第7章信息安全管理体系剖析.ppt

　　　　　　信息安全管理体系(ISMS)是组织在一定范围内建立的信息安全方针和目标，以及为实现这些方针和目标所采用的方法和文件体系。 　　组织应在所面临风险的环境下，针对其整体业务活动建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。这个过程在组织管理层的直接授权下，由信息安全管理体系领导小组来负责实施，通过制定一系列的文件，建立一个系统化、程序化与文件化的管理体系，来保障组织的信息安全。　　信息安全管理体系实施过程的依据是BS 7799-2或ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》，与此对应的我国国家标准是GB/T 22080—2008《信息技术—安全技术—信息安全管理体系要求》。 　　在信息安全管理体系实施过程中，采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)循环模型。PDCA循环是由美国质量管理专家戴明(W.E.Deming)提出来的，所以又称为“戴明环”(Deming Cycle)，它是有效进行任何一项工作的合乎逻辑的工作程序，在质量管理中应用广泛，并取得了很好的效果。　　实际上，建立和管理信息安全管理体系与其他管理体系一样， 需要采用过程的方法开发、实施和改进一个组织的ISMS的有效性，而PDCA循环是实施信息安全管理的有效模式，可应用于所有的信息安全管理体系过程，能够实现对信息安全管理只有起点，没有终点的持续改进，逐步提高信息安全管理水平。　　信息安全管理体系具有以下特点：　　(1) 强调基于系统、全面和科学的风险评估，体现以预防控制为主的思想。　　(2) 强调全过程的动态控制，达到控制成本与风险的平衡。 　　(3) 强调关键资产的信息安全保护，保持组织的竞争优势和运作持续性。　　信息安全管理体系的PDCA过程如图7-1所示。　　ISMS的PDCA具有以下内容：　　(1) 规划(Plan)：即建立ISMS。　　建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程，以提供与组织总方针和总目标相一致的结果。　　(2) 实施(Do)：即实施和运行ISMS。　　实施与运行ISMS方针、控制措施、过程和规程。 　　 图7-1　应用于ISMS过程的PDCA模型 　　(3) 检查(Check)：即监视和评审ISMS。　　对照ISMS方针、目标和实践经验，评估并在适当时测量过程的执行情况，并将结果报告管理者以供评审。　　(4) 处置(Act)：即保持和改进ISMS。　　基于ISMS内部审核和管理评审的结果或其他相关信息，采取纠正措施以持续改进ISMS。 　　7.2.1　组织与人员建设　　为了顺利建立信息安全管理体系，首先需要建设有效的信息安全组织机构，对相关的各类人员进行角色分配、明确权限并落实责任。 　　(1) 成立信息安全委员会。　　信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员等组成，定期召开会议，就信息安全方针的审批、信息安全管理职责的分配、信息安全事故的评审与监督、风险评估结果的确认等重要信息安全管理议题进行讨论并做出决策，为组织的信息安全管理提供导向和支持。 　　(2) 组建信息安全管理推进小组。　　在信息安全委员会批准下，任命信息安全管理经理，并由信息安全管理经理组建信息安全管理推进小组。小组成员一般是企业各部门的骨干成员，要求懂得信息安全技术知识，有一定的信息安全管理技能，并有较强的分析能力和厚实的文字功底。这些组织机构要保持合适的管理层次和控制范围，并具有一定的独立性，坚持执行部门与监督部门分离的原则。 　　(3) 保证有关人员的职责和权限得到有效地明确。　　通过培训、教育、制定文件等方式，使得相关的每位职员明白自己的职责和权限，以及与其他部分的关系，确保全体员工各司其职，相互配合，有效地开展活动，为信息安全管理体系的建设作出贡献。 7.2.2　工作计划制定　　为确保信息安全管理体系顺利建立，组织应该统筹安排，制定一个切实可行的工作计划，明确准备、初审、体系设计、实施运行和审核认证等不同阶段的工作任务和目标，以及责任分工，用以控制工作进度，并突出工作重点。总体计划批准之后，就可以针对具体工作项目制定详细计划。　　在制定工作计划时，要充分考虑资源需求，例如人员的需求、培训经费、办公设施、咨询费用等。如果寻求体系的标准或第三方认证，还要考虑认证的费用，组织最高管理层应确保提供建立体系所必须的人力与财力资源。 7.2.3　能力要求与教育培训　　所有涉及信息安全管理工作的人员，要求具有相应的能力，组织应对其作出适当的规定，制定与实施相应的教育与培训计划。　　1. 人员能力的要求　　信息安全管理相关人员应具有适应其工