信息安全管理体系建立的通用方法
信息安全管理体系
信息安全管理体系信息安全是现代社会中一个日益重要的领域,各种公司、组织和机构都需要确保其信息资产的安全性。
而信息安全管理体系则是一种用于保护和管理信息资产的方法和体系。
本文将探讨信息安全管理体系的定义、特点、实施过程以及相关标准。
一、信息安全管理体系的定义信息安全管理体系,简称ISMS(Information Security Management System),是指用于保护和管理信息资产的一套标准、政策、流程和活动的集合。
它旨在确保组织对信息安全的需求得以满足,并能够持续改进信息安全管理能力。
二、信息安全管理体系的特点1. 综合性:信息安全管理体系综合了组织内外部的资源和能力,涵盖了对信息资产进行全面管理的各个方面。
2. 系统性:信息安全管理体系是一个系统工程,它涉及到组织内部的各个层级和部门,并需要与外部的供应商、合作伙伴等进行密切合作。
3. 持续性:信息安全管理体系不是一次性的项目,而是一个持续改进的过程。
组织需要不断更新和改进信息安全策略、控制措施以及培训等方面的内容。
三、信息安全管理体系的实施过程信息安全管理体系的实施过程可以分为以下几个步骤:1. 初始阶段:组织应该明确信息安全策略,并制定相关的目标和计划。
同时评估组织内部对信息安全的现状,确定改进的重点。
2. 执行阶段:在这个阶段,组织需要确保相关的信息安全控制措施得以实施。
这包括对人员、技术和物理环境的管理和保护。
3. 持续改进:信息安全管理体系需要持续改进,组织应该定期审查和评估信息安全的有效性,并根据评估结果进行调整和改进。
四、相关标准为了确保信息安全管理体系的有效实施和互操作性,国际上制定了一些相关的标准,如ISO/IEC 27001和ISO/IEC 27002。
ISO/IEC 27001是一个信息安全管理体系的国际标准,它提供了一套通用的要求和指南,帮助组织建立、实施、运行、监控、评审和改进信息安全管理体系。
ISO/IEC 27002则是一个信息安全管理实施指南,提供了对ISO/IEC 27001标准的解释和实施指导,涉及了信息安全管理的各个方面。
PDCA过程模式在信息安全管理体系的应用
PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式策划:实施:检查:措施:二、应用PDCA 建立、保持信息安全管理体系P—建立信息安全管理体系环境&风险评估1.确定范围和方针2、定义风险评估的系统性方法3、识别风险4、评估风险5、识别并评价风险处理的方法6、为风险的处理选择控制目标与控制方式7、获得最高管理者的授权批准D—实施并运行信息安全管理体系C—监视并评审信息安全管理体系检查阶段管理者应该确保有证据证明:A—改进信息安全管理体系展开编辑本段信息安全管理体系BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
编辑本段编写信息安全管理体系文件的主要依据简述组织对信息安全管理体系的采用是一个战略决定。
因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。
1)信息安全管理体系标准:要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》2)相关法律、法规及其他要求;3)组织现行的安全控制惯例、规章、制度包括规范和作业指导书等;4)现有其他相关管理体系文件。
[编辑]编辑本段编写信息安全管理体系程序文件应遵循的原则在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度;程序文件应简练、明确和易懂,使其具有可操作性和可检查性;程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
信息安全管理体系的建立与认证
信息安全管理体系的建立与认证随着信息技术的不断发展,各行各业对于信息安全的重视程度也日益增强。
为了保护企业的核心数据和敏感信息,建立和认证一套完善的信息安全管理体系是至关重要的。
本文将探讨信息安全管理体系的建立,并介绍相关认证标准和方法。
一、建立信息安全管理体系的必要性信息安全是指对信息及其处理过程、传输过程和存储过程进行保护的一系列措施。
在当今信息化社会中,信息的价值日益凸显,因此信息安全也成为了一个重要的问题。
建立信息安全管理体系的必要性主要体现在以下几个方面:1.保护核心资产:信息安全管理体系能有效保护企业的核心资产,包括重要数据、商业机密和核心技术等,防范各种内外部风险和威胁。
2.提升竞争力:建立完善的信息安全管理体系,不仅可以为企业提供有力的保障,还能够提升企业的品牌形象和信誉度,增强竞争力。
3.符合法律法规:信息安全管理体系的建立使企业符合国家和行业的相关法律法规要求,避免违法违规行为带来的风险和损失。
