|
組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實(shí)際上�,任何組織成功經(jīng)營(yíng)的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險(xiǎn)的才干。因此�����,如何確保信息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能力的一個(gè)新的挑戰(zhàn)任務(wù)�����。組織建立一個(gè)基于ISO/IEC 27001:2005 ISMS�����,已成為時(shí)代的需要。 從簡(jiǎn)單分析ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求入手�����,下面的內(nèi)容論述了建立一個(gè)符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)�����。 1.1.1 正確理解ISMS的含義和要素ISMS建設(shè)人員只有正確地理解ISMS的含義�����、要素和ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求之后����,才有可能建立一個(gè)符合要求的完善的ISMS。 ISMS的含義 在ISO/IEC 27001標(biāo)準(zhǔn)中�,已對(duì)ISMS做出了明確的定義。通俗地說(shuō)�����,組織有一個(gè)總管理體系����,ISMS是這個(gè)總管理體系的一部分,或總管理體系的一個(gè)子體系�。ISMS的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ),其目的是建立�����、實(shí)施�����、運(yùn)行�����、監(jiān)視����、評(píng)審、保持和改進(jìn)信息安全�����。 如果一個(gè)組織有多個(gè)管理體系����,例如包括ISMS�、QMS(質(zhì)量管理體系)和EMS(環(huán)境管理體系)等����,那么這些管理體系就組成該組織的總管理體系,而每一個(gè)管理體系只是該組織總管理體系中的一個(gè)組成部分�,或一個(gè)子管理體系。各個(gè)子管理體系必須相互配合�、協(xié)調(diào)一致地工作,才能實(shí)現(xiàn)該組織的總目標(biāo)�����。 ISMS的要素 標(biāo)準(zhǔn)還指出����,管理體系包括“組織的結(jié)構(gòu)、方針����、規(guī)劃活動(dòng)、職責(zé)�、實(shí)踐、程序、過(guò)程和資源”(見(jiàn)ISO/IEC 27001:2005 3.7)�。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致�,缺一不可的組成部分或要素����。我們將其歸納后,ISMS的要素要包括: 1) 信息安全管理機(jī)構(gòu) 通過(guò)信息安全管理機(jī)構(gòu)�����,可建立各級(jí)安全組織�����、確定相關(guān)人員職責(zé)�、策劃信息安全活動(dòng)和實(shí)踐等。 2) ISMS文件 包括ISMS方針�、過(guò)程、程序和其它必須的文件等�。 3) 資源 包括建立與實(shí)施ISMS所需要的合格人員、足夠的資金和必要的設(shè)備等�。 ISMS的建立要確保這些ISMS要素得到滿足。 1.1.2 建立信息安全管理機(jī)構(gòu)1) 信息安全管理機(jī)構(gòu)的名稱 標(biāo)準(zhǔn)沒(méi)有規(guī)定信息安全管理機(jī)構(gòu)的名稱�����,因此名稱并不重要。從目前的情況看�����,許多組織在建立ISMS之前�,已經(jīng)運(yùn)行了其它的管理體系,如QMS和EMS等�。因此,最有效與節(jié)省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)�,實(shí)行一元化領(lǐng)導(dǎo)。 2) 信息安全管理機(jī)構(gòu)的級(jí)別 信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定����。從管理效果看,對(duì)于中等以上規(guī)模的組織�,最好設(shè)立三個(gè)不同級(jí)別的信息安全管理機(jī)構(gòu): a) 高層:以總經(jīng)理或管理者代表為領(lǐng)導(dǎo),確保信息安全工作有一個(gè)明確的方向和提供管理承諾和必要的資源�。 b) 中層:負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。 c) 基層:基層部門(mén)指定一位兼職的信息安全檢查員�����,實(shí)施對(duì)其本部門(mén)的日常信息安全監(jiān)視和檢查工作����。 1.1.3 執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過(guò)程按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求����,建立ISMS的步驟包括: 1) 定義ISMS的范圍和邊界�����,形成ISMS的范圍文件�����; 2) 定義ISMS方針(包括建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等),形成ISMS方針文件�����; 3) 定義組織的風(fēng)險(xiǎn)評(píng)估方法����; 4) 識(shí)別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn)����,包括識(shí)別: a) 資產(chǎn)及其責(zé)任人; b) 資產(chǎn)所面臨的威脅�����; c) 組織的脆弱點(diǎn); d) 資產(chǎn)保密性�����、完整性和可用性的喪失造成的影響����。 5) 分析和評(píng)價(jià)安全風(fēng)險(xiǎn),形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》文件�,包括要保護(hù)的信息資產(chǎn)清單; 6) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施�,形成《風(fēng)險(xiǎn)處理計(jì)劃》文件; 7) 根據(jù)風(fēng)險(xiǎn)處理計(jì)劃�,選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施,形成相關(guān)的文件�����; 8) 管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)�����; 9) 管理者授權(quán)ISMS的實(shí)施和運(yùn)行����; 10) 準(zhǔn)備適用性聲明�����。 