上一篇聊的是關于風險評估實施的安全標準�,今天想和大家聊的是關于信息安全管理體系的標準《GB/T 31496-2015 信息技術(shù) 安全技術(shù)信息安全管理體系實施指南》。
一�����、該標準的簡單描述
這個標準其實就是國際標準ISO/IEC 27003:2010的中文翻譯�����,并沒有做多少改動��,主要用來指導信息安全管理的過程��,將信息資產(chǎn)的風險控制在組織可接受的安全范圍內(nèi)�����。
該標準同另外8個標準共同組成了信息安全管理體系標準族(簡稱ISMS標準族)�����,如下:
通常情況下����,ISMS的實施被作為一個單獨的項目來執(zhí)行�����。既然是項目我們應該都知道�����,一個項目的啟動�����,前期都要經(jīng)過詳細的計劃�����、統(tǒng)籌并要得到相關領導的批準�����,這是第一個階段�,其余幾個階段我們后面也要具體講到����。無論是大型組織還是小型企業(yè),在做ISMS項目時都可以參考該標準來執(zhí)行�,參考本標準時建議配合ISMS標準族的其他幾個標準一起使用。
二����、ISMS的實施階段
從項目實施的角度,包括五個階段:
當然��,每個階段都會涉及到相關文件的輸出���,這個不管做什么項目應該都是這樣����,下面將講每個階段具體需要做什么���,需要輸出什么樣的文檔(一個項目要輸出的文檔是真的多)���。
(一) 獲得領導對ISMS項目的批準
當前階段是要讓領導了解ISMS項目實施的必要性以及能帶來的利益,可通過創(chuàng)建業(yè)務案例���、制定初步的項目計劃來獲得領導的批準�。
總的來說,該階段要做的事情分為三步走����,如下圖所示:
1. 闡明組織開發(fā)ISMS的優(yōu)先級
通俗點說,就是要讓領導知道為什么要做這個ISMS項目���,對公司能帶來什么價值���。在闡述的時候呢,最好把這幾個問題講清楚就差不多了���。
2. 初步制定ISMS的范圍以及角色職責
(1) 初步制定ISMS的范圍
ISMS的范圍確定其實和前面提到的三個問題相關�����,一般從以下8個因素來考慮:
a) 關鍵的業(yè)務域和組織域:
關鍵業(yè)務域和關鍵組織域是什么?
組織哪些域提供該業(yè)務以及關注什么?
有什么第三方關系及其協(xié)議?
是否有外包服務?
b) 敏感信息或有價值的信息:
c) 對信息安全測量有要求的相關法律:
d) 與信息安全有關的合同協(xié)議或組織協(xié)議:
e) 規(guī)定特定信息安全控制措施的行業(yè)要求:
f) 威脅環(huán)境:
需要什么類型的保護����,及需要應對哪些威脅?
需要保護的信息的特定類別是什么?
需要保護的信息活動的特定類型是什么?
g) 競爭動力:
h) 業(yè)務持續(xù)性要求:
如果這些問題有了答案,那么ISMS的范圍也就初步確定了����。之后還需要輸出一份初步的ISMS范圍文檔,內(nèi)容包括:
組織的管理者對信息安全管理的指示概述�����,以及外部施加于組織的義務
ISMS范圍內(nèi)的區(qū)域如何與其他管理體系交互的描述
信息安全管理的業(yè)務目標清單(前面問題的回答)
ISMS將被應用的關鍵業(yè)務過程����、系統(tǒng)、信息資產(chǎn)�����、組織結(jié)構(gòu)和地理位置的清單
現(xiàn)有管理體系���、規(guī)章�、符合性和組織目標之間的關系
業(yè)務�、組織���、位置、資產(chǎn)和技術(shù)等方面的特點
(2) 初步制定ISMS范圍內(nèi)的角色和職責
根據(jù)企業(yè)的大小�,角色和職責的劃分可能會不同,因為對于稍微小點的企業(yè)�����,并沒有一人一崗的條件�,一般都是一個人擔任多種角色,但是例如CISO��、CIMO等負責整個信息安全管理的角色還是要設置的���,然后其他崗位的設置按照工作內(nèi)容所需要的技能來分配員工的角色和責任����。
舉個完善的ISMS項目中角色與職責的例子:(圖片來源于標準)
3. 創(chuàng)建業(yè)務案例和項目計劃書
在前兩步完成后�����,就可以開始創(chuàng)建業(yè)務案例和項目計劃了�����,這兩份東西是領導同意執(zhí)行項目的關鍵,所以一定要做好;項目計劃書包含前面講到的五個階段的相關活動�,就大體是我們今天講的內(nèi)容。
實施ISMS的業(yè)務案例需涵蓋以下主題:
4. 當前階段需要輸出的文檔
