|
如何建立信息安全管理体系(ISMS) |
希望对大家有帮助。 |
信息是所有组织赖以生存和发展的最有价值的资产之一,犹如维持生命所必须的血液。然而,在当今激烈竞争的商业环境下,作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部,也可能来自外部,可能是无意的,也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现,许多组织感到面对各种威胁防不胜防,犹如敞开了大门。 |
组织的业务目标和信息安全要求紧密相关。实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005标准的信息安全管理体系(Information Security Management System,以下简称ISMS),已成为时代的需要。 |
本文从简单分析ISO/IEC 27001:2005标准的要求入手,论述建立一个符合该标准要求的ISMS。 |
1. 正确理解ISMS的含义和要素 |
ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后,才有可能建立一个符合要求的完善的ISMS。因此,本节先对ISMS的含义和要素用通俗易懂的语言,做出解释。 |
(1) “体系”的含义 |
“信息安全管理体系”(Information Security Management System)中的“体系”来自英文 “System”。“System”当然可翻译为“体系”,但通常的译文应是“系统”。同样,“Management System” 当然可翻译为“管理体系”,但通常也翻译为“管理系统”。例如在计算机领域中,一个十分常见的术语“Database Management System”,被普遍公认地翻译为“数据库管理系统”(简称DBMS),而几乎没有人将其翻译为“数据库管理体系”。 很显然,如果把ISMS翻译为“信息安全管理系统”,也未尝不可。 |
实际上,“体系”和“系统”的含义都一样:由若干个为实现共同目标而相互依赖、协调工作的部件(或组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖,缺一不可。否则“体系”或“系统”就会受破坏、瘫痪,而不能工作或运行。例如,计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏,该计算机系统就不能正常运行。 |
此外,“体系”或“系统”是可分级的,即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。 |
(2)ISMS的含义 |
在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。 |
如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。 |
(3)ISMS的要素 |
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组分或要素。我们将其归纳后,ISMS的要素要包括: |
1) 信息安全管理机构 |
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。 |
2) ISMS文件 |
包括ISMS方针、过程、程序和其它必须的文件等。 |
3) 资源 |
包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。 |
ISMS的建立要确保这些ISMS要素得到满足。 |
2. 建立信息安全管理机构 |
(1) 为什么需要信息安全管理机构? |
系统 (或体系)可有“天然系统”和“人工系统”之分。ISMS是一个人工系统,需要管理机构组织人力建成。ISMS建成后,如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施等)ISMS不可能运行。ISMS也不可能是一个“永动机”,如果不能不断地从管理机构获取能源(包括人财物),其运行也会慢慢停止下来。 |
当今,社会上存在的常见问题是:某些组织建设管理体系的主要目的是为了取得认证证书,一旦取得证书,对管理体系的管理工作就松懈下来,相关的体系管理机构不健全,甚至被取消了,或者有名无实了。这样的管理体系不太可能获得好效益。 |
(2) 如何组建信息安全管理机构? |
1) 信息安全管理机构的名称 |
标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMS和EMS等。因此,最有效与省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。 |
2) 信息安全管理机构的级别 |
信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管理机构: |
a) 高层 |
以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。 |
b) 中层 |
负责该组织日常信息安全的管理与监督活动。 |
c) 基层 |
基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。 |
3. 执行标准要求的ISMS建立过程 |
在ISO/IEC 27001:2005标准 “4.2.1建立ISMS” 条款中,已经规定了ISMS的建立内容和步骤。组织要遵照这些内容和步骤,结合其总体业务活动和风险的需要,而建立其自己的ISMS,并形成相应的ISMS文件。 |
(1) 正确理解标准的要求 |
ISO/IEC 27001:2005“4.2.1 Establish the ISMS”(4.2.1建立ISMS) 条款,有10条强制性要求(见4.2.1 a-j)。由于在英文标准中,这些要求都通过使用一个英语词“shall”引出,因此,BSI(英国标准研究院)把这些“强制性要求”称为“shall” 要求 (“shall” Requirements) 。这意味着,凡是跟在“shall”后面的要求都是ISMS必须完全满足的命令式的要求。 |
