《信息安全管理》对信息安全这个日益拓展的领域进行了及时的、全新的透析。本文特别面向涉足信息安全管理方面的中高层管理人员,其内容包括信息安全的管理并且提供普遍管理问题的概述,对诸如方案、风险管理和安全之类的论题都做了深入的探讨。
信息安全管理正成为当前全球的热门话题,建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。本文从我国信息安全管理的现状入手,对国际和国内信息管理安全标准的情况进行了梳理,在理解信息安全管理模型的基础上,提出了准备策划、确定范围、调查评估、建立框架、文件编写、运行改进和体系审核等建设思路。
20世纪90年代以来,科学技术的高度发展已经毋庸置疑地把我们带进了信息时代,随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现,如何管理信息,确保信息的安全为世人瞩目,信息安全管理则成为了当前全球的热门话题。传统的信息管理安全着眼于常规的信息系统安全设备,诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等,构成了信息管理安全的防护屏障。事实上,要保证信息管理安全需要有三个方面的工作要做,这就是需要技术、管理与法制。所以仅仅依靠技术保障信息管理安全的做法是不会达到应有效果的,“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息领域也同样适用。因此,在信息管理安全的重要性日益突出、信息管理安全手段日新月异的今天,加强信息安全管理工作就显得尤为重要。
一、建立信息安全管理体系的作用与意义
信息安全管理体系ISMS是组织在整体或特定范围内建立信息管理安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进组织的信息管理安全系统,其目的是保障组织的信息管理安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,是涉及到人、程序和信息技术系统。
建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提升员工信息管理安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提升信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提升对信息管理安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息管理安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系产生的作用主要有下几点:
*强化员工的信息管理安全意识,规范组织信息管理安全行为;
*对组织的关键信息资产进行全面系统的保护,维持竞争优势;
*在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
*使组织的生意伙伴和客户对组织充满信心;
*如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提升组织的知名度与信任度;
*促使管理层坚持贯彻信息管理安全保障体系。
二、我国信息安全管理现状
我国历来非常重视信息管理安全保密工作,并且从敏感性,特殊性和战略性的高度把信息管理安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息管理安全的管理体系。
为加强信息安全管理工作,中央批准成立了两个非常重要的机构,一个是国家信息管理安全产品测评认证中心,负责管理和运行国家信息管理安全的测评认证体系,对信息管理安全产品,信息系统,对提供信息管理安全服务的单位以及提供信息管理安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。
为了更好地推进我国信息安全管理工作,国家相关部门引进了国际上著名的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准,并制定了中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》、GB/T18336:2001-信息技术安全性评估准则和GB/T20269-2006《信息管理安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。为配合信息安全管理的需要,国家、相关部门、行业和地方企业相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等有关信息安全管理的法律法规文件。
我国国务院信息化工作办公室(国信办)还在于2006年3月启动了“信息安全管理标准应用(ISMS)试点工作,验证国际上通用的信息安全管理标准(ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》)在我国的适用性和合理性,相信这项工作将为国家信息管理安全主管部门制定相关管理政策提供很重要的客观依据,将会为企业机关、税务系统、大型制造企业、证券交易系统、医疗保险系统、住房公积金管理等行业和系统建立实施ISMS提供宝贵的经验和借鉴,将会为推动我国信息安全管理工作的顺利进行起到积极的作用。
虽然信息安全管理工作正在积极的推动与建设,但是在信息安全管理工作中目前存在的不少的问题,信息安全管理现状仍还比较混乱,主要表现为:
缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规不成体系和执行难度较大。
信息安全管理并没有在IT系统建设过程中充分考虑,导致后期安全建设和管理工作比较被动,同时业务的发展及IT的建设与信息安全管理建设不对称;
目前大部分的安全建设多局限于局部性地使用安全产品,或使用有洞补洞的方式被动地解决问题,缺乏科学的、全面的安全管理规划;
目前的技术人员多偏重于网路、主机及应用系统开发,安全管理的力量薄弱;
信息安全管理的一个重要方面是运用法律法规的约定方法去进行管理,但是多数企业没有切实可行的管理办法。
信息安全管理不仅仅是CIO或CFO的事情,这项工作更应该引入企业高层领导的重视与参与,但是多数企业的领导还是没有时间和精力顾及这方面的工作。
三、信息安全管理标准
1、国际信息安全管理标准
ISO和IEC是世界范围的标准化组织,各国的相关标准化组织都是其成员,他们通过各技术委员会,参与相关标准的制定。近年来,国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准,使安全管理标准进入了一个繁忙的改版期。这表明,信息安全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
ISO/IEC联合技术委员会子委员会27(ISO/IECJTC1SC27)是信息管理安全领域最权威和国际认可的标准化组织,它已经为信息管理安全保障领域发布了一系列的国际标准和技术报告,目前最主要的标准是ISO/IEC13335、ISO/IEC27000系列等。
