2、我国信息安全管理相关标准
与国外相比,我国的信息安全领域的标准制定工作起步较晚,但随着2002年全国信息安全标准化技术委员会的成立,信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。在全国信息安全标准化技术委员会中,成立了信息安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组,它们在对我国信息安全保障体系建设和信息安全产业的发展方面,起到了积极作用。在我国,另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会,下设四个工作组,即有线网络安全工作组(WG1)、无线网络安全工作组(WG2)、安全管理工作组(WG3)、安全基础设施工作组(WG4)。
近年来,我国对信息安全标准的制定与实施工作非常重视,不仅引进了国际上著名的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。而且,为了更好地推进我国信息安全管理工作,相关部门还制定了中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》、GB/T 18336:2001-信息技术安全性评估准则和GB/T 20269-2006《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。
近年来(特别是2005年),信息安全管理标准化工作中主要的研究热点包括:信息安全国际标准的转化(主要是国际ISO/IEC17799和ISO/IEC13335的采标工作),风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作),以及信息系统评估的标准制定工作(主要是信息系统安全保障评估框架标准的编制工作等),对促进信息安全管理工作起到了良好的推进作用。
四、信息安全管理体系模型
信息安全管理体系模型一般被认为是安全策略的正式陈述(formalpresentation),并由系统组织强制实施,用以检验安全策略的完整性和一致性,它描述的是组织为贯彻实施安全策略而必须采取的所有安全机制的组合。信息安全管理是一个持续发展的过程,像其他管理过程那样,它也遵循着一般性的循环模式,信息安全管理体系模型就是我们常说的PDCA模型,见图5.1。
5.1PDCA模型
计划(Plan)——这是信息安全管理周期的起点,作为安全管理的准备阶段,为后续活动提供基础和依据。计划阶段的活动包括:建立组织机构,明晰责任,确定安全目标、战略和策略,进行风险评估,选择安全措施,并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。
实施(Do)——实施阶段是实现计划阶段确定目标的过程,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。
检查(Check)——信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
改进(Action)——如果检查发现安全实施的效果不能满足计划阶段建立的需求,或者有意外事件发生,或者某些因素引起了新的变化,经过管理层认可,需要采取应对措施进行改进,并按照已经建立的响应机制来行事,必要时进入新的一轮信息安全管理周期,以便持续改进和发展信息安全。
五、信息安全管理体系建设思路
信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面、科学的安全风险评估。ISM体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。