二、信息安全管理体系建立的基本步骤建立信息安全管理体系的过程需要经历以下几个基本步骤:1.制定信息安全策略:企业应该根据自身的业务特点和需求,制定符合实际情况的信息安全策略,明确信息安全目标和重要的安全需求。
2.风险评估和管理:通过风险评估,确定潜在的信息安全风险,制定相应的防范措施和管理措施,确保信息安全。
3.制定安全控制措施:根据风险评估结果,制定相应的安全控制措施,涵盖技术、管理和人员等方面,确保信息安全的全面性和有效性。
4.建立安全培训机制:建立信息安全培训机制,对企业员工进行信息安全知识和技能培训,提高员工的安全意识和能力。
5.制定安全审计机制:建立信息安全审计机制,对信息系统和安全控制措施进行定期的审计和检查,发现和解决潜在的安全问题。
三、信息安全管理体系的认证标准与方法为了进一步提升信息安全管理体系的可靠性和权威性,许多组织和企业选择进行信息安全管理体系的认证。
下面介绍几种常见的信息安全管理体系认证标准和方法:1.ISO/IEC 27001:ISO/IEC 27001是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的信息安全管理体系国际标准。
信息安全管理系统的建设与实施
信息安全管理系统的建设与实施随着信息技术的飞速发展,信息安全问题也日益引起人们的关注。
为了有效地保护信息资产和维护组织的持续运营,许多企业和组织开始着手建设和实施信息安全管理系统(ISMS)。
本文将介绍ISMS的定义、建设过程和实施方法,以及其在提高组织整体信息安全水平方面的作用。
一、ISMS的定义信息安全管理系统是指通过一系列的隐私政策、安全策略、技术手段和管理流程,来保护组织的信息资产,确保信息的机密性、完整性和可用性,防止信息被恶意获得、破坏、篡改或泄露。
二、ISMS的建设过程ISMS的建设大体可分为四个主要阶段:规划、实施、监控和持续改进。
1. 规划阶段:在规划阶段,组织需明确ISMS的目标和范围,并进行相关的风险评估。
根据评估结果,确定适用的信息安全标准和法规要求,制定信息安全政策和体系结构,为后续的实施奠定基础。
2. 实施阶段:实施阶段是ISMS建设的核心阶段,需要制定和实施一系列安全措施。
包括但不限于:制定安全操作程序、制定员工的安全培训计划、实施访问控制措施、加强系统和网络的安全防护、建立灾难恢复机制等。
3. 监控阶段:监控阶段需要对ISMS进行定期的内部和外部的审核和评估。
内部审核可以通过抽查和自查来进行,外部审核则可以委托第三方进行。
监控结果的反馈将有助于发现和解决潜在的风险和问题,以保持ISMS的有效性和适应性。
4. 持续改进阶段:持续改进是ISMS建设的关键环节。
组织需要根据监控阶段的结果,进行持续改进和更新。
改进措施可以包括完善流程、修订安全策略、更新技术手段等,以适应信息安全威胁的动态变化。
三、ISMS的实施方法在ISMS的实施过程中,组织可以参考国际通用的信息安全标准,如ISO 27001。
ISO 27001是国际标准化组织(ISO)发布的信息安全管理体系国际标准,提供了一个全面的ISMS实施框架。
1. 制定信息安全政策:根据组织的需求和资源状况,制定一份可操作、具体和明确的信息安全政策。
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
信息安全管理体系(ISMS)建立作业指导书
信息安全管理体系(ISMS)建立作业指导书第1章引言 (4)1.1 目的与范围 (4)1.2 参考文献 (4)1.3 术语与定义 (4)第2章信息安全政策与目标 (5)2.1 信息安全政策制定 (5)2.1.1 政策制定原则 (5)2.1.2 政策内容 (5)2.2 目标确立与实现 (5)2.2.1 目标制定原则 (5)2.2.2 目标内容 (6)2.2.3 目标实现措施 (6)2.3 政策与目标宣传与培训 (6)2.3.1 宣传与培训计划 (6)2.3.2 宣传与培训实施 (6)2.3.3 员工参与与反馈 (7)第三章组织与人员 (7)3.1 组织结构设立 (7)3.1.1 总则 (7)3.1.2 组织结构 (7)3.1.3 组织结构调整 (7)3.2 岗位职责分配 (7)3.2.1 总则 (7)3.2.2 主要岗位及其职责 (7)3.3 人员培训与管理 (8)3.3.1 总则 (8)3.3.2 培训内容 (8)3.3.3 培训方式 (8)3.3.4 人员管理 (9)第4章资产管理 (9)4.1 资产识别与分类 (9)4.1.1 目的 (9)4.1.2 范围 (9)4.1.3 方法 (9)4.2 资产清单维护 (9)4.2.1 目的 (9)4.2.2 范围 (10)4.2.3 方法 (10)4.3 资产风险评估 (10)4.3.1 目的 (10)4.3.2 范围 (10)第五章法律法规与合规性 (10)5.1 法律法规识别 (10)5.1.1 收集范围 (10)5.1.2 识别方法 (11)5.1.3 更新机制 (11)5.2 合规性评估 (11)5.2.1 评估原则 (11)5.2.2 评估方法 (11)5.3 遵守合规性要求 (11)5.3.1 制定合规策略 (11)5.3.2 完善内部控制体系 (12)5.3.3 培训与宣传 (12)5.3.4 监督与检查 (12)5.3.5 持续改进 (12)第6章信息安全风险管理 (12)6.1 风险评估方法 (12)6.1.1 定性风险评估方法 (12)6.1.2 定量风险评估方法 (12)6.1.3 混合风险评估方法 (12)6.2 风险评估实施 (12)6.2.1 风险识别 (13)6.2.2 风险分析 (13)6.2.3 风险评价 (13)6.2.4 风险监控与沟通 (13)6.3 风险处理措施 (13)6.3.1 风险规避 (13)6.3.2 风险降低 (13)6.3.3 风险转移 (13)6.3.4 风险接受 (13)第7章信息安全控制措施 (13)7.1 控制措施分类与选择 (13)7.1.1 控制措施分类 (13)7.1.2 控制措施选择 (14)7.2 控制措施实施与运行 (14)7.2.1 实施控制措施 (14)7.2.2 运行控制措施 (14)7.3 控制措施有效性评估 (14)7.3.1 评估方法 (14)7.3.2 评估过程 (15)7.3.3 持续改进 (15)第8章信息安全事件管理 (15)8.1 事件分类与报告 (15)8.1.1 事件分类 (15)8.2 事件响应与处理 (16)8.2.1 事件响应 (16)8.2.2 事件处理 (16)8.3 事件调查与改进 (16)8.3.1 事件调查 (16)8.3.2 改进措施 (16)第9章信息安全审计与监控 (17)9.1 审计计划制定 (17)9.1.1 确定审计范围 (17)9.1.2 确定审计频率 (17)9.1.3 审计准则与标准 (17)9.1.4 审计资源分配 (17)9.1.5 审计计划编制 (17)9.2 审计实施与报告 (17)9.2.1 审计启动 (17)9.2.2 实施审计 (17)9.2.3 审计记录 (17)9.2.4 审计报告编制 (18)9.2.5 审计报告提交与沟通 (18)9.3 监控活动与绩效评估 (18)9.3.1 监控活动 (18)9.3.2 绩效评估 (18)9.3.3 改进措施 (18)9.3.4 持续改进 (18)第10章持续改进与维护 (18)10.1 改进措施制定 (18)10.1.1 识别改进需求 (18)10.1.2 分析原因 (18)10.1.3 制定改进计划 (18)10.1.4 审批改进计划 (19)10.2 改进措施实施与跟踪 (19)10.2.1 实施改进措施 (19)10.2.2 跟踪改进效果 (19)10.2.3 评估改进结果 (19)10.2.4 调整改进措施 (19)10.3 信息安全管理体系维护与更新 (19)10.3.1 定期维护 (19)10.3.2 更新政策、程序和指南 (19)10.3.3 培训与宣传 (19)10.3.4 内部审计与外部审核 (19)10.3.5 持续改进 (19)第1章引言1.1 目的与范围本作业指导书的目的是为组织建立、实施、维护和持续改进信息安全管理体系(ISMS)。
ISO27001-2013+ISO27002-2013标准中文版
Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
信息安全管理体系建设
信息安全管理体系建设信息安全是现代社会中非常重要的一个领域,对于任何一个组织或企业来说,保护信息安全就意味着保护组织的利益、声誉和品牌形象。
为了有效地管理和保护信息安全,建立一个完善的信息安全管理体系是至关重要的。
本文将介绍信息安全管理体系的概念、重要性以及建设过程。
一、信息安全管理体系的概念信息安全管理体系是一个组织内部用于保护信息资产安全的一套制度、政策、流程和控制措施的集合。
该体系旨在确保信息资产不受内部或外部威胁的侵害、泄露或破坏。
它提供了一种系统化的方法来管理和应对信息安全威胁,以保证组织的持续运营和业务的可信度。
二、信息安全管理体系的重要性1. 保护信息资产:信息资产是组织的重要资源,包括成员数据、客户数据、知识产权等。
通过建立信息安全管理体系,可以有效地保护这些信息资产免受未经授权的访问或篡改。
2. 符合法律法规和合规要求:不同国家和地区都有其信息安全法律法规和合规要求,如GDPR、CCPA等。
建立信息安全管理体系可以帮助组织合规,并减少违反法规带来的罚款和声誉损失。
3. 提高客户信任:信息安全是企业声誉和品牌形象的重要组成部分。
通过建立信息安全管理体系,可以向客户展示组织对于信息安全的重视,提高客户信任度。
4. 减少安全事故和损失:信息泄露、数据丢失等安全事件可能导致巨大的经济和声誉损失。
通过建立信息安全管理体系,可以及时发现潜在的安全风险,采取相应的措施来防止事故的发生。
三、信息安全管理体系的建设过程信息安全管理体系的建设过程可以分为以下几个阶段:1. 规划和准备阶段:在该阶段,组织需要明确信息安全的目标和指导方针,并制定相应的策略和计划。
