|
組織的業(yè)務目標和信息安全要求緊密相關。實際上�,任何組織成功經(jīng)營的能力在很大程度上取決于其有效地管理其信息安全風險的才干。因此�����,如何確保信息安全已是各種組織改進其競爭能力的一個新的挑戰(zhàn)任務。組織建立一個基于ISO/IEC 27001:2005 ISMS����,已成為時代的需要。 從簡單分析ISO/IEC 27001:2005標準的要求入手���,下面的內(nèi)容論述了建立一個符合標準要求的ISMS的要點�����。 1.1.1 正確理解ISMS的含義和要素ISMS建設人員只有正確地理解ISMS的含義��、要素和ISO/IEC 27001:2005標準的要求之后��,才有可能建立一個符合要求的完善的ISMS��。 ISMS的含義 在ISO/IEC 27001標準中����,已對ISMS做出了明確的定義�����。通俗地說,組織有一個總管理體系��,ISMS是這個總管理體系的一部分�,或總管理體系的一個子體系。ISMS的建立是以業(yè)務風險方法為基礎�����,其目的是建立����、實施���、運行�、監(jiān)視��、評審�、保持和改進信息安全。 如果一個組織有多個管理體系���,例如包括ISMS��、QMS(質(zhì)量管理體系)和EMS(環(huán)境管理體系)等�����,那么這些管理體系就組成該組織的總管理體系��,而每一個管理體系只是該組織總管理體系中的一個組成部分��,或一個子管理體系����。各個子管理體系必須相互配合、協(xié)調(diào)一致地工作���,才能實現(xiàn)該組織的總目標�����。 ISMS的要素 標準還指出�,管理體系包括“組織的結構���、方針�、規(guī)劃活動�、職責、實踐�、程序���、過程和資源”(見ISO/IEC 27001:2005 3.7)。這些就是構成管理體系的相互依賴�����、協(xié)調(diào)一致���,缺一不可的組成部分或要素��。我們將其歸納后,ISMS的要素要包括: 1) 信息安全管理機構 通過信息安全管理機構��,可建立各級安全組織����、確定相關人員職責、策劃信息安全活動和實踐等����。 2) ISMS文件 包括ISMS方針、過程���、程序和其它必須的文件等����。 3) 資源 包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設備等����。 ISMS的建立要確保這些ISMS要素得到滿足。 1.1.2 建立信息安全管理機構1) 信息安全管理機構的名稱 標準沒有規(guī)定信息安全管理機構的名稱����,因此名稱并不重要。從目前的情況看�����,許多組織在建立ISMS之前�����,已經(jīng)運行了其它的管理體系����,如QMS和EMS等。因此����,最有效與節(jié)省資源的辦法是將信息安全管理機構合并于現(xiàn)有管理體系的管理機構���,實行一元化領導。 2) 信息安全管理機構的級別 信息安全管理機構的級別應根據(jù)組織的規(guī)模和復雜性而決定�。從管理效果看,對于中等以上規(guī)模的組織����,最好設立三個不同級別的信息安全管理機構: a) 高層:以總經(jīng)理或管理者代表為領導,確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源����。 b) 中層:負責該組織日常信息安全的管理與監(jiān)督活動。 c) 基層:基層部門指定一位兼職的信息安全檢查員����,實施對其本部門的日常信息安全監(jiān)視和檢查工作���。 1.1.3 執(zhí)行標準要求的ISMS建立過程按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求�,建立ISMS的步驟包括: 1) 定義ISMS的范圍和邊界���,形成ISMS的范圍文件�; 2) 定義ISMS方針(包括建立風險評價的準則等),形成ISMS方針文件; 3) 定義組織的風險評估方法���; 4) 識別要保護的信息資產(chǎn)的風險���,包括識別: a) 資產(chǎn)及其責任人; b) 資產(chǎn)所面臨的威脅�; c) 組織的脆弱點; d) 資產(chǎn)保密性���、完整性和可用性的喪失造成的影響��。 5) 分析和評價安全風險��,形成《風險評估報告》文件����,包括要保護的信息資產(chǎn)清單�; 6) 識別和評價風險處理的可選措施,形成《風險處理計劃》文件��; 7) 根據(jù)風險處理計劃���,選擇風險處理控制目標和控制措施���,形成相關的文件�����; 8) 管理者正式批準所有殘余風險�����; 9) 管理者授權ISMS的實施和運行��; 10) 準備適用性聲明�����。 1.1.4 完成所需要的ISMS文件ISMS文件是ISMS的主要要素�,既要與ISO/IEC 27001:2005保持一致����,又要符合本組織的信息安全的需要。