论信息安全管理体系的构建
2016-03-16◆孙琳于洋
◆孙 琳 于 洋
(北京市南水北调信息中心 北京 100195)
论信息安全管理体系的构建
◆孙 琳 于 洋
(北京市南水北调信息中心 北京 100195)
随着信息技术应用范围的不断扩大,公众对于信息安全的关注日益增加,而构建完善的信息安全管理系统已经成为当务之急。本文将针对信息安全管理的构建进行研究,分析其框架构成,在此基础上理清构建思路和实施保障等问题,为信息安全管理体系的进一步完善提供可行的理论支持。
信息安全;管理体系;构建优化
0 引言
信息安全管理框架的构成需要遵循一定的流程,不同组织环节需要针对自身情况,构建起与相关业务相适应的信息框架,以保障其稳定性和安全性。在信息传输过程中,需要以ISMS框架为基础,并构建与之相匹配的文件、文档管理模式,对信息安全框架内出现的各种风险隐患、安全事件等做出详细记录,构建起信息反馈制度,完善其反馈流程。
1 信息安全管理体系框架的构成
1.1 定义信息安全政策
由于组织规模不同,在信息安全政策的制定上也有一定差异。如果组织规模有限,则单一安全政策就能满足其管理需求,并在内部各部门通用。如果规模组织较大,则需要根据不同部门实际情况执行差异化安全政策。如果组织属于集团化管理模式,则需要制定政策丛书,以此适应不同管理部门、分支机构的信息安全需求。但是无论的何种形式的安全政策,都需要体现出简洁性、逻辑性和执行性,能够直奔主题不受中间环节干扰,构建起以安全政策为核心的信息管理框架。在实施过程当中,需要将安全政策作为主导方针,并形成书面格式下发给工作人员,针对相关人员进行政策指导培训,对于信息安全负责人员则需要进行强化培训,从而使组织人员对安全方针有全面把握。
1.2 定义ISMS范围
在组织内部界定ISMS框架范围,其范围界定主要以组织现有结构为依据,并根据实际情况进行调整。只有建立起覆盖层面完善的ISMS构架范围,才能将信息安全管理落实到位。因此,在安全定义环节,需要将信息安全环境进行领域划分,从而使不同领域具备与之相适应的安全管理规范。
1.3 实施信息安全评估
在信息安全评价中,其流程取决于风险敏感系数,因此在评价方式的选择上需要与信息风险监测相一致,具体实施方式有三种:
(1)对基本风险进行评估。根据风险标准对组织内信息风险进行评价,在评价标准中,列举了常见信息风险及其管理要点,这些要点针对一般性信息安全评价具有较高的适应性。但是不同组织需要根据自身信息管理特点灵活调整。如果安全等级所设置的条件过高,那么常规监管措施、实施成本也将相对增加,同时影响常规操作效率。但是,如果评估标准过低,又会影响信息安全管制力度。此外,还会造成信息安全与调度方面出现问题。因此,在信息系统做出升级、调整、优化的同时,难以实现信息安全的预期要求。
(2)风险细化评估。也就是首先对信息内容做出细化归纳,并对其进行赋值,其后根据信息类型进行风险分析。信息风险细化分解能够降低信息系统的脆弱性,并根据既有风险为未来信息安全框架的构架提供支持。组织内部的信息安全评价越完善,其安全需求方向也会更清晰。与风险基本评价模式相比,风险的细化评价将更有利于节约时间成本和人力物力,必要时可以引入外部技术支持以保证评价结构的科学性和客观性。
(3)细化风险与基本风险评价相融合。首先以一般信息安全评价对体系内的信息风险进行发掘和筛选,从而确定核心信息的安全性。其后将信息体系之内的数据进行划分,一类为常规信息,一类为特殊信息,两者要区分对待。对于特殊信息的安全评价需要制定相应的、有针对性的方法,而一般信息则可以采用常规安全评价模式。两者相结合能够实现组织资源应用效率的最大化,但是其中也有一些缺陷存在。如果对于关键性信息的风险把握不足、判断失误,则会造成评估结构失真,对组织信息安全造成严重影响,信息安全将难以得到保障。在信息安全评价时,需要将多种后果进行综合考察,尤其是针对ISMS范围之内的信息做出科学评价,对于风险威胁以及系统脆弱性进行综合评价,对既有安全监管措施做出鉴定。
