)據(jù)敏感、保密、國家及行業(yè)相關(guān)標(biāo)準(zhǔn)進行；Ø 規(guī)范性原則：服務(wù)提供商的工作過程和所有文檔，應(yīng)具有很好的規(guī)范性，以便于項目的跟蹤和控制；Ø 可控性原則：在保證項目質(zhì)量的前提下，按計劃進度執(zhí)行，保證甲方對于項目的

14、可控性。信息安全調(diào)研的工具、方法和過程要在雙方認(rèn)可的范圍之內(nèi)合法進行；Ø 完整性原則：調(diào)研和規(guī)劃設(shè)計的范圍和內(nèi)容應(yīng)完整地覆蓋信息安全所涉及的技術(shù)和管理等各個層面，并對這種完整性進行說明或論證，實施對象也應(yīng)完整地覆蓋甲方信息系統(tǒng)的各個方面；Ø 合理性原則：信息安全規(guī)劃設(shè)計必須立足于甲方的現(xiàn)實情況，設(shè)計方法應(yīng)合乎邏輯，過程應(yīng)完備詳實，從而確保結(jié)論是可信服的；Ø 可操作性原則：在信息安全架構(gòu)設(shè)計中，應(yīng)根據(jù)信息安全要求提出相應(yīng)的解決方案，方案必須具體可行，易于實際操作；Ø 最小影響原則：調(diào)研工作應(yīng)避免影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對現(xiàn)正常運行的系統(tǒng)和網(wǎng)絡(luò)構(gòu)成破壞

15、和造成停產(chǎn)；Ø 保密性原則：調(diào)研的過程和結(jié)果應(yīng)嚴(yán)格保密，未經(jīng)甲方授權(quán)，對項目涉及的任何信息不得泄露給第三方；Ø 經(jīng)濟性原則：方案的設(shè)計和實施應(yīng)在達到項目要求的前提下，具有較高的性價比和經(jīng)濟性；Ø 先進性原則：方案的設(shè)計要具備先進性和前瞻性，需統(tǒng)籌考慮甲方未來五年的信息安全發(fā)展需求。五、 項目階段及內(nèi)容服務(wù)項目階段過程主要任務(wù)主要內(nèi)容ISO27001咨詢服務(wù)準(zhǔn)備確定ISMS范圍業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性分析法規(guī)制度符合性分析業(yè)務(wù)運營影響分析確定ISMS范圍確定信息安全總體方針政策業(yè)務(wù)及系統(tǒng)初步安全需求分析確定ISMS總體方針政策定義風(fēng)險評估與管理方法確定風(fēng)險評估模型及相關(guān)指標(biāo)準(zhǔn)則制定風(fēng)險評估與管理程序項目準(zhǔn)備制定實施計劃組建項目組整理開發(fā)工具/模板項目啟動會培訓(xùn)風(fēng)險評估現(xiàn)狀分析問卷調(diào)查現(xiàn)場訪談手工檢測安全掃描滲透測試綜合分析撰寫報告風(fēng)險評價資產(chǎn)評價威脅評價弱點評價風(fēng)險評價撰寫風(fēng)險評估報告風(fēng)險處置選擇風(fēng)險處置方式選擇安全控制措施制定風(fēng)險處置計劃殘余風(fēng)險分析安全體系規(guī)劃與設(shè)計安全體系規(guī)劃任務(wù)或項目分解任務(wù)或項目實施規(guī)劃撰寫規(guī)劃報告編寫安全體系文檔確定ISMS文件清單制定ISMS文件編寫計劃編寫ISMS文件ISMS文件評審安全體系實 施、調(diào)整、 評審體系實施體