摘 要 信息安全管理體系作為組織對(duì)信息安全工作實(shí)施管理的有效方法之一，在信息安全領(lǐng)域獲得了廣泛的應(yīng)用。本文從信息安全管理體系的特點(diǎn)出發(fā)，基于風(fēng)險(xiǎn)管理和持續(xù)改進(jìn)的思想，從實(shí)踐出發(fā)，提出了行之有效的實(shí)施方法，此外，本文還跟蹤研究了信息安全管理體系的最新發(fā)展，介紹了信息安全管理體系在架構(gòu)、內(nèi)容等方面的重大變化，指出了這種變化對(duì)未來(lái)實(shí)施信息安全管理體系的影響。

1 引言

隨著信息技術(shù)的發(fā)展逐漸涌現(xiàn)眾多信息安全問(wèn)題，例如病毒、漏洞、黑客、安全事件等，這些安全問(wèn)題不斷對(duì)信息系統(tǒng)造成影響，進(jìn)而對(duì)組織，甚至國(guó)家安全產(chǎn)生影響。如何解決信息安全問(wèn)題也成為大家關(guān)注的焦點(diǎn)，防病毒、防火墻、入侵檢測(cè)等信息安全產(chǎn)品逐步在各組織得到了部署。眾所周知，技術(shù)和管理是相輔相成的，信息安全并不僅是技術(shù)過(guò)程，而是一個(gè)綜合防范的過(guò)程，信息安全管理是綜合防范過(guò)程中的一個(gè)重要部分，在信息安全保障工作中必須管理與技術(shù)并重，進(jìn)行綜合防范，才能有效保障安全，這也是實(shí)現(xiàn)信息安全目標(biāo)的必由之路。

信息安全管理體系(Information Security Management Systems, 簡(jiǎn)稱ISMS)是管理體系方法在信息安全領(lǐng)域的運(yùn)用，它可以從組織整體的角度來(lái)識(shí)別安全風(fēng)險(xiǎn)，通過(guò)采取相應(yīng)的安全控制措施(既包括安全技術(shù)措施，也包括安全管理措施)，達(dá)到綜合防范、保障安全的目標(biāo)。信息安全管理體系的概念已經(jīng)跳出了傳統(tǒng)的“為了安全而安全”的理解，它強(qiáng)調(diào)的是基于業(yè)務(wù)風(fēng)險(xiǎn)方法來(lái)組織信息安全活動(dòng)，其本身是組織整個(gè)管理體系的一部分。

2 信息安全管理體系方法及應(yīng)用

2.1 信息安全管理體系的風(fēng)險(xiǎn)管理思想

風(fēng)險(xiǎn)管理是信息安全管理體系建設(shè)中的關(guān)鍵。風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理兩個(gè)階段，風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建設(shè)中提出信息安全要求的關(guān)鍵依據(jù)，風(fēng)險(xiǎn)處理是解決信息安全問(wèn)題，采取控制措施的指導(dǎo)規(guī)范。

1)風(fēng)險(xiǎn)管理是信息安全的基礎(chǔ)性工作

信息安全中的風(fēng)險(xiǎn)管理是傳統(tǒng)風(fēng)險(xiǎn)理論和方法在信息安全領(lǐng)域的運(yùn)用，是科學(xué)分析和理解信息資產(chǎn)在保密性、完整性、可用性等方面所面臨風(fēng)險(xiǎn)，并針對(duì)重要風(fēng)險(xiǎn)作出接受、減緩、轉(zhuǎn)移和規(guī)避等控制方法的過(guò)程。

風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息資產(chǎn)的安全保護(hù)需求，因此，信息安全建設(shè)應(yīng)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，以控制安全風(fēng)險(xiǎn)，減少安全事件發(fā)生為目標(biāo)。只有在正確、全面地了解和理解安全風(fēng)險(xiǎn)后，才能決定如何處理安全風(fēng)險(xiǎn)，從而在信息安全投資、信息安全措施選擇、信息安全保障體系建設(shè)等方面作出合理決策。持續(xù)的風(fēng)險(xiǎn)管理工作將成為檢查信息安全工作績(jī)效的有力手段，并為信息化項(xiàng)目的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)組織信息化的進(jìn)一步發(fā)展。