1.4 信息安全管理
在实施风险转嫁之前,首先需要对采取一定措施,尽量减少风险影响。一些风险是可以规避的,例如利用技术优化、调整操作程序等技术手段就可以实现。一般情况下,只有在风险确定不可回避、无法降低的情况下,才会考虑风险转嫁问题。通常来说,风险转嫁应用在低概率风险事件中,尤其是能够对组织整体运行构成重大影响风险,会考虑采取风险转嫁模式。组织出于技术条件限制或者经济条件制约,需要慎重选择这一安全管理模式。
1.5 确定管理目标及管制措施
在信息安全管理措施的制定中,核心原则在于成本必须低于风险损失。但是还需要注意到,有些特殊的风险后果并不是在经济控制范围之内,如商誉损失。信息安全始终处于动态管理体系下,管理人员需要根据管理目标、实施措施等对其进行动态调整和检验,从而使其与动态发展需求相匹配,进一步发挥信息安全管理的重要作用。
1.6 信息安全适用性申明
该申明能够有效记录信息风险的管控目标,并针对不同信息风险类型制定相应的管理对策。该申明的准备能够明确组织人员对于信息安全、风险防御的态度,而最为明显的作用则在于对外部环境出示其信息安全态度和行为,从而使外界环境对其信息系统的安全性、稳定性、防御性有更全面的认识,将框架之内的防线管理控制在最低限度范围。
2 信息安全管理体系构架的实现
2.1 建立ISMS管理框架
信息安全管理体系的构建,首先需要具备完善的ISMS框架。在具体操作过程中,需要兼顾多方因素。譬如落实框架的成本,其中包括培训成本和报告成本,尽量协调原有工作惯性与管理框架的冲突,实现部门之间的协调合作等。
2.2 建立ISMS文档并实现规范化管理ISMS框架的构建与实施,需要有相关文档、文件为基础。譬如在ISMS框架内,需要对文档内容、框架等进行梳理和总结,其中包括了信息政策、管理目标以及申明措施等。明确ISMS框架的管制流程,明确具体操作过程,其中包括了IT服务、系统监管、管理人员配置、用户终端管理、相关人员责任等多种事项。文档存储形式较为多样,但是需要对其类型和等级进行严格区分。同时还需要以未来信息认证、信息系统升级为目标,构建起适于第三方进行访问的文档类型。信息管理人员需要对文档实施严细化管理,结合业务范围变化,对文档信息进行修订和归纳,如果一些文档已经与信息安全政策产生冲突,或者不再具备相应效能,则需要对其进行及时清理。处于知识产权考虑,还可以将文档进行确定,其后保留。
2.3 安全事件记录、回馈
在ISMS框架当中,需要对可能威胁信息安全的事件作出详细记录。该记录能够为组织制定安全政策、采取信息安全措施等提供必要依据。在事件记录中需要调理清晰,能够准确反映管理人员的具体活动和措施。对于安全记录需要拓展保存,以书面或者电子文档形式进行储存,以便日后查询或者作为补充材料使用。国家信息安全部已经出台了信息安全管理标准,但是这些标准多数属于原则性建议。而将这些建议结合自身情况进行落实,从而构建起与组织发展相适应的ISMS框架才是当务之急,同时也是工作的重点和难点。在信息安全管理体系的构建中,需要体现以人为本的管理理念,因为管理理念、信息素养、管理水平、管理决策都会对信息安全造成决定性影响,而这些因素的主导核心在于“人”,这就需要组织重视信息管理人员的专业素质,强化其安全管理意识,在信息安全框架的构建中体现出便捷化、精准化、安全化、灵活化的特点。
3 结语
ISMS信息安全管理体现出目标叠加的典型特点,是基于信息技术不断发展完善之上的,呈现出动态化、闭环式管理特征。信息安全管理体系的构建,需要从安全评价、信息风险防御、监督监管、信息反馈等多个层面进行,需要建立起从上而下的监督监管体制,否则,信息安全管理体系将流于形式化,难以起到真正的控制管理目的。
[1]徐东华,封化民.信息安全管理的概念与内容体系探究[J].现代情报,2013.
[2]成芳.信息安全管理体系标准(ISO27001)对我们的帮助[J].中国标准化,2014.
[3]程秀权.信息安全管理体系建设研究[J].电信网技术,2013.