20世紀90年代以來,科學技術的高度發展已經毋庸置疑地把我們帶進了信息時代,隨著信息以爆炸式的速度不斷在我們生活中的每一個角落中涌現,如何管理信息,確保信息的安全為世人矚目,信息安全管理則成為了當前全球的熱門話題。傳統的信息安全著眼于常規的信息系統安全設備,諸如防火墻、VPN、入侵檢測系統、防病毒系統、認證系統等,構成了信息安全的防護屏障。事實上,要保證信息安全需要有三個方面的工作要做,這就是需要技術、管理與法制。所以僅僅依靠技術保障信息安全的做法是不會達到應有效果的,“三分技術,七分管理”這個在其他領域總結出來的實踐經驗和原則,在信息領域也同樣適用。因此,在信息安全的重要性日益突出、信息安全手段日新月異的今天,加強信息安全管理工作就顯得尤為重要。
一、建立信息安全管理體系的作用與意義
信息安全管理體系ISMS(Information Securitry Management Systems)是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進組織的信息安全系統,其目的是保障組織的信息安全。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合,是涉及到人、程序和信息技術(Information Technology)系統。
建立健全信息安全管理體系對企業的安全管理工作和企業的發展意義重大。首先,此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵御災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業的業務發展。其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。最后,信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
參照信息安全管理模型,按照先進的信息安全管理標準建立的全面規劃、明確目的、正確部署的、組織完整的信息安全管理體系,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,實現用最低的成本,保障信息安全合理水平,從而保證業務的有效性與連續性。組織建立、實施與保持信息安全管理體系產生的作用主要有下幾點:
- 強化員工的信息安全意識,規范組織信息安全行為;
- 對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢;
- 在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;
- 使組織的生意伙伴和客戶對組織充滿信心;
- 如果通過體系認證,表明體系符合標準,證明組織有能力保障重要信息,提高組織的知名度與信任度;
- 促使管理層堅持貫徹信息安全保障體系。
二、我國信息安全管理現狀
我國歷來非常重視信息安全保密工作,并且從敏感性,特殊性和戰略性的高度把信息安全保密工作自始至終置于黨和國家的絕對領導之下。中央機要管理部門,國家安全機關,公安機關和國家保密主管部門分工協作,各司其職,形成了維護國家信息安全的管理體系。
為加強信息安全管理工作,中央批準成立了兩個非常重要的機構,一個是國家信息安全產品測評認證中心,負責管理和運行國家信息安全的測評認證體系,對信息安全產品,信息系統,對提供信息安全服務的單位以及提供信息安全服務的人員進行測試,考試和認證。第二個重要機構是國家計算機網絡與信息安全管理中心,負責管理和運行國家計算機網絡的內容監控和應急協調工作。這兩個機構目前都在國家信息安全管理中發揮著技術支撐的作用。
為了更好地推進我國信息安全管理工作,國家相關部門引進了國際上著名的ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實用規則》、ISO/IEC 15408:1999《IT安全評估準則》、SSE-CMM《系統安全工程能力成熟度模型》等信息安全管理標準,并制定了中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》、GB/T 18336:2001-信息技術安全性評估準則和GB/T 20269-2006《信息安全技術信息系統安全管理要求》等一批重要的信息安全管理方面的標準。為配合信息安全管理的需要,國家、相關部門、行業和地方政府相繼制定了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《商用密碼管理條例》、《互聯網信息服務管理辦法》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機病毒防治管理辦法》、《互聯網電子公告服務管理規定》、《軟件產品管理辦法》、《電信網間互聯管理暫行規定》、《電子簽名法》等有關信息安全管理的法律法規文件。
我國國務院信息化工作辦公室(國信辦)還在于2006年3月啟動了“信息安全管理標準應用(ISMS)試點工作,驗證國際上通用的信息安全管理標準(ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實用規則》)在我國的適用性和合理性,相信這項工作將為國家信息安全主管部門制定相關管理政策提供很重要的客觀依據,將會為政府機關、稅務系統、大型制造企業、證券交易系統、醫療保險系統、住房公積金管理等行業和系統建立實施ISMS提供寶貴的經驗和借鑒,將會為推動我國信息安全管理工作的順利進行起到積極的作用。