2)風(fēng)險(xiǎn)評(píng)估和處理在信息安全管理體系建設(shè)中的重要性

信息安全管理體系的建立需要首選確定信息安全需求，而信息安全風(fēng)險(xiǎn)評(píng)估獲取信息安全需求的主要手段，因此，信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，沒(méi)有風(fēng)險(xiǎn)評(píng)估，信息安全管理體系的建立就沒(méi)有依據(jù)。而風(fēng)險(xiǎn)處理的過(guò)程則是信息安全管理體系實(shí)施與運(yùn)行階段的重要內(nèi)容，殘余風(fēng)險(xiǎn)的水平將直接影響體系的運(yùn)行效果。

因此風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理是信息安全管理體系建設(shè)運(yùn)行過(guò)程中最重要的活動(dòng)之一，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理所生成的兩個(gè)文件：風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處理計(jì)劃，也是體系運(yùn)行的重要證據(jù)之一。信息安全管理體系運(yùn)行的效果很大程度上取決于風(fēng)險(xiǎn)管理方法的適宜性和有效性。

2.2 信息安全管理體系的持續(xù)改進(jìn)機(jī)制

信息安全管理體系的一個(gè)突出特點(diǎn)是持續(xù)改進(jìn)，通過(guò)體系的建設(shè)，可以有效實(shí)現(xiàn)信息安全工作的持續(xù)改進(jìn)，不斷提高信息安全的防護(hù)水平和能力，應(yīng)對(duì)不斷涌現(xiàn)的新的信息安全威脅。

信息安全管理體系的持續(xù)改進(jìn)機(jī)制主要體現(xiàn)在下列方面：

(1)過(guò)程方法

在管理活動(dòng)中，過(guò)程單元是控制的基本要素，過(guò)程方法已成為管理活動(dòng)的基本方法，研究過(guò)程之間的相互聯(lián)系和作用，有利于對(duì)這些過(guò)程進(jìn)行有效的、連續(xù)的控制，從而確保整體管理的有效性。過(guò)程方法模型如圖1所示。

圖1 過(guò)程方法模型

為使組織有效運(yùn)作，必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)，通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)可視為過(guò)程。通常，一個(gè)過(guò)程的輸出直接形成下一個(gè)過(guò)程的輸入。而過(guò)程方法則是指組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用，連同這些過(guò)程的識(shí)別和相互作用及其管理。

(2)PDCA循環(huán)

PDCA模型又叫戴明環(huán)，是管理學(xué)中的一個(gè)通用模型，如圖2所示。

圖2 PDCA模型

PDCA模型在實(shí)施時(shí)，呈現(xiàn)出如下特點(diǎn)：

1)循環(huán)進(jìn)行

2)相互嵌套

3)不斷改進(jìn)

(3)內(nèi)部審核

信息安全管理體系內(nèi)部審核的總目標(biāo)是以規(guī)定的時(shí)間間隔(一般不超過(guò)一年)檢查信息安全管理體系的各方面是否按預(yù)期功能運(yùn)行。審核的次數(shù)應(yīng)按計(jì)劃進(jìn)行，使得審核工作能均勻地分布在所確定的期間。當(dāng)信息安全管理體系有重大變化或發(fā)生重大不符合項(xiàng)時(shí)，要增加審核頻次。

(4)管理評(píng)審

信息安全管理體系管理評(píng)審是管理者按照計(jì)劃的時(shí)間間隔組織實(shí)施的信息安全管理體系的評(píng)審，其目標(biāo)是要檢查信息安全管理體系是否有效，識(shí)別可以改進(jìn)的地方，并采取措施，以保證信息安全管理體系保持持續(xù)的適宜性、充分性和有效性。當(dāng)確定當(dāng)前的安全狀況是滿意時(shí)，為了預(yù)見(jiàn)未來(lái)信息安全管理體系的變化和確保其持續(xù)的有效性，注意力應(yīng)放在變化中的技術(shù)與業(yè)務(wù)要求、新威脅與脆弱性的攻擊上。