还需要确定相关的角色和责任,并进行资源的分配和预算的制定。
2. 实施和操作阶段:在该阶段,组织需要分析信息资产和风险,确定合适的控制措施和流程,并进行实施和操作。
例如,访问控制、密码策略、网络安全等。
3. 性能评估阶段:在该阶段,组织需要建立一套评估信息安全管理体系实施效果的方法和指标,并进行定期的内部审核和外部审核,以确保信息安全管理体系的有效性和合规性。
信息安全运维体系的建立及优化
信息安全运维体系的建立及优化信息安全是现代化社会中不可或缺的部分,关系到国家安全以及个人隐私的保护。
而信息安全运维体系的建立和优化更是重中之重。
本文就着重从以下几个方面阐述信息安全运维体系的建立和优化。
一、信息安全运维体系的概念信息安全运维体系,是指除安全控制措施外,还采用管理、保障和审核措施,通过合理分配工作职责和实施管理、保障、审核等措施,确保信息系统及其环境能够持续稳定地运行。
二、信息安全运维体系的建立和优化1. 建立信息安全运维体系的意义建立信息安全运维体系可以使企业形成全面、有序、合理的运维管理模式。
通过建立信息安全运维体系,企业可以在信息安全风险发生时减少损失,保障业务连续性,有效地降低运营成本,并提升其竞争力和市场占有率。
2. 信息安全运维体系建设的步骤信息安全运维体系建设应该是一个综合过程,从以下三个方面入手:2.1 明确目标和需求首先,要明确信息安全的目标和需求,并将其纳入公司和团队的运营里程系统中,这样可以更好地明确信息安全的战略和目标定位,为后续的建设提供指导。
2.2 制定安全策略和工作计划制定相应的安全策略和工作计划,并严格实施。
应该从人、技术和过程三个方面出发,并制定相应的安全预案和应急措施。
2.3 建立信息安全管理和监控机制必须建立信息安全管理和监控机制,以记录安全事件、没收警示和实施各项打击措施,有效地防范和削弱各种安全威胁。
3. 信息安全运维体系优化的方法信息安全运维体系的优化主要包括监控、管理和评估三个方面。
3.1 监控通过对信息系统的监控,可以发现不安全的行为,及时采取相关措施,对不安全事件进行处理。
3.2 管理信息安全运维体系的管理是指该体系中各项工作的合理管理。
包括完善的人员职责分工、清晰的安全制度、有效的安全控制措施、健全的应急预案和规范的行为要求等。
3.3 评估应对信息安全运维体系进行定期的评估和审查,评估结果应该制定相应的改进方案,并及时进行验证。
三、结语信息安全运维体系的建立和优化是一个长期不懈的工作,需要不断地总结和改进。
信息安全管理体系建设
汇报人:
企业背景:某大型企业为确保信息安全,构建了一套完整的信息安全管 理体系框架
建设目标:确保企业信息安全,提高企业整体竞争力
建设内容:制定信息安全策略、建立信息安全组织架构、完善信息安全 流程、建立信息安全技术体系、完善信息安全管理制度等
实践成果:企业信息安全得到有效保障,提高了企业的整体竞争力,获 得了业界的高度认可
,a click to unlimited possibilities
汇报人:
目录
信息安全管理体系建设的意义
保障企业信 息安全
提高企业整 体管理水平
增强企业核 心竞争力
促进企业可 持续发展
信息安全管理体系建设的内容
信息安全管理体系基础
信息安全管理体系框架
信息安全管理体系标准
信息安全管理体系建设流程
案例1:某公司通过定期的安全意识教育和培训,提高了员工对信息安全的重视程度,有效减少 了安全事故的发生。
案例2:某金融机构通过开展信息安全意识教育和培训,使员工明确职责和权限,避免了潜在的 安全风险。
案例3:某政府机构在信息安全意识教育和培训中,加强案例分析学习,提高了员工对信息安全 的认知和防范能力。
信息安全管理体系建设的流程
进行信息安全风险评估
建立信息安全管理体系文 件
监督和评估信息安全管理 体系的有效性
确定信息安全管理体系 的范围和目标
制定信息安全策略和标 准
实施信息安全管理体系
持续改进信息安全管理 体系
信息安全管理体系建设
信息安全管理体 系建设的目的和 意义
信息安全管理体 系建设的过程和 步骤
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第12章信息安全管理体系建立的通用方法本章将以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。
后续将详细介绍不同部分的管理。
本章内容适合参加信息安全高级管理师认证的读者。
12.1 信息安全管理体系概述12.1.1什么是信息安全管理体系信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。
