本帖最后由 it17580_2 于 2016-6-15 15:50 编辑
我们借鉴了500强企业成熟体系,对标国内外安全标准,结合中国企业管理特色,通过3个月的努力,总结出了一套目前国内最全面的经过落地实践验证的信息安全管理体系(ISMS)。体系涵盖了管理总则、风险管理、控制管理、合规性管理、安全事件管理5大方面。它将原本割裂的信息安全管理孤岛进行流程化转换,让信息安全管理真正的融入业务流程和IT管理流程中,形成一套完整的、可指导企业落地的信息安全管理的最佳实践。该体系可以指导企业进行信息安全事件管理、降低IT风险和相关成本、同时使企业达到各方合规性审核要求。这篇文章会首先介绍风险管理的相关内容。之后的内容会以连载的形式逐一予以介绍。
风险管理的核心是风险评估(RA)。风险评估为信息安全管理(ISM)提供了一套标准、实用的流程,通过这套流程,IT交付人员和业务人员可以了解到以下内容: - 什么情况下需要风险评估?—— 风险评估的触发
- 信息资产的价值是什么?—— 业务影响评估(BIA)
- 资产对业务来说是否是核心的? —— 核心业务登记
- 存在哪些威胁和脆弱性导致风险?—— 威胁和脆弱性分析(TVA)
- 如何基于风险选择相关的IT控制手段? —— 控制选择
- 为达到质量要求需要什么服务等级? —— 服务等级协议(SLA)
风险管理流程基于行业标准和最佳实践。成功的风险管理的先决条件是:信息安全管理人员对业务流程所有人和业务应用所有人拥有完全的访问权限。
风险管理流程分为以下几个阶段: 1. 风险评估和控制选择 1.1. 信息风险评估和控制选择流程 风险评估和控制选择流程适用于企业业务流程所使用的信息资产。这可以由企业通过企业IT部门提供,也可以由第三方通过他们的基础设施提供。这意味着,风险评估和控制选择也适用于第三方(应用服务提供商,云计算)托管的信息资产,如网站和应用程序。要考虑到的风险要素包括:机密性、完整性、可用性和法规合规性。 1.2. 核心业务定义 核心业务定义的目的是为了识别企业必要资产,并确保它们得到适当的保护和管理。这些资产应当由核心业务列表来维护,并受到更严格的管制和合规性监视活动。 1.3. BIA指导 业务影响评估(BIA)是理解任何涉及信息资产的安全事件的发生(泄密、数据损坏、信息不可用等)对业务的影响的信息安全管理过程。
2. 风险评估管理和报告 风险评估管理和报告支持从风险评估或合规流程中确定的风险。风险评估管理和报告为企业IT管理提供了: 对ISM特定风险生成风险可视化的手段; 对信息风险的理解,以促进ISM中修复和改进活动的优先次序。
3. 项目约定 项目约定(ProjectEngagement)有助于项目经理、服务提供商和ISM专家在IT解决方案的开发上实现ISMS要求的规划和整合。项目约定的步骤与项目交付框架(PDF)是一致的,并且定义了: 项目交付生命周期所需的最少的ISM活动; ISM门径管理签署所需的最少的交付物。
4. 信息风险处置流程 此过程说明了风险管理流程需要如何由业务ISM团队来实施,以积极地管理从风险评估或合规流程中识别出的风险。当涉及到风险接受请求的审查时,业务ISM和风险管理及控制委员会的角色会出现在风险接受的过程中。
以上简要地介绍风险评估管理的流程和一些要点。风险评估是信息安全管理的第一步,准确的、有针对性的风险评估,能够很好的指出企业内部现存的信息风险或信息安全问题,为接下里的改进和纠正计划提供前提。
|