實際上���,ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標準,是ISO/IEC 27001:2005的具體體現(xiàn)��。對一般員工來說,在其實際工作中�����,可以不過問國際信息安全管理標準-ISO/IEC 27001:2005����,但必須按照ISMS文件的要求執(zhí)行工作。 (1) ISMS文件的類型 根據(jù)ISO/IEC 27001:2005標準的要求�,ISMS文件有三種類型。 1) 方針類文件(Policies) 方針是政策�、原則和規(guī)章。主要是方向和路線上的問題��,包括: a) ISMS方針(ISMS policy)��; b) 信息安全方針(information security policy)�。 2) 程序類文件(Procedures) 3) 記錄(Records) 記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去����,是相關程序文件運行產(chǎn)生的結果(或輸出)。記錄通常是表格形式��。 4) 適用性聲明文件(Statement of Applicability, 簡稱SOA) ISO/IEC 27001:2005標準的附錄A提供許多控制目標和控制措施��。這些控制目標和控制措施是最佳實踐。對于這些控制目標和控制措施�,實施ISMS的組織只要有正當性理由,可以只選擇適合本組織使用的那些部分�����,而不適合使用的部分�,可以不選擇。選擇����,或不選擇,要做出聲明(說明)�����,并形成《適用性聲明》文件����。 (2) 必須的文件 “必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的,一定要有的文件���。這些文件就是所謂的強制性文件(mandatory documents)�。“4.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容: 1) ISMS方針 ISMS方針是組織的頂級文件���,規(guī)定該組織如何管理和保護其信息資產(chǎn)的原則和方向�����,以及各方面人員的職責等��。 2) ISMS的范圍 3) 支持ISMS的程序和控制措施���; 4) 風險評估方法的描述; 5) 風險評估報告����; 6) 風險處理計劃; 7) 控制措施有效性的測量程序�����; 8) 本標準所要求的記錄�����; 9) 適用性聲明�����。 (3) 可選的文件 除了上述必須的文件外,組織可以根據(jù)其實際的業(yè)務活動和風險的需要����,而確定某些文件(包括某些程序文件和方針類文件)。這些文件就是所謂的可選的文件(Discretionary documents)���。這類文件的內(nèi)容可隨組織的不同而有所不同��,主要取決于: 1) 組織的業(yè)務活動及風險�; 2) 安全要求的嚴格程度����; 3) 管理的體系的范圍和復雜程度。 這里,需要特別提出的是,ISMS的特點之一是風險評估和風險管理�。組織需要哪些ISMS文件及其復雜程度如何��,通?��?筛鶕?jù)風險評估決定。如果風險評估的結果��,發(fā)現(xiàn)有不可接受的風險,那么就應識別處理這些風險的可能方法�,包括形成相關文件。 (4) 文件的符合性 ISMS文件的符合性包括符合相關法律法規(guī)的要求�����、符合ISO/IEC 27001:2005標準4-8章的所有要求和符合本組織的實際要求��。為此: 1) 參考相關法律法規(guī)要求和標準要求 在編寫ISMS文件時��,編寫者應參考相關法律法規(guī)要求和標準的相應條款的要求���,例如,在編寫ISMS方針時�����,要參考ISO/IEC 27001 “4.2.1b) 定義ISMS方針”�����;編寫適用性聲明時��,要參考ISO/IEC 27001 “4.2.1 j) 準備適用性聲明”���;編寫文件控制程序時�����,要參考ISO/IEC 27001 “4.3.2文件控制”等等��。 2) 將本組織的最好實踐形成文件 為了易于操作�,編寫者最好把本組織當前的最好實踐寫下來,補充標準的要求��,形成統(tǒng)一格式的文件�����。 3) 保持一致性 a) 同一個文件中�,上下文不能有不一致或矛盾的地方 b) 同一個體系的不同文件之間不能有矛盾的地方 c) 不同體系的文件之間不能有不一致的地方 如果組織同時運行多個管理體系,例如質(zhì)量管理體系(QMS)����、環(huán)境管理體系(EMS)和ISMS等,那么各個體系的文件之間應相互協(xié)調(diào)�����,避免產(chǎn)生不一致的地方���。此外���,在文字的表達上�,應準確�����,無二義
|