它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1. ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:●组织所有的信息系统;●组织的部分信息系统;●特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。
例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
2.组织内部成功实施信息安全管理的关键因素●反映业务目标的安全方针、目标和活动;●与组织文化一致的实施安全的方法;●来自管理层的有形支持与承诺;●对安全要求、风险评估和风险管理的良好理解;●向所有管理者及雇员推行安全意思;●向所有雇员和承包商分发有关信息安全方针和准则的导则;●提供适当的培训与教育;●用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。
3.建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。
但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:a)信息安全管理体系的策划与准备;b)信息安全体系文件的编制;c)信息安全管理体系的运行;d)信息安全管理体系的审核与评审。
12.1.2信息安全管理体系的作用1. ISMS的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。
该体系具有以下特点:●体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求;●强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;●强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和可用性,保持组织的竞争优势和商务运作的持续性。
2. 实施ISMS的作用组织建立、实施与保持信息安全管理体系将会产生如下作用:●强化员工的信息安全意识,规范组织信息安全行为;●对组织的关键信息资产进行全面体统的保护,维持竞争优势;●在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;●使组织的生意伙伴和客户对组织充满信心;●如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信任度;●促使管理层贯彻信息安全保障体系;●组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
12.1.3信息安全管理体系的准备为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。
1.成立信息安全委员会信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。
●评审和审批信息安全方针;●分配信息安全管理职责;●确认风险评估的结果;●对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;●评审与监督信息安全事故;●审批与信息安全管理有关的其他重要事项。
2.任命信息安全管理经理组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:●确定信息安全管理标准建立、实施和维护信息安全管理体系;●负责组织的信息安全方针与安全策略的贯彻与落实;●向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证据;●就信息安全管理的有关问题与外部各方面进行联络。
3.组建信息安全管理推进小组在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。
小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及文字能力,小组成员一般是企业各部门的骨干人员。
4.保证有关人员的作用、职责和权限得到有效沟通用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立做出贡献。
5.组织机构的设立原则●合适的控制范围一般情况下,一个经理直接控制的下属管理人员不少于6人,但不应超过10人。
在作业复杂的部门或车间,一个组长对15人保持控制。
在作业简单的部门或车间,一个组长能控制50个人或更多的人。
●合适的管理层次公司负责人与基层管理部门之间的管理层数应保护最少程度,最影响利润的部门经理应该直接向公司负责人报告。
●一个上级的原则●责、权、利一致的原则●既无重叠,又无空白的原则●执行部门与监督部门分离的原则●信息安全部门有一定的独立性,不应成为生产部门的下属单位。
6.信息安全管理体系组织结构建立及职责划分的注意事项●如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。
