國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISO27001-2013提供建立、實施、運作、監(jiān)控、評審、維護和改進信息安全管理體系(ISMS)的模型,是分析提出ISMS的需求和對組織安全水平的評估標準,是實現(xiàn)組織安全體系的重要指南。采用ISMS應是一個組織的戰(zhàn)略決定。
因此,如果讓我們用一句話來總結信息安全領域對管理的重要性的認識,那就是從抓好“信息安全管理”(如BS7799-1)到建立“信息安全管理體系”,(如ISO27001)是人們在信息安全認識論上一個質的飛躍。下面我們對戴明環(huán)中的各個環(huán)節(jié)進行一個簡介:`
1)P(計劃)
在PDCA戴明環(huán)中,計劃(Plan)是第一個環(huán)節(jié)。所謂計劃就是“規(guī)定你應該做什么并形成文件”。戴明環(huán)的計劃要求是:建立與管理風險和改進信息安全有關的ISMS方針、目標、過程和程序,以提供與組織整體方針和目標相一致的結果。
組織對其所追求的信息安全方針、目標等安全戰(zhàn)略層面的思考,要和組織的業(yè)務戰(zhàn)略這個最高層面的戰(zhàn)略方針、目標相匹配。
PDCA計劃環(huán)節(jié)的首要任務是建立ISMS體系,即它的范圍、方針、風險評估和管理、管理者授權實施、運行ISMS和適用性聲明。
2)D(實施) 在PDCA戴明環(huán)中,實施(Do)就是做文件規(guī)定的事情。嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針、控制措施、過程和程序。實施ISMS的主要工作包括:
a. 制定風險控制計劃。例如制定風險評估計劃以及風險評估工作結束后要制定安全解決方案等。
b. 實施風險控制計劃。例如進行風險評估、根據(jù)安全解決方案進行系統(tǒng)加固、改造、升級等等。
c. 度量所選擇的控制措施的有效性。例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度。
d. 實施培訓和意識教育計劃。例如按照培訓計劃進行安全意識、安全技能、應急演練等培訓。要注意整個過程需要記錄在案并評估其有效性。
e. 安全事件響應。根據(jù)ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發(fā)安全事件進行處置。同樣要注意整個處置過程的記錄和事后評估。
f. 管理ISMS的運行。例如按照計劃階段確定的要求,組織ISMS定期評審、評審后的改進等等。
g. 管理ISMS的資源。管理者應當通過對ISMS資源的優(yōu)化管理,來體現(xiàn)一個組織決定進行ISMS建設的正確性和有效性。事實上,有一些ISMS不成功的案例并非組織機構沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示。
3)審核(Check)
在PDCA戴明環(huán)中,審核就是評審你所做的事情的符合性。對照ISMS方針、目標和實踐經驗,評估ISMS執(zhí)行過程的具體情況,并將結果報告管理者以供評審。
檢查內容包括:
a. ISMS的執(zhí)行程序及其它控制措施是否得以認真貫徹;
b. ISMS有效性的定期評審;
c. 度量控制措施的有效性以驗證安全要求是否被滿足;
d. 按照計劃的時間間隔進行風險評估的評審等等。
4)改進(Action)
在PDCA戴明環(huán)中,改進就是采取糾正和預防措施,持續(xù)改進。基于ISMS的檢查結果或者其他相關信息,采取糾正和預防措施,以持續(xù)改進ISMS。
在這一階段,一個組織應經常:
a. 對已發(fā)現(xiàn)的ISMS需要改進的地方采取措施。例如在風險評估中發(fā)現(xiàn)的脆弱性應該盡快加以封堵等等。
b. 從其它組織和組織自身的安全經驗中吸取教訓。
c. 向所有相關方溝通措施和改進措施。例如一個組織在進行了等級保護測評、風險評估、應急響應演練之后所發(fā)現(xiàn)的問題,應該向上級主管部門或安全服務機構、設備集成提供商等進行溝通等等。
以上就是ISMS-PDCA戴明環(huán)的簡要內容。需要指出的是,在信息安全領域中常用的模型如PDRR模型, PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質上和PDCA戴明環(huán)有著異曲同工之妙。
PDRR等模型的優(yōu)點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升、不斷改進的閉環(huán),這一點與戴明環(huán)的思想是一致的。然而,PDRR等模型沒有將信息安全提升到“質量管理體系”這個高度來認識,因 此本文將以ISMS為主要依據(jù)。
除了國際標準化組織對ISMS的建設進行了系統(tǒng)研究并頒布了相關標準之外,國內外學者也對ISMS極其相關 領域進行了諸多探索,如文獻等。其中文獻利用軟件工程中的能力成熟度模型 (CapabilityMutualModel,CMM)思想,針對ISMS建設的不同階段進行了探討。本文將在文獻的基礎上進行 詳細研究。文獻對信息系統(tǒng)的等級劃分進行了研究,但該文并非根據(jù)TCSEC標準或其他國際相關標準來進行安全等級劃分。中國信息安全產品測評認證中心 (現(xiàn)更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環(huán)和“主體-訪問-客體”過程,引入了小循環(huán)、大循環(huán)的方法對邏輯控制環(huán)節(jié)進行了研究。這種對 PDCA循環(huán)進行細分的思想對本文也有所啟迪。
綜上所述,本文的研究思路受文獻的啟發(fā),并結合了國內外有關學者的研究成果,根據(jù)ISMS-PDCA戴明環(huán)和 軟件工程中能力成熟度模型和信息安全風險評估的基本思想,提出了ISMS-CMM成熟度模型,并對其各個階段的具體內容進行了詳細研究。
關注卓越空間
關注卓越微博
關注卓越微信