信息安全管理體系-北京卓越同舟咨詢有限公司

信息安全管理體系

信息安全管理體系的基本思路與控制措施

發(fā)布時間： 2020-04-01 10:56:38

　　為便于信息安全管理體系的理解與應(yīng)用，現(xiàn)結(jié)合ISO/IEC27001：2016、GB/T22080-2016/ISO/IEC27001：2013及GB/T22081-2016/ISO/IEC27002：2013的相關(guān)要求，進行管理基本思路的整理，供參考。

　　1 信息也是資產(chǎn)，值得或需要保護以防范各種危害

　　所有類型的組織都會收集、處理、存儲和傳輸各種形式的信息，如語音、文字等。信息的價值已經(jīng)超越文字、數(shù)字和圖像的本身。

　　在互聯(lián)世界中，信息和相關(guān)過程、系統(tǒng)、網(wǎng)絡(luò)及其操作、處理與保護活動中所涉及的人員都是資產(chǎn)，與其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織的業(yè)務(wù)至關(guān)重要。

　　資產(chǎn)易遭受故意和意外的威脅，且相關(guān)的過程、系統(tǒng)、網(wǎng)絡(luò)和人員均有其固有的脆弱性（可以被一個或多個威脅利用的組織或資產(chǎn)的弱點）。業(yè)務(wù)過程和系統(tǒng)的變更或其他外部變更都有可能產(chǎn)生新的信息安全風險。

　　考慮到威脅利用脆弱性損害組織的途徑多種多樣，信息安全風險始終存在。

　　有效的信息安全通過防范威脅和脆弱性使組織得到保護來減少風險，從而降低對其資產(chǎn)的影響。

　　2 信息安全管理體系可以系統(tǒng)地管理信息安全

　　信息安全主要包括保持信息的保密性、完整性和可用性。

　　保密性即信息不能被未授權(quán)的個人、實體或者過程利用或知悉的特性；

　　完整性指準確和完備的特性；

　　可用性指根據(jù)授權(quán)實體的要求可訪問和使用的特性。

　　信息安全單純通過技術(shù)手段實現(xiàn)有一定的局限性，需要從系統(tǒng)全局的角度進行完善的管理，其中可通過GB/T22080-2016/ISO/IEC27001：2013實現(xiàn)信息安全的管理。

　　3 識別信息安全要求是第一步

　　確定信息安全要求是管理的出發(fā)點。安全要求一般有三個來源：

　　組織自身的風險點；

　　組織及其相關(guān)方的外部要求；

　　組織為支持自身運行，針對信息的操作、處理、存儲、通信和歸檔而建立的原則、目的和業(yè)務(wù)要求等。

　　4 信息安全風險評估

　　結(jié)合組織的戰(zhàn)略及內(nèi)外部環(huán)境，發(fā)揮領(lǐng)導(dǎo)作用，通過建立的信息安全風險準則，進行系統(tǒng)的信息安全風險識別，并對識別出的風險進行分析評估，確定風險優(yōu)先級別。

　　5 信息安全風險處置選項

　　在考慮風險評估結(jié)果的基礎(chǔ)上，選擇需要控制的適合的信息安全風險處置選項，確定所必需的所有控制。

　　6 選擇和實施信息安全控制措施

　　將選擇的所有控制與標準附錄進行對照，并驗證沒有忽略必要的控制。控制措施可從標準給出的指標中選擇，也可以特定設(shè)計。其中附錄給出了14個安全控制、35個主要安全類別和114項控制措施。

　　制定適用性聲明。

　　制定正式的信息安全風險處置計劃，獲得風險責任人對計劃及對信息安全殘余風險的接受的批準。

　　具體實施以上計劃，包括對變更的管理、外包過程的管理等。

　　7 持續(xù)改進

　　利用風險管理過程、管理體系的方法進行監(jiān)視、保持和改進與組織信息資產(chǎn)相關(guān)的安全控制措施的有效性，以實現(xiàn)持續(xù)改進。

　　8 適用性聲明

　　應(yīng)當制定一個適用性說明，包含必要的控制及其選擇的合理性說明（無論該控制是否已實現(xiàn)），以及對GB/T22080-2016/ISO/IEC27001：2013標準附錄A控制刪減的合理性說明。

　　當然可以增加一些標準附錄外的特定控制，此時可給出與標準可用條款的交叉應(yīng)用，以支持業(yè)務(wù)伙伴或其他相關(guān)方查看。

　　9 信息的生命周期考慮

　　信息在不同的生命周期階段，包括構(gòu)思、規(guī)約、設(shè)計、開發(fā)、測試、實現(xiàn)、使用、維護，并最終退役和銷毀中，其資產(chǎn)的價值和所面臨的風險可能會發(fā)生變化，如上市公司的報表信息在發(fā)布前后面臨的竊取或泄露所產(chǎn)生的危害是不同的。在每一階段上應(yīng)當考慮信息安全。

　　組織信息安全管理體系受到組織的需要和目標、安全要求、組織所采用的過程、規(guī)模和結(jié)構(gòu)的影響，并隨著時間的變化而發(fā)生變化。更重要的是信息安全管理體系是組織的過程和整體管理體系結(jié)構(gòu)的一部分并集成在其中，并且在過程、信息系統(tǒng)和控制設(shè)計中需要考慮信息安全。即信息安全管理體系應(yīng)于組織的需要相結(jié)合，以證實自己控制信息安全的能力，為組織和相關(guān)方提供信任。

返回上一級