1.1.4 完成所需要的ISMS文件ISMS文件是ISMS的主要要素�,既要與ISO/IEC 27001:2005保持一致����,又要符合本組織的信息安全的需要。實(shí)際上�����,ISMS文件是本組織“度身定做”的適合本組織需要的實(shí)際的信息安全管理標(biāo)準(zhǔn)�����,是ISO/IEC 27001:2005的具體體現(xiàn)�。對(duì)一般員工來(lái)說(shuō)�����,在其實(shí)際工作中�,可以不過(guò)問(wèn)國(guó)際信息安全管理標(biāo)準(zhǔn)-ISO/IEC 27001:2005�,但必須按照ISMS文件的要求執(zhí)行工作�����。 (1) ISMS文件的類型 根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求����,ISMS文件有三種類型。 1) 方針類文件(Policies) 方針是政策�、原則和規(guī)章。主要是方向和路線上的問(wèn)題�����,包括: a) ISMS方針(ISMS policy)����; b) 信息安全方針(information security policy)。 2) 程序類文件(Procedures) 3) 記錄(Records) 記錄是提供客觀證據(jù)的一種特殊類型的文件����。通常, 記錄發(fā)生于過(guò)去,是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié)果(或輸出)�����。記錄通常是表格形式。 4) 適用性聲明文件(Statement of Applicability, 簡(jiǎn)稱SOA) ISO/IEC 27001:2005標(biāo)準(zhǔn)的附錄A提供許多控制目標(biāo)和控制措施�����。這些控制目標(biāo)和控制措施是最佳實(shí)踐�。對(duì)于這些控制目標(biāo)和控制措施,實(shí)施ISMS的組織只要有正當(dāng)性理由�,可以只選擇適合本組織使用的那些部分,而不適合使用的部分�,可以不選擇。選擇�����,或不選擇�,要做出聲明(說(shuō)明)�,并形成《適用性聲明》文件。 (2) 必須的文件 “必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的�,一定要有的文件。這些文件就是所謂的強(qiáng)制性文件(mandatory documents)�����。“4.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容: 1) ISMS方針 ISMS方針是組織的頂級(jí)文件�����,規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向,以及各方面人員的職責(zé)等�����。 2) ISMS的范圍 3) 支持ISMS的程序和控制措施����; 4) 風(fēng)險(xiǎn)評(píng)估方法的描述; 5) 風(fēng)險(xiǎn)評(píng)估報(bào)告�; 6) 風(fēng)險(xiǎn)處理計(jì)劃; 7) 控制措施有效性的測(cè)量程序����; 8) 本標(biāo)準(zhǔn)所要求的記錄; 9) 適用性聲明�����。 (3) 可選的文件 除了上述必須的文件外����,組織可以根據(jù)其實(shí)際的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要,而確定某些文件(包括某些程序文件和方針類文件)�。這些文件就是所謂的可選的文件(Discretionary documents)�����。這類文件的內(nèi)容可隨組織的不同而有所不同����,主要取決于: 1) 組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)�; 2) 安全要求的嚴(yán)格程度; 3) 管理的體系的范圍和復(fù)雜程度�����。 這里����,需要特別提出的是,ISMS的特點(diǎn)之一是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理�����。組織需要哪些ISMS文件及其復(fù)雜程度如何����,通??筛鶕?jù)風(fēng)險(xiǎn)評(píng)估決定�����。如果風(fēng)險(xiǎn)評(píng)估的結(jié)果�,發(fā)現(xiàn)有不可接受的風(fēng)險(xiǎn)�,那么就應(yīng)識(shí)別處理這些風(fēng)險(xiǎn)的可能方法,包括形成相關(guān)文件����。 (4) 文件的符合性 ISMS文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合ISO/IEC 27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實(shí)際要求�。為此: 1) 參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求 在編寫(xiě)ISMS文件時(shí),編寫(xiě)者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求�,例如,在編寫(xiě)ISMS方針時(shí)�����,要參考ISO/IEC 27001 “4.2.1b) 定義ISMS方針”����;編寫(xiě)適用性聲明時(shí),要參考ISO/IEC 27001 “4.2.1 j) 準(zhǔn)備適用性聲明”����;編寫(xiě)文件控制程序時(shí)�����,要參考ISO/IEC 27001 “4.3.2文件控制”等等�。 2) 將本組織的最好實(shí)踐形成文件 為了易于操作�,編寫(xiě)者最好把本組織當(dāng)前的最好實(shí)踐寫(xiě)下來(lái),補(bǔ)充標(biāo)準(zhǔn)的要求����,形成統(tǒng)一格式的文件。 3) 保持一致性 a) 同一個(gè)文件中����,上下文不能有不一致或矛盾的地方 b) 同一個(gè)體系的不同文件之間不能有矛盾的地方 c) 不同體系的文件之間不能有不一致的地方 如果組織同時(shí)運(yùn)行多個(gè)管理體系,例如質(zhì)量管理體系(QMS)�����、環(huán)境管理體系(EMS)和ISMS等�,那么各個(gè)體系的文件之間應(yīng)相互協(xié)調(diào),避免產(chǎn)生不一致的地方����。此外,在文字的表達(dá)上����,應(yīng)準(zhǔn)確,無(wú)二義
|