(5)糾正和預(yù)防措施

首先應(yīng)該認(rèn)識(shí)到糾正與糾正措施的區(qū)別：糾正是指為消除已發(fā)現(xiàn)的不符合所采取的措施，而糾正措施是指為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施，其目的是消除不符合的原因，防止不符合項(xiàng)的再次發(fā)生。采取糾正措施的范圍和程度要根據(jù)不符合項(xiàng)對(duì)組織的綜合影響程度而定，包括風(fēng)險(xiǎn)、利益和投入成本等，要評(píng)價(jià)確保不符合項(xiàng)不再發(fā)生的措施需求。

2.3 信息安全管理體系的實(shí)施方法

組織需要信息安全，一方面是業(yè)務(wù)連續(xù)性發(fā)展的要求，另一方面是適用的法律法規(guī)和標(biāo)準(zhǔn)的要求。這些要求是不斷發(fā)展和變化的，組織必須持續(xù)的增強(qiáng)其信息安全能力和改進(jìn)其信息安全水平以滿足不斷發(fā)展的信息安全要求。

信息安全管理體系方法指導(dǎo)組織分析信息安全要求，識(shí)別和規(guī)定相關(guān)過(guò)程，并使其持續(xù)受控，以實(shí)現(xiàn)組織能接受的信息安全目標(biāo)。信息安全管理體系提供持續(xù)改進(jìn)的框架，以增強(qiáng)組織信息安全能力，同時(shí)向組織的其它利益相關(guān)方提供信心和信任。信息安全管理體系的實(shí)施方法應(yīng)重點(diǎn)關(guān)注下列三個(gè)方面：

1)應(yīng)用PDCA模型

在信息安全管理體系的建設(shè)過(guò)程中，應(yīng)用PDCA模型，可以有效規(guī)范各類活動(dòng)的階段性，充分體現(xiàn)其持續(xù)改進(jìn)機(jī)制，最大程度發(fā)揮信息安全管理體系的特點(diǎn)，應(yīng)用PDCA模型的信息安全管理體系建設(shè)過(guò)程如圖3所示。

圖3 應(yīng)用PDCA模型的信息安全管理體系建設(shè)過(guò)程

2)實(shí)施安全風(fēng)險(xiǎn)評(píng)估和處理

安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的實(shí)施，對(duì)于體系的建設(shè)和運(yùn)行而言異常關(guān)鍵，在體系建設(shè)運(yùn)行過(guò)程中，需要完成下列活動(dòng)：

a) 確定信息安全風(fēng)險(xiǎn)評(píng)估方法;

b) 識(shí)別信息安全風(fēng)險(xiǎn);

c) 分析和評(píng)價(jià)信息安全風(fēng)險(xiǎn);

d) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施;

e) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施;

f) 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn);

g) 實(shí)施風(fēng)險(xiǎn)處置計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo);

h) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審。信息安全風(fēng)險(xiǎn)管理流程如圖4所示。

圖4 信息安全管理過(guò)程

3)編制安全體系文件

信息安全管理體系是一個(gè)文件化的體系，所制定的所有安全策略應(yīng)形成文件，應(yīng)將為降低風(fēng)險(xiǎn)所選擇的控制措施以及之前已實(shí)施的控制措施形成體系文件，建立完善的信息安全管理制度體系，涵蓋安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、信息安全事件管理、信息安全業(yè)務(wù)連續(xù)性管理、符合性等方面。

3 信息安全管理體系的最新發(fā)展

3.1 背景

目前存在多個(gè)管理體系標(biāo)準(zhǔn)，例如ISO 9001、ISO 14000、ISO 22000、ISO/IEC 27001等，其他諸如交通、社會(huì)安全、記錄管理、事件管理和能源等領(lǐng)域也正在開(kāi)發(fā)管理體系標(biāo)準(zhǔn)?；谌绱吮姸嗟墓芾眢w系標(biāo)準(zhǔn)以及巨大的市場(chǎng)，國(guó)際標(biāo)準(zhǔn)化組織的技術(shù)委員會(huì)(TMB)意識(shí)到應(yīng)找出一種協(xié)調(diào)不同管理體系實(shí)施的方法。TMB的聯(lián)合技術(shù)協(xié)調(diào)組/管理體系(JTCG/MS)承擔(dān)該項(xiàng)任務(wù)，將為任何一個(gè)管理體系開(kāi)發(fā)一個(gè)統(tǒng)一架構(gòu)和部分同一文本。