ISO/IECJTC1SC27的信息安全管理标准(ISO13335)《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年。5个部分组成分别如下:ISO/IEC13335-1:1996《IT安全的概念与模型》;ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》;ISO/IEC13335-4:2000《安全措施的选择》;ISO/IEC13335-5《网络安全管理方针》。27000系列综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准,是目前国际信息安全管理标准研究的重点。27000系列当前已经发布和在研究的有6个,分别为:1、ISO/IEC27000《信息安全管理体系基础和词汇》;2、ISO/IEC27001:2005《信息安全管理体系要求》;3、ISO/IEC27002(17799:2005)《信息安全管理实用规则》;4、ISO/IEC27003《信息安全管理体系实施指南》;5、ISO/IEC27004《信息安全管理测量》;6、ISO/IEC27005《信息管理安全风险管理》。随着ISO/IEC27000系列标准的规划和发布,ISO/IEC已形成了以ISMS为核心的一整套信息安全管理体系。
2、我国信息安全管理相关标准
与国外相比,我国的信息管理安全领域的标准制定工作起步较晚,但随着2002年全国信息管理安全标准化技术委员会的成立,信息管理安全相关标准的建设工作开始走向了规范化管理和发展的快车道。在全国信息管理安全标准化技术委员会中,成立了信息管理安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息管理安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组,它们在对我国信息管理安全保障体系建设和信息管理安全产业的发展方面,起到了积极作用。在我国,另一个与信息管理安全标准有关的组织就是中国通信标准化协会下设的网络与信息管理安全技术工作委员会,下设四个工作组,即有线网络安全工作组(WG1)、无线网络安全工作组(WG2)、安全管理工作组(WG3)、安全基础设施工作组(WG4)。
近年来,我国对信息管理安全标准的制定与实施工作非常重视,不仅引进了国际上著名的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。而且,为了更好地推进我国信息安全管理工作,相关部门还制定了中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》、GB/T18336:2001-信息技术安全性评估准则和GB/T20269-2006《信息管理安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。
近年来(特别是2005年),信息安全管理标准化工作中主要的研究热点包括:信息管理安全国际标准的转化(主要是国际ISO/IEC17799和ISO/IEC13335的采标工作),风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作),以及信息系统评估的标准制定工作(主要是信息系统安全保障评估框架标准的编制工作等),对促进信息安全管理工作起到了良好的推进作用。
四、信息安全管理体系模型
信息安全管理体系模型一般被认为是安全策略的正式陈述(formalpresentation),并由系统组织强制实施,用以检验安全策略的完整性和一致性,它描述的是组织为贯彻实施安全策略而必须采取的所有安全机制的组合。信息安全管理是一个持续发展的过程,像其他管理过程那样,它也遵循着一般性的循环模式,信息安全管理体系模型就是我们常说的PDCA模型,见图5.1。
5.1PDCA模型
计划(Plan)——这是信息安全管理周期的起点,作为安全管理的准备阶段,为后续活动提供基础和依据。计划阶段的活动包括:建立组织机构,明晰责任,确定安全目标、战略和策略,进行风险评估,选择安全措施,并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。
实施(Do)——实施阶段是实现计划阶段确定目标的过程,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。
检查(Check)——信息管理安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
改进(Action)——如果检查发现安全实施的效果不能满足计划阶段建立的需求,或者有意外事件发生,或者某些因素引起了新的变化,经过管理层认可,需要采取应对措施进行改进,并按照已经建立的响应机制来行事,必要时进入新的一轮信息安全管理周期,以便持续改进和发展信息管理安全。
五、信息安全管理体系建设思路
信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面、科学的安全风险评估。ISM体现预防控制为主的思想,强调遵守国家有关信息管理安全的法律法规,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。
构建信息安全管理体系(ISMS)不是一蹴而就的,也不是每个企业都使用一个统一的模板,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤:
1、信息安全管理体系策划与准备
策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及人力资源的配置与管理。
2、确定信息安全管理体系适用的范围
信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况,可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作,应将组织划分成不同的信息管理安全控制领域,这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时,应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。
3、现状调查与风险评估
依据有关信息管理安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价,以及评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。
4、建立信息安全管理框架
建立信息安全管理体系要规划和建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,从信息系统本身出发,根据业务性质、组织特征、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析和选择安全控制,准备适用性声明等步骤,从而建立安全体系并提出安全解决方案。
5、信息安全管理体系文件编写
建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有:安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。
6、信息安全管理体系的运行与改进
信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。在此期间,组织应加强运作力度,充分发挥体系本身的各项功能,及时发现体系策划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
7、信息安全管理体系审核
体系审核是为获得审核证据,对体系进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行,可作为组织自我合格检查的基础;外部审核由外部独立的组织进行,可以提供符合要求的认证或注册。
信息安全管理体系的建立是一个目标叠加的过程,是在不断发展变化的技术环境中进行的,是一个动态的、闭环的风险管理过程,要想获得有效的成果,需要从评估、防护、监管、响应到恢复,这些都需要从上到下的参与和重视,否则只能是流于形式与过程,起不到真正有效的安全控制的目的和作用。