雖然信息安全管理工作正在積極的推動與建設,但是在信息安全管理工作中目前存在的不少的問題,信息安全管理現狀仍還比較混亂,主要表現為:
- 缺乏權威、統一、專門的組織、規劃、管理和實施協調的立法管理機構,致使我國現有的一些信息安全管理方面的法律法規不成體系和執行難度較大。
- 信息安全管理并沒有在IT系統建設過程中充分考慮,導致后期安全建設和管理工作比較被動,同時業務的發展及IT的建設與信息安全管理建設不對稱;
- 目前大部分的安全建設多局限于局部性地使用安全產品,或使用有洞補洞的方式被動地解決問題,缺乏科學的、全面的安全管理規劃;
- 目前的技術人員多偏重于網路、主機及應用系統開發,安全管理的力量薄弱;
- 信息安全管理的一個重要方面是運用法律法規的約定方法去進行管理,但是多數企業沒有切實可行的管理辦法。
- 信息安全管理不僅僅是CIO或CFO的事情,這項工作更應該引入企業高層領導的重視與參與,但是多數企業的領導還是沒有時間和精力顧及這方面的工作。
三、信息安全管理標準
1、國際信息安全管理標準
ISO和IEC是世界范圍的標準化組織,各國的相關標準化組織都是其成員,他們通過各技術委員會,參與相關標準的制定。近年來,國際ISO/IEC和西方一些國家開始發布和改版一系列信息安全管理標準,使安全管理標準進入了一個繁忙的改版期。這表明,信息安全管理標準已經從零星的、隨意的、指南性標準,逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。
ISO/IEC聯合技術委員會子委員會27(ISO/IEC JTC1 SC27)是信息安全領域最權威和國際認可的標準化組織,它已經為信息安全保障領域發布了一系列的國際標準和技術報告,目前最主要的標準是ISO/IEC 13335、ISO/IEC 27000系列等。
ISO/IEC JTC1 SC27的信息安全管理標準(ISO 13335)《IT安全管理方針》系列(第一至第五部分),已經在國際社會中開發了很多年。5個部分組成分別如下:ISO/IEC13335-1:1996《IT安全的概念與模型》;ISO/IEC13335-2:1997《IT安全管理和計劃制定》;ISO/IEC13335-3:1998《IT安全管理技術》;ISO/IEC13335-4:2000《安全措施的選擇》;ISO/IEC13335-5《網絡安全管理方針》。27000系列綜合信息安全管理系統要求、風險管理、度量和測量以及實施指南等一系列國際標準,是目前國際信息安全管理標準研究的重點。27000 系列當前已經發布和在研究的有6個,分別為:1、ISO/IEC 27000《信息安全管理體系 基礎和詞匯》;2、ISO/IEC 27001:2005《信息安全管理體系要求》;3、ISO/IEC 27002(17799:2005)《信息安全管理實用規則》; 4、ISO/IEC 27003《信息安全管理體系實施指南》;5、ISO/IEC 27004《信息安全管理測量》;6、ISO/IEC 27005《信息安全風險管理》。隨著ISO/IEC 27000系列標準的規劃和發布,ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。
2、我國信息安全管理相關標準
與國外相比,我國的信息安全領域的標準制定工作起步較晚,但隨著2002年全國信息安全標準化技術委員會的成立,信息安全相關標準的建設工作開始走向了規范化管理和發展的快車道。在全國信息安全標準化技術委員會中,成立了信息安全標準體系與協調工作組(WG1)、鑒別與授權工作組(WG4)、信息安全評估工作組(WG5)和信息安全管理工作組(WG7)四個工作組,它們在對我國信息安全保障體系建設和信息安全產業的發展方面,起到了積極作用。在我國,另一個與信息安全標準有關的組織就是中國通信標準化協會下設的網絡與信息安全技術工作委員會,下設四個工作組,即有線網絡安全工作組(WG1)、無線網絡安全工作組(WG2)、安全管理工作組(WG3)、安全基礎設施工作組(WG4)。
近年來,我國對信息安全標準的制定與實施工作非常重視,不僅引進了國際上著名的ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實用規則》、ISO/IEC 15408:1999《IT安全評估準則》、SSE-CMM《系統安全工程能力成熟度模型》等信息安全管理標準。而且,為了更好地推進我國信息安全管理工作,相關部門還制定了中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》、GB/T 18336:2001-信息技術安全性評估準則和GB/T 20269-2006《信息安全技術信息系統安全管理要求》等一批重要的信息安全管理方面的標準。
近年來(特別是2005年),信息安全管理標準化工作中主要的研究熱點包括:信息安全國際標準的轉化(主要是國際ISO/IEC 17799和ISO/IEC 13335的采標工作),風險管理指南的標準化工作(主要是風險評估和風險管理指南的標準化工作),以及信息系統評估的標準制定工作(主要是信息系統安全保障評估框架標準的編制工作等),對促進信息安全管理工作起到了良好的推進作用。