(二) 制定ISMS范圍和方針策略
根據(jù)初步的ISMS范圍和組織內(nèi)關鍵的信息資產(chǎn)來確定詳細的ISMS范圍和邊界�,并制定ISMS方針策略。
1. 制定ISMS范圍和邊界
(1)定義組織的范圍和邊界
范圍前面已經(jīng)差不多確定了����,邊界的話主要是便于賦予組織內(nèi)的可核查性,標識出相互不重疊的責任域����,需要考慮的因素有:
ISMS管理論壇應由ISMS范圍所直接涉及的管理人員組成;
ISMS的管理成員,應是最終負責所有受影響的責任域的人員(即���,他們的角色通常由其所跨越的控制措施和責任指定的);
在負責管理ISMS的角色不是高層管理者的情況下�,高層發(fā)起人基本代表對信息安全的利益���,并在組織的最高層起到ISMS倡導者的作用;
范圍和邊界需要予以定義�,以確保考慮了風險評估中所有相關的資產(chǎn)���,確保強調(diào)了可能發(fā)生于這些邊界上的風險��。
(2)定義信息通信技術(shù)(ICT)的范圍和邊界;
ICT范圍和邊界的定義可通過一種信息系統(tǒng)的途徑來獲得(而不是基于IT技術(shù))���,如果把信息系統(tǒng)的業(yè)務過程也歸入ISMS范圍,那么還要考慮所有相關的ICT元素����,包括:存儲、處理或傳輸關鍵信息���、資產(chǎn)的組織的所有部分以及ISMS范圍內(nèi)對這些組織部分是至關重要的其它元素�,需要考慮的因素有:
通過以上考慮,ICT邊界應包括以下事宜的描述(在適用時):
組織負責管理的通信基礎設施����,其中包括采用各種不同的技術(shù)(例如無線網(wǎng)絡���、有線網(wǎng)絡或數(shù)據(jù)/語音網(wǎng)絡);
組織使用和控制的組織邊界內(nèi)的軟件;
網(wǎng)絡、應用或生產(chǎn)系統(tǒng)所需要的ICT硬件;
有關ICT硬件��、網(wǎng)絡和軟件的角色和責任���。
(3)定義物理范圍和邊界
物理指的是屬于ISMS的各部門內(nèi)的建筑物�、位置或設施����,這個應該不用多講��。
(4)集成每一個范圍和邊界
通過集成每一個范圍和邊界(前面講了三個)來獲得ISMS的范圍和邊界��,例如�����,可以選擇諸如數(shù)據(jù)中心或辦公室的物理位置���,并列出一些關鍵過程(比如移動訪問一個中心信息系統(tǒng));其中每一個關鍵過程均涉及一些之外的域�,而該數(shù)據(jù)中心就可使這些之外的域成為范圍之內(nèi)的域。(通俗的說����,這個集成就好比拉關系,你認識我�����,我又認識小二���,通過我�����,你和小二就認識了��,我們?nèi)齻就在一個朋友圈里了�。)
2. 制定ISMS方針策略和獲得領導批準
在定義ISMS方針策略時�����,應考慮以下方面:
基于組織的要求和信息安全優(yōu)先級����,建立ISMS目標;
為達到ISMS目標���,建立一般性的關注和動作指南;
考慮組織的信息安全要求、法律法規(guī)或規(guī)章����,以及合同義務;
組織內(nèi)風險管理語境;
建立評價風險和定義風險評估結(jié)構(gòu)的準則;
闡明高層管理者對ISMS的責任;
獲得管理者的批準。
3. 當前階段需要輸出的文檔
(三) 信息安全要求分析
對信息資產(chǎn)進行標識��,了解在ISNS范圍內(nèi)這些信息資產(chǎn)的信息安全狀況��。我們在信息安全分析時�����,要先收集的信息包括:
在這個階段�,我們需要分為三步來完成,如下圖:
1. 定義ISMS過程的信息安全要求
在定義ISMS過程的信息安全要求時�����,要圍繞信息的重要程度來定義�,一般需要做的工作有:
初步標識重要的信息資產(chǎn)以及當前的信息安全保護;
標識組織的愿景�,并確定所標識的愿景對未來信息處理要求的影響;
分析信息處理��、系統(tǒng)應用��、通信網(wǎng)絡����、活動場所和IT資源等的當前形式;
標識所有的基本要求(例如,法律法規(guī)和規(guī)章的要求����、合同義務、組織要求����、行業(yè)標準、客戶和供應商協(xié)議和保險條件等);
標識信息安全了解的程度�,并由此針對每一個運行和管理單位,導出相應的培訓和教育要求��。
2. 標識ISMS范圍內(nèi)的資產(chǎn)
這個應該是最簡單的一步了吧����,有哪些資產(chǎn)梳理出來就好,記得做好分類。
