國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
聯系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
服務項目
ISO27001信息安全管理體系(Information Security Management System)作為組織完整的管理體系中 的一個重要環(huán)節(jié),構成了信息安全具有能動性的部分,是指導和控制組織的關于信息安全風險的相互協調的活 動,其針對對象就是組織的信息資產。了解信息安全管理的方法,我們必須先明確企業(yè)或組織的信息安全需求。 一般來說,企業(yè)的信息安全需求主要有三個來源,他們分別是法律法規(guī)與合同條約的要求;組織的原則、目標和 規(guī)定;風險評估的結果等。
信息安全的成敗取決于兩個因素:技術和管理,人們常說,三分技術,七分管理,可見管理對信息安全的重 要性,我們可以把安全技術比作信息安全的構筑材料,那么安全管理則是真正的粘合劑和催化劑。現實世界里, 大多數安全事件的發(fā)生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的,理解并重視管理 對于信息安全的關鍵作用,對于真正實現信息安全目標來說尤其重要。信息安全不是產品的簡單堆積,也不是一 次性的靜態(tài)過程,它是人員、技術、操作這三種要素的緊密結合的系統(tǒng)工程,是不斷演進、循環(huán)發(fā)展的動態(tài)過 程。
信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動。首先應該制定信息安全的策略方 針,它是信息安全管理的導向和支持,在此基礎上選擇控制目標與控制方式,企業(yè)和組織還需考慮控制成本與風 險平衡的原則,將風險降低到組織可接受的水平,整個管理過程需要全員的參與,實施動態(tài)管理。實施安全管 理,還應遵循管理的一般模式——PDCA模型。
PDCA模型,即Plan、Do、Check和Act,是一種持續(xù)改進的管理模式,見下圖所示。
image.png
計劃(Plan)——根據風險評估結果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施;
實施(Do)——實施所選的安全控制措施;
檢查(Check)——依據策略、程序、標準和法律法規(guī),對安全措施的實施情況進行符合性檢查。 PDCA模型是一種抽象的模型,它把相關的資源和活動抽象為過程進行管理,具有廣泛通用性。
措施(Action)——針對檢查結果采取應對措施,改進安全狀況
PDCA是順序依次進行的,依靠組織的力量推動,周而復始,不斷循環(huán),持續(xù)改進,組織中的每個部門和個人,在履行相關職責時,都是基于PDCA這個過程的,組織的內部管理,就構成了大環(huán)套小環(huán)層層遞進的模式,每一次循環(huán)結束,都要對其進行總結,鞏固成績,改進不足,同時提出新的目標,以便進入下一次更高級的循環(huán)。
ISO27000/ISO27001標準對于信息安全管理體系的定義如下圖所示:
ISO27001信息安全管理可操作的一般過程和相應的活動包括:
1、確定組織的信息安全目標和戰(zhàn)略
2、開發(fā)信息安全策略
3、進行風險評估(Risk Assessment),明確組織的信息安全需求,具體活動包括:
3.1、制定風險評估計劃(明確范圍和責任,采集相關信息,描述目標系統(tǒng));
3.2、識別并評價信息資產,理解資產的價值和敏感性;
3.3、識別并評估威脅,理解威脅發(fā)生的可能性;
3.4、識別并評價弱點,理解弱點被利用的容易程度;
3.5、評估風險,確定風險等級;
3.6、評估并比較現有的安全措施(控制),找出目標與現狀之間的差距;
3.7、根據已經明確的需求來推薦安全措施。
4、進行風險消減(Risk Mitigation),具體活動包括:
4.1、確定風險消減策略,以便減少、規(guī)避、轉嫁或接受風險;
4.2、選擇安全措施(控制);
4.3、制定安全計劃,明確安全措施的構建和實施方案;
4.4、實施安全計劃和策略;
4.5、對安全計劃和策略的實施結果進行測試和檢查。
5、進行風險控制(Risk Control),具體包括:
5.1、信息系統(tǒng)的維護與操作;
5.2、安全意識、培訓與教育;
5.3、對信息系統(tǒng)的運行和安全措施的效力進行監(jiān)視;
5.4、事件響應;
5.5、再評估與認證。
6、配置管理(Configuration Management),確保系統(tǒng)發(fā)生的變化不會降低安全措施的效力和組織的整體安全。
7、變更管理(Change Management),當信息系統(tǒng)發(fā)生變化時,識別新的安全需求。
8、應急計劃(Contingency Planning),包括業(yè)務連續(xù)性計劃、災難恢復計劃等。
對應PCDA模型,信息安全目標與戰(zhàn)略的確定、信息安全策略開發(fā)以及風險評估屬于計劃階段(Plan),風險消減屬于實施階段(Do),風險控制、配置管理、變更管理、應急計劃以及安全意識培訓等活動都可以歸入到檢查(Check)和措施(Action)階段。我們所強調的信息安全管理模式,是由風險驅動的信息安全管理模 式,是對組織的信息安全風險進行控制和指導的相互協調的活動,風險管理是其中的核心。
關注卓越空間
關注卓越微博
關注卓越微信