如果现有的组织结构不合理,则按上面(5)中所述规则对组织结构进行调整。
●应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。
●应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。
●日常的信息安全监督检查工作应有专门的部门负责●对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部门),安全部设立首席安全执行官,首席安全执行官直接向组织最高管理层负责(有的也向首席信息官负责)。
美国“911”恐怖袭击事件以后,在美国的一些大型企业,这种安全机构的设置方式逐渐流行,它强调对各种风险的综合管理和对威胁的快速反应。
●对于小型企业来说,可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。
12.2 建立信息安全管理体系原则12.2.1PDCA原则PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环”。
在质量管理中应用广泛,PDCA代表的含义如下:P(Plan):计划,确定方针和目标,确定活动计划;D(Do):实施,实际去做,实现计划中的内容;C(Check):检查,总结执行计划的结果,注意效果,找出问题;A(Action):行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。
PDCA循环的四个阶段具体内容如下:(1) 计划阶段:制定具体工作计划,提出总的目标。
具体来讲又分为以下4个步骤。
分析目前现状,找出存在的问题;分析产生问题的各种原因以及影响因素;分析并找出管理中的主要问题;制定管理计划,确定管理要点。
根据管理体制中出现的主要问题,制定管理的措施、方案,明确管理的重点。
制定管理方案时要注意整体的详尽性、多选性、全面性。
(2) 实施阶段:就是指按照制定的方案去执行。
在管理工作中全面执行制定的方案。
制定的管理方案在管理工作中执行的情况,直接影响全过程。
所以在实施阶段要坚持按照制定的方案去执行。
(3) 检查阶段:即检查实施计划的结果。
检查工作这一阶段是比较重要的一个阶段,它是对实施方案是否合理,是否可行有何不妥的检查。
是为下一个阶段工作提供条件,是检验上一阶段工作好坏的检验期。
(4) 处理阶段:根据调查效果进行处理。
对已解决的问题,加以标准化:即把已成功的可行的条文进行标准化,将这些纳入制度、规定中,防止以后再发生类似问题;找出尚未解决的问题,转入下一个循环中去,以便解决。
PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。
在质量管理中,PDCA循环得到了广泛的应用,并取得了很好的效果,有人也称其为质量管理的基本方法。
之所以叫PDCA循环,是因为这四个过程不是运行一次就完结,而是周而复始地进行,其特点是“大环套小环,一环扣一环,小环保大环,推动大循环”;每个循环系统包括PDCA 四个阶段曾螺旋式上升和发展,每循环一次要求提高一步。
建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。
这里描述的过程模型遵循一个连续的活动循环:计划、实施、检查、和处置。
之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。
信息安全管理体系的PDCA过程如下图12-1所示。
图12-1 PDCA模型与信息安全管理体系过程ISMS的PDCA具有以下内容:1. 计划和实施一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的过程正式化,确定评审的方法和配置资源。
这些活动通常作为循环的开始。
这个阶段在评审阶段开始实施时结束。
计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立,评估信息安全风险和建立适当地处理这些风险的计划。
实施阶段用来实施在计划阶段确定的决定和解决方案。
2. 检查与行动检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。
评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。
在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。
其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。
最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。