在ISMS項目中����,有一些關鍵的過程也需要寫清楚,一般包括的內(nèi)容有:
過程的唯一名稱;
過程描述及其所關聯(lián)的活動(創(chuàng)建�、存儲、傳輸和刪除);
過程對組織的至關重要性(關鍵的���、重要的和支持性的);
過程責任人(組織部門);
提供輸入的過程以及這一過程的輸出;
支持過程的IT應用;
信息分類(保密性���、完整性、可用性��、訪問控制����、不可否認性,和/或?qū)M織有用的其他重要特性�,例如,信息可能保存的時間)���。
3. 進行信息安全評估
根據(jù)我們前面兩步得出的內(nèi)容,將現(xiàn)有的信息安全水平與我們第一階段制定的組織目標進行比較�����,來執(zhí)行信息安全評估。信息安全評估的基本目的是以策略和指南形式���,為管理體系提供支撐�,參與信息安全評估的人員應該由了解當前環(huán)境�、條件,并了解信息安全相關事物的人進行評估活動����,(這一步主要就是對梳理出來的屬于ISMS內(nèi)的信息資產(chǎn)做脆弱性分析,關于脆弱性分析��,可參考上一篇風險評估的文章)
一個成功的信息安全評估�,應采取以下措施:
4. 當前階段需要輸出的文檔
(四) 風險評估和規(guī)劃風險處置
這一階段相當于是一個風險管理的過程�,具體可參考ISO/IEC 27005:2008 信息安全風險管理��,在這里同樣分為三步來執(zhí)行:
1. 風險評估
在這里風險評估的方法就不再講了�,這一步目的是要得出風險評估的結(jié)果。
2. 選擇控制目標與控制措施
這一步是根據(jù)風險評估的結(jié)果來進行風險處置�,選擇適當?shù)目刂拼胧贫L險處置計劃�����。在風險降低的情況下����,管理每一個風險與已選擇的控制目標和控制措施之間的關系,有利于設計ISMS的實施���?梢蕴砑拥矫枋鲲L險與所選擇的風險處置措施之間關系的列表中。當控制措施中可能包含有部分敏感信息的時候��,可將生成的信息作為在定義資產(chǎn)期間創(chuàng)建ISMS的一部分����。
3. 獲得領導授權(quán)
相當于經(jīng)過前面四個階段的工作,把得出的數(shù)據(jù)和形成的文件交給領導看���,說明在ISMS項目中可能會出現(xiàn)的風險��,在領導接受殘余風險后�,簽署授權(quán)決定文件���。
4. 當前階段需要輸出的文檔
(五)設計ISMS
經(jīng)過前面四個階段的執(zhí)行����,最終就是設計ISMS項目實施計劃��。在設計ISMS時�,要從組織安全、ICT安全�����、物理安全以及ISMS特定事項(包括監(jiān)視;測量;內(nèi)部的ISMS審核;培訓和意識;安全事件管理;管理評審;ISMS改進)等四方面考慮��。
1.設計組織的信息安全
組織的信息安全:包括行政管理方面的信息安全���,包括風險處置的組織運行責任���。組織安全宜形成一個活動集����,該活動集為處理和改善與組織需求和風險有關的信息安全��,產(chǎn)生相應的方針策略��、目標����、過程和規(guī)程。
(1)設計信息安全的最終組織結(jié)構(gòu)
為ISMS所設計的組織結(jié)構(gòu)��,要反映ISMS實施和運行的活動�,并強調(diào)活動實施方法,例如監(jiān)視和記錄方法�����,作為ISMS運行的一部分��。
具體的組織結(jié)構(gòu)在第一階段中的制定角色和職責中已經(jīng)講過����,不再復述。
(2)設計ISMS的文件框架
ISMS的文件框架主要包含ISMS記錄和文件����。ISMS記錄包括:建立一個框架��,描述ISMS的建檔原則����、ISMS文件結(jié)構(gòu)��、所涉及的角色����、數(shù)據(jù)格式�����,以及向管理者報告的途徑;設計文件要求;設計記錄要求�����。
ISMS文件應包括管理者決定的記錄;確保相關措施可追蹤到管理者的決定和策略�����,并且所記錄的結(jié)果是可再現(xiàn)的��,對ISMS文件還必須進行管理,管理手段是:
(3)設計信息安全方針策略
信息安全方針策略記錄了組織的戰(zhàn)略定位�����,以及整個組織相關的信息安全目標�,是基于信息和知識而擬定的。在方針策略中�,還必須指出,如果不遵守該方針策略的后果���,同時強調(diào)影響組織解決問題的法律和法規(guī)�,擬定的方針策略要在組織有關人員之間進行溝通��。