3.2 信息安全管理體系標(biāo)準(zhǔn)的修訂

正在修訂中的ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001，將采用ISO/TMB/JTCG MSS的統(tǒng)一結(jié)構(gòu)，將原來(lái)的架構(gòu)做比較大的調(diào)整，并采用標(biāo)準(zhǔn)的文本，只是在信息安全方面做相應(yīng)的擴(kuò)充。

為適應(yīng)新的ISO/TMB/JTCG MSS架構(gòu)，ISO/IEC 27001原有架構(gòu)和內(nèi)容將有相應(yīng)的調(diào)整，如圖5所示。

圖5 ISO/IEC 27001架構(gòu)調(diào)整圖

信息安全管理體系的這種變化，從管理體系層面來(lái)看，有利于與其他管理體系的兼容實(shí)施，并保障不同管理體系之間的協(xié)調(diào)一致。但就信息安全管理體系本身而言，其原有的標(biāo)準(zhǔn)架構(gòu)直接規(guī)范了體系的建設(shè)流程，按PDCA四個(gè)階段明確了各流程的活動(dòng)，比較有利于體系建設(shè)方應(yīng)用該標(biāo)準(zhǔn)。而新架構(gòu)劃分了更多的環(huán)節(jié)與控制，這種架構(gòu)將影響到原有用戶對(duì)體系的認(rèn)識(shí)，從邏輯性和條理性方面，都將需要一定時(shí)間的學(xué)習(xí)，因此會(huì)一定程度上增大體系建設(shè)的難度。

3.3 信息安全控制域的變化

新版本的ISO/IEC 27001不僅從架構(gòu)上做了調(diào)整，從內(nèi)容，尤其是信息安全控制方面，也做了相應(yīng)調(diào)整。

原有標(biāo)準(zhǔn)將信息安全控制域劃分為11個(gè)方面：安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、信息安全事件管理、信息安全業(yè)務(wù)連續(xù)性管理、符合性。新標(biāo)準(zhǔn)將增加供應(yīng)商關(guān)系管理、網(wǎng)絡(luò)應(yīng)用服務(wù)管理兩個(gè)方面，控制域中的控制類也做了相應(yīng)調(diào)整，例如將原來(lái)信息安全組織域中的對(duì)外部各方的管理，調(diào)整到新的供應(yīng)商關(guān)系管理中。

體系在這方面的變化，也將影響到原有體系建設(shè)用戶，從整個(gè)文件體系的框架設(shè)計(jì)，到具體安全策略，可能都需要做相應(yīng)的調(diào)整。

4 結(jié)束語(yǔ)

只要存在信息化應(yīng)用，就會(huì)有信息安全問(wèn)題。隨著組織信息化水平的不斷提高，其對(duì)信息化的依賴性也越來(lái)越強(qiáng)，因此信息安全也就成為組織信息化工作中非常重要的一環(huán)。信息安全管理體系作為實(shí)現(xiàn)組織信息安全的一種優(yōu)秀方法，已經(jīng)得到了業(yè)界的認(rèn)可。

本文從信息安全管理體系的特點(diǎn)出發(fā)，基于風(fēng)險(xiǎn)管理和持續(xù)改進(jìn)的思想，從實(shí)踐出發(fā)，提出了行之有效的實(shí)施方法，此外，本文還跟蹤研究了信息安全管理體系的最新發(fā)展，介紹了信息安全管理體系在架構(gòu)、內(nèi)容等方面的重大變化，指出了這種變化對(duì)未來(lái)實(shí)施信息安全管理體系的影響。