如何建立信息安全管理体系

如何建立信息安全管理体系(ISMS)

信息是所有组织赖以生存和发展的最有价值的资产之一，犹如维持生命所必须的血液。然而，在当今激烈竞争的商业环境下，作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部，也可能来自外部，可能是无意的，也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现，许多组织感到面对各种威胁防不胜防，犹如敞开了大门。

组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005标准的信息安全管理体系(Information Security Management System,以下简称ISMS)，已成为时代的需要。

本文从简单分析ISO/IEC 27001:2005标准的要求入手，论述建立一个符合该标准要求的ISMS。

1. 正确理解ISMS的含义和要素

ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后，才有可能建立一个符合要求的完善的ISMS。因此，本节先对ISMS的含义和要素用通俗易懂的语言，做出解释。

(1) “体系”的含义

“信息安全管理体系”(Information Security Management System)中的“体系”来自英文“System”。“System”当然可翻译为“体系”，但通常的译文应是“系统”。同样，“Management System” 当然可翻译为“管理体系”，但通常也翻译为“管理系统”。例如在计算机领域中，一个十分常见的术语“Database Management Sys tem”，被普遍公认地翻译为“数据库管理系统”(简称DBMS)，而几乎没有人将其翻译为“数据库管理体系”。很显然，如果把ISMS翻译为“信息安全管理系统”，也未尝不可。

实际上，“体系”和“系统”的含义都一样：由若干个为实现共同目标而相互依赖、协调工作的部件（或组分）组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖，缺一不可。否则“体系”或“系统”就会受破坏、瘫痪，而不能工作或运行。例如，计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏，该计算机系统就不能正常运行。

此外，“体系”或“系统”是可分级的，即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。

(2) ISMS的含义

在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS 是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。

如果一个组织有多个管理体系，例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。

(3) ISMS的要素

标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组分或要素。我们将其归纳后，ISMS的要素要包括：

1) 信息安全管理机构

通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。

2) ISMS文件

包括ISMS方针、过程、程序和其它必须的文件等。

3) 资源

包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。

ISMS的建立要确保这些ISMS要素得到满足。

2. 建立信息安全管理机构

(1) 为什么需要信息安全管理机构?

系统(或体系)可有“天然系统”和“人工系统”之分。ISMS是一个人工系统，需要管理机构组织人力建成。ISMS建成后，如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施等)ISMS不可能运行。ISMS也不可能是一个“永动机”，如果不能不断地从管理机构获取能源(包括人财物)，其运行也会慢慢停止下来。

当今，社会上存在的常见问题是：某些组织建设管理体系的主要目的是为了取得认证证书，一旦取得证书，对管理体系的管理工作就松懈下来，相关的体系管理机构不健全，甚至被取消了，或者有名无实了。这样的管理体系不太可能获得好效益。

(2) 如何组建信息安全管理机构？

1) 信息安全管理机构的名称

标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。

2) 信息安全管理机构的级别

信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：

a) 高层

以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。

b) 中层

负责该组织日常信息安全的管理与监督活动。

c) 基层

基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。

3. 执行标准要求的ISMS建立过程

在ISO/IEC 27001:2005标准“4.2.1建立ISMS” 条款中，已经规定了ISMS的建立内容和步骤。组织要遵照这些内容和步骤，结合其总体业务活动和风险的需要，而建立其自己的ISMS，并形成相应的ISMS文件。