方針策略應該簡明扼要�����,以使有關人員能理解該方針策略的意圖��。另外,方針策略要充分地凸現(xiàn)需要什么目標��,以便強調(diào)相關的一組規(guī)章和組織目標�,對于大型和復雜的組織(例如,擁有大量不同的運行域)����,可能有必要擬定一個總方針策略和一些運作上經(jīng)改編的基礎性方針策略。
(4)制定信息安全標準和規(guī)程
這個標準和規(guī)程是基于強調(diào)整個組織的信息安全�,為的是給組織的信息安全工作提供合規(guī)性參考�。制定信息安全標準和規(guī)程應成立一個小規(guī)模的編輯組,安排一些組織代表或?qū)<壹尤����,根?jù)風險評估的結(jié)果對現(xiàn)有的信息安全標準和規(guī)程加以評審和修訂。
2. 設計ICT安全和物理信息安全
ICT安全:不僅涉及信息系統(tǒng)和網(wǎng)絡�,還涉及運行要求;
物理信息安全:涉及訪問控制、不可否認性����、信息資產(chǎn)的物理保護和存儲或保管什么等所有方面,也涉及本身保護手段的安全控制措施����。
設計ICT安全和物理信息安全作為ISMS項目計劃的一部分,在執(zhí)行前要建立如下文檔:
【解釋一下控制措施:就是為了解決問題而采取的措施】
首先,要進行ICT安全和物理安全的概念設計(考慮因素有:控制目標的規(guī)格說明���、工作量和資金的分配��、時間進度��、集成了ICT安全�����、物理安全和組織安全后的可選措施);
其次���,像系統(tǒng)開發(fā)一樣進行ICT安全和物理安全的實際設計(考慮的因素有:針對各ICT域、物理域和組織域��,設計所選擇的每一個控制措施���、實例化每一個控制措施�、為促進安全意識的控制及其培訓課程����,供給相應的規(guī)程和信息、在工作場所上����,供給該控制措施的援助和實施)���。
3. 設計ISMS特定的信息安全
(1)管理評審的計劃
ISMS活動的管理評審應該在ISMS規(guī)格說明和業(yè)務案例開發(fā)的最早階段開始,并持續(xù)不斷地進行ISMS運行的定期評審�。為了規(guī)劃評審,必須對涉及的角色進行評估�����,并向領導提供有關評審過程的必要性及目的的充分數(shù)據(jù)�。
管理評審應該基于ISMS測量的結(jié)果和在ISMS運行期間收集的其他信息。這些信息被ISMS的管理活動使用���,以決定ISMS的成熟程度和有效性,同時管理評審也應包括對風險評估的方法和結(jié)果的評審�,按計劃的時間間隔進行,考慮到環(huán)境中的所有變化��,諸如組織和技術(shù)的變化��。
在執(zhí)行管理評審之前�,要規(guī)劃好內(nèi)部的ISMS審核。內(nèi)部的ISMS審核包括:控制目標����、控制措施以及ISMS的的過程和規(guī)程���,看它們是否得到有效地實施和維護。
(2)設計信息安全意識�����、培訓和教育方案�����。
對參與ISMS項目中有明確角色和職責的每一個人員�,根據(jù)不同的角色進行相關技能的教育和培訓,以確保他們有能力執(zhí)行所需要的操作�,為ISMS目的實現(xiàn)做出貢獻。
信息安全意識培訓和教育方案要從安全培訓和教育的記錄得以產(chǎn)生��。這些記錄宜定期評審��,以確保所有人員都接受過其所需要的培訓�����,建議安排專人負責���。也可建立一個信息安全培訓組���,負責創(chuàng)建和管理培訓記錄�����、培訓教材以及進行培訓事宜���。
培訓的內(nèi)容應包含:
4. 產(chǎn)生最終的ISMS項目計劃
將我們前面所講的所有階段����,得出的文件、數(shù)據(jù)��,正式的編入一份詳細的實施計劃中去�,把每個階段有可能用到的實施工具和方法�����,也一同編入項目計劃中。當ISMS項目涉及組織內(nèi)很多不同的角色時�����,要把這些活動清晰地指派給有關責任方��,要在項目初期且在整個組織內(nèi)進行溝通��。
最后��,最重要的是保證每個負責該項目的人員都能分配到足夠的資源��。
5. 當前階段需要輸出的文檔
總之�����,這個安全管理的項目做起來應該算是一個比較大�、比較復雜的項目了,想要項目做得好�,首先要有優(yōu)秀的頂層設計,還要做好統(tǒng)籌規(guī)劃(包括完善的組織結(jié)構(gòu))�,當然,領導的全力支持也是特別重要的���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
