中文
English
業務領域BUSINESS
信息安全管理系統ISMS
(Information Security Management System)信息安全管理體系,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所使用的方法體系,它是整個管理體系的一部分,是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進組織的信息安全系統,其目的是保障組織的信息安全。它由許多要素組成,如組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源等;從預防控制的角度出發,保障組織的信息系統與業務之安全與正常運作。
信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密,除物理控制外,還需要組織全體人員參與,加強控制。此外還需要供應商,顧客或股東的參與,需要組織以外的專家建議。
組織為什么要建立信息安全管理體系?
1.保護企業的知識產權、商標、競爭優勢
2.維護企業的聲譽、品牌和客戶信任
3.減少可能潛在的風險隱患,減少信息系統故障、人員流失帶來的經濟損失
4.強化員工的信息安全意識,規范組織信息安全行為
5.在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度
信息安全管理體系建立和運行步驟
ISO27001標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。
不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經過下列四個基本步驟:信息安全管理體系的策劃與準備;信息安全管理體系文件的編制;信息安全管理體系運行;信息安全管理體系審核與評審。
如果考慮認證過程其詳細的步驟如下:
1.現場診斷;
2.確定信息安全管理體系的方針、目標;
3.明確信息安全管理體系的范圍,根據組織的特性、地理位置、資產和技術來確定界限;
4.對管理層進行信息安全管理體系基本知識培訓;
5.信息安全體系內部審核員培訓;
6.建立信息安全管理組織機構;
7.實施信息資產評估和分類,識別資產所受到的威脅、薄弱環節和對組織的影響,并確定風險程度;
8.根據組織的信息安全方針和需要的保證程度通過風險評估來確定應實施管理的風險,確定風險控制手段;
9.制定信息安全管理手冊和各類必要的控制程序 ;
10.制定適用性聲明;
11.制定商業可持續性發展計劃;
12.審核文件、發布實施;
13.體系運行,有效的實施選定的控制目標和控制方式;
14.內部審核;
15.外部第一階段認證審核;
16.外部第二階段認證審核;
17.頒發證書;
18.體系持續運行/年度監督審核;
19.復評審核(證書三年有效)。
至于應采取哪些控制方式則需要周密計劃,并注意控制細節。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密,除物理控制外,還需要組織全體人員參與,加強控制。此外還需要供應商,顧客或股東的參與,需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。
當前,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。
許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。
如何保障信息安全?
信息安全技術是信息安全控制的重要手段,一些安全性要求高的信息系統的安全性必須借助于技術手段來實現,但單獨依靠技術手段實現安全的能力是有限的,而且安全技術應由適當的管理 和程序來支持,否則,安全技術發揮不了其應有的安全作用,或者當應用環境發生變化時,不做適當的技術調整,其安全作用會大打 折扣,甚至喪失。信息安全來自“三分技術,七分管理”,必須注重信息安全管理,而且信息安全管理需要組織所有員工 的參與,還需要供應商、客戶的參與,以及組織以外的專家建議。
信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動,關于信息安全風險的指導和控制活動通常包括制定信息安全方針、進行風險評估、確定控制目標、選擇控制方式、實施風險控制、獲得安全保證等。信息安全管理實際上是風險管理的過程,管理的基礎是風險識別與評估。
系統的信息安全管理體現以下原則:
- 制定信息安全方針為信息安全管理提供導向和支持;
- 以風險評估為基礎選擇控制目標與控制方式;
- 考慮控制費用與風險平衡的原則,將風險降低到組織可接受的水平;
- 預防控制為主的思想;
- 業務持續性原則,即從故障與災難中恢復業務運作,減少故障與災難對關鍵業務過程的影響;
- 動態管理原則,即對風險實施動態管理;
- 全員參與的原則;
遵循管理的一般循環模式——Plan (策劃) -Do(執行)-Check(檢查)-Act(措施)的持續改進模式。