四、信息安全管理體系模型
信息安全管理體系模型一般被認為是安全策略的正式陳述(formal presentation),并由系統組織強制實施,用以檢驗安全策略的完整性和一致性,它描述的是組織為貫徹實施安全策略而必須采取的所有安全機制的組合。信息安全管理是一個持續發展的過程,像其他管理過程那樣,它也遵循著一般性的循環模式,信息安全管理體系模型就是我們常說的PDCA模型。
計劃(Plan)—— 這是信息安全管理周期的起點,作為安全管理的準備階段,為后續活動提供基礎和依據。計劃階段的活動包括:建立組織機構,明晰責任,確定安全目標、戰略和策略,進行風險評估,選擇安全措施,并在明確安全需求的基礎上制定安全計劃、業務連續性計劃、意識培訓等信息安全管理程序和過程。
實施(Do)—— 實施階段是實現計劃階段確定目標的過程,包括安全策略、所選擇的安全措施或控制、安全意識和培訓程序等。
檢查(Check)—— 信息安全實施過程的效果如何,需要通過監視、審計、復查、評估等手段來進行檢查,檢查的依據就是計劃階段建立的安全策略、目標、程序,以及標準、法律法規和實踐經驗,檢查的結果是進一步采取措施的依據。
改進(Action)—— 如果檢查發現安全實施的效果不能滿足計劃階段建立的需求,或者有意外事件發生,或者某些因素引起了新的變化,經過管理層認可,需要采取應對措施進行改進,并按照已經建立的響應機制來行事,必要時進入新的一輪信息安全管理周期,以便持續改進和發展信息安全。
五、信息安全管理體系建設思路
信息安全管理體系(ISMS)是一個系統化、程序化和文件化的管理體系,屬于風險管理的范疇,體系的建立需要基于系統、全面、科學的安全風險評估。ISM體現預防控制為主的思想,強調遵守國家有關信息安全的法律法規,強調全過程和動態控制,本著控制費用與風險平衡的原則,合理選擇安全控制方式保護組織所擁有的關鍵信息資產,確保信息的保密性、完整性和可用性,從而保持組織的競爭優勢和業務運作的持續性。
構建信息安全管理體系(ISMS)不是一蹴而就的,也不是每個企業都使用一個統一的模板,不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經過以下幾個主要步驟:
1、信息安全管理體系策劃與準備
策劃與準備階段主要是做好建立信息安全管理體系的各種前期工作。內容包括教育培訓、擬定計劃、安全管理發展情況調研,以及人力資源的配置與管理。
2、確定信息安全管理體系適用的范圍
信息安全管理體系的范圍就是需要重點進行管理的安全領域。組織需要根據自己的實際情況,可以在整個組織范圍內、也可以在個別部門或領域內實施。在本階段的工作,應將組織劃分成不同的信息安全控制領域,這樣做易于組織對有不同需求的領域進行適當的信息安全管理。在定義適用范圍時,應重點考慮組織的適用環境、適用人員、現有IT技術、現有信息資產等。
3、現狀調查與風險評估
依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行調研和評價,以及評估信息資產面臨的威脅以及導致安全事件發生的可能性,并結合安全事件所涉及的信息資產價值來判斷安全事件一旦發生對組織造成的影響。
4、建立信息安全管理框架
建立信息安全管理體系要規劃和建立一個合理的信息安全管理框架,要從整體和全局的視角,從信息系統的所有層面進行整體安全建設,從信息系統本身出發,根據業務性質、組織特征、信息資產狀況和技術條件,建立信息資產清單,進行風險分析、需求分析和選擇安全控制,準備適用性聲明等步驟,從而建立安全體系并提出安全解決方案。
5、信息安全管理體系文件編寫
建立并保持一個文件化的信息安全管理體系是ISO/IEC27001:2005標準的總體要求,編寫信息安全管理體系文件是建立信息安全管理體系的基礎工作,也是一個組織實現風險控制、評價和改進信息安全管理體系、實現持續改進不可少的依據。在信息安全管理體系建立的文件中應該包含有:安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔。
6、信息安全管理體系的運行與改進
信息安全管理體系文件編制完成以后,組織應按照文件的控制要求進行審核與批準并發布實施,至此,信息安全管理體系將進入運行階段。在此期間,組織應加強運作力度,充分發揮體系本身的各項功能,及時發現體系策劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。
7、信息安全管理體系審核
體系審核是為獲得審核證據,對體系進行客觀的評價,以確定滿足審核準則的程度所進行的系統的、獨立的并形成文件的檢查過程。體系審核包括內部審核和外部審核(第三方審核)。內部審核一般以組織名義進行,可作為組織自我合格檢查的基礎;外部審核由外部獨立的組織進行,可以提供符合要求(如ISO/IEC27001)的認證或注冊。
信息安全管理體系的建立是一個目標疊加的過程,是在不斷發展變化的技術環境中進行的,是一個動態的、閉環的風險管理過程,要想獲得有效的成果,需要從評估、防護、監管、響應到恢復,這些都需要從上到下的參與和重視,否則只能是流于形式與過程,起不到真正有效的安全控制的目的和作用。