这10条强制性要求既是10个过程或活动,也可作为ISMS建立的10个步骤。 |
(2) 遵照标准要求的ISMS建立步骤 |
按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求,建立ISMS的步骤包括: |
1) 定义ISMS的范围和边界,形成ISMS的范围文件; |
2) 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件; |
3) 定义组织的风险评估方法; |
4) 识别要保护的信息资产的风险,包括识别: |
a) 资产及其责任人; |
b) 资产所面临的威胁; |
c) 组织的脆弱点; |
d) 资产保密性、完整性和可用性的丧失造成的影响。 |
5) 分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单; |
6) 识别和评价风险处理的可选措施,形成《风险处理计划》文件; |
7) 根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件; |
8) 管理者正式批准所有残余风险; |
9) 管理者授权ISMS的实施和运行; |
10) 准备适用性声明。 |
4. 完成所需要的ISMS文件 |
ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-ISO/IEC 27001:2005,但必须按照ISMS文件的要求执行工作。 |
(1) ISMS文件的类型 |
根据ISO/IEC 27001:2005标准的要求,ISMS文件有三种类型。 |
1) 方针类文件(Policies) |
方针是政策、原则和规章。主要是方向和路线上的问题,包括: |
a) ISMS方针(ISMS policy); |
b) 信息安全方针(information security policy)。 |
其中,ISMS方针是信息安全方针的父集。即在ISMS方针的框架下,组织可根据实际需要,制定其它重要领域的具体的信息安全方针。例如,可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。 |
2) 程序类文件(Procedures) |
“程序文件”有时又称作“过程文件”,包含着为达到某个特定目的,而对一系列活动(或过程)的顺序进行控制。有输入-处理-输出。所产生的输出通常是“记录”。 |
3) 记录(Records) |
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。 |
4) 适用性声明文件(Statement of Applicability, 简称SOA) |
ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施ISMS的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。 |
(2) 必须的文件 |
“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容: |
1) ISMS方针 |
ISMS方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。 |
2) ISMS的范围 |
3) 支持ISMS的程序和控制措施; |
4) 风险评估方法的描述; |
5) 风险评估报告; |
6) 风险处理计划; |
7) 控制措施有效性的测量程序; |
8) 本标准所要求的记录; |
9) 适用性声明。 |
在实际工作中,上述内容经过归纳和整理后,可用以下文件表示: |
1) ISMS方针文件,包括ISMS的范围; |
2) 风险评估程序,包括“风险评估方法的描述”,而其运行的结果产生《风险评估报告》。 |
3) 风险处理程序,运行的结果产生《风险处理计划》。 |
4) 文件控制程序; |
5) 记录控制程序; |
6) 内部审核程序; |
7) 纠正措施与预防措施程序; |
8) 控制措施有效性测量程序 |
9) 管理评审程序 |
10) 适用性声明 |
(3) 任意的文件 |
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的任意的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于: |
1) 组织的业务活动及风险; |
2) 安全要求的严格程度; |
3) 管理的体系的范围和复杂程度。 |
这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。 |
(4)文件的符合性 |
ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此: |
1) 参考相关法律法规要求和标准要求 |
在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC 27001 “4.2.1b) 定义ISMS方针”;编写适用性声明时,要参考ISO/IEC 27001 “4.2.1 j) 准备适用性声明”;编写文件控制程序时,要参考ISO/IEC 27001 “4.3.2文件控制”等等。 |
2) 文件化本组织的最好实践 |
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。 |
3) 保持一致性 |
a) 同一个文件中,上下文不能有不一致(或矛盾)的地方 |
b) 同一个体系的不同文件之间不能有矛盾的地方 |
c) 不同体系的文件之间不能有不一致的地方 |
如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。 |