本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
建立信息安全管理体系首先要建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,并从信息系统本身出发,通过建立资产清单,进行风险分析、需求分析和选择安全控制等步骤,建立安全体系并提出安全解决方案。
信息安全管理框架的搭建须按适当的程序进行。组织首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。
具体过程如图4-1所示:
图4-1 建立信息安全管理框架的过程
4.1.1 确定信息安全政策
信息安全政策(Information Security Policy)本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担的责任,详细描述对员工的安全意识与技能要求,列出被组织禁止的行为。
信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资产保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,而且要有足够的灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。建立了信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调信息系统安全对组织业务目标的实现、业务活动持续运营的重要性。
信息安全政策可以分为二层次,一个信息安全方针,另一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺,提出组织管理信息安全的方法,并由管理层批准。信息安全方针应当语言精炼、简明、扼要,易于记忆,读起来朗朗上口,容易被员工理解和宣传。
某IT服务公司信息安全方针如表4-1示例:(表略)
信息安全方针必须要在ISMS实施的前期制定出来,表明最高管理层的承诺,指导ISMS的所有实施工作;信息安全策略的制订要在风险评估工作完全后,对组织的安全现状有了明确的了解的基础上有针对性编写,用于指导风险的管理与安全控制措施的选择。信息安全方针与信息安全策略制订完成后,可以汇编成册,作为《信息安全管理手册》,采用适当的方法传达给每一个员工,并在组织范围内作广泛、深入的宣传教育与培训。
《信息安全管理手册》是组织的纲领性文件,是对组织的信息安全管理框架的综述,是阐明一个组织的信息安全方针并描述其信息安全管理体系的文件。信息安全管理手册对组织的全体员工来说是法规性文件,必须严格遵照执行。
适当时候,《信息安全管理手册》也要覆盖到相关客户、合作伙伴、签约供应商,使他们了解组织对信息安全的声明与要求。为确保安全方针与策略的适宜性与有效性,应定期对其进行评审(一般在管理评审时进行),必要时对信息安全方针与策略进行更新、修订,以适应环境的变化。
详细的信息安全政策的制定方法、过程与注意事项参见“第八章 如何制定信息安全政策与程序”
4.1.2 确定信息安全管理体系的范围
(1)ISMS的范围
ISMS的范围就是需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。在定义ISMS范围时,为了使ISMS定义得更加完整,应重点考虑组织如下的实际情况:
l 组织现有部门
组织内现有部门和人员均应根据组织的信息安全方针和策略,负起各自的信息安全职责;
l 办公场所
有多个办公场所的组织单位,应该考虑不同办公场所给信息安全带来的不同的安全需求和威胁;
l 资产状况
在不同地点从事商务活动时,应把在不同地点涉及到的信息资产纳入到ISMS管理范围内;
l 所采用的技术
使用不同计算机和通信技术,将会对信息安全范围的划分产生很大的影响。
(2)如何处理上下级ISMS的关系
一个特定的信息安全管理体系可能在其他信息安全管理体系的控制范围内。在这种情况下,只有信息安全管理体系中有的那些控制才被认为是在信息安全管理体系范围内的。控制的管理有下列两种情况:
l 下级的ISMS不使用上级的ISMS的控制
在这种情况下,上级ISMS的控制活动不影响下级ISMS的PDCA活动。
l 下级的ISMS使用上级的ISMS的控制
在这种情况下,上级ISMS的控制活动可以被认为是下级ISMS策划活动的“外部控制”。尽管此类外部控制并不影响下级ISMS的实施、检查、措施活动,但是下级信息安全管理体系仍然有责任确保这些外部控制能够提供充分的保护。
4.1.3 现状调查与风险评估
现状调查与风险评估是进行安全管理必须要做的最基本的一步,它为信息安全管理体系的控制目标与控制措施的选择提供依据,也是对安全控制的效果进行测量评价的主要方法。
组织在信息安全管理体系的PDCA过程中策划阶段的主要任务就是进行风险评估,识别组织所面临的风险大小,为信息安全风险管理提供依据。
风险评估首先要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。信息安全风险评估的复杂程度将取决于业务信息和系统的性质、使用信息的组织业务目标、所采用的系统环境、以及受保护资产的敏感程度。所采用的评估措施应该与组织对信息资产风险的保护需求相一致,组织需要将直接后果和潜在后果一并考虑。
风险评估具体步骤如下:
(1)现状调查
对组织的业务运作流程、安全管理机构、资产情况、信息网络拓扑结构、安全控制情况、法律法规适用与执行情况、组织安全意识与企业安全文化状况进行调查,为风险评估与控制选择作好铺垫。
(2)风险识别
l 在ISMS的范围内,列出与信息有关的资产,并对每一项资产进行估价
l 识别这些资产面临的威胁,及威胁发生的可能性与潜在影响
l 识别可能被威胁利用的脆弱性及被利用的难易程度
(3)风险评估
风险评估的内容主要有:
l 评估由于安全故障带来的业务损害,要考虑资产失去机密性、完整性和可用性的潜在后果;
l 评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实可能性和组织现有的控制措施;
l 对风险的大小进行测量并确定优先控制等级
l 风险评估结果的评审与批准
识别和评估组织的资产所面临的风险的目的是为了选择和验证合适的安全控制措施,这是制定信息安全管理体系过程中的重要一步。
BS7799采用了ISO/IEC TR 13335的风险评估办法,把风险的定义为特定的威胁利用资产的一种或一组薄弱点,从而导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估,即利用适当的风险评估工具、包括定性与定量的方法,确定资产风险等级和优先控制顺序。
(4)风险的计算方法
有各种利用这些因素计算风险评估的方法,具体参见“第六章 信息安全风险评估详述”。无论采用什么样的方法,所评估出来的结果应该是在信息安全管理体系范围内,对所有风险的列表与度量。
一般来说,BS7799中常用的风险评估的方法主要有以下几种:
l 基本风险评估
即仅参照标准所列举的风险对组织资产进行风险评估的方法。通常标准中罗列了一些常见信息资产所面对的风险及其控制要点,组织根据这些标准的安全等级要求进行评估。
基本风险评估的优点在于:非常简单,易于执行。
缺点在于:如果组织安全等级设置不当,过高则可能使日常操作受到过分的限制,过低,则可能对一些风险的控制力度不够。而且,在ISMS被更新、调整时,可能很难去评估原先的控制措施是否仍然满足现行的安全需求。
l 详细风险评估
即先对组织的信息资产进行详细划分并赋值,再具体针对不同的信息资产所面对的不同的风险,详细划分对资产造成的威胁的等级和相关的脆弱性等级,并利用这些信息来评估系统存在的风险的大小,并指导下一步控制措施的选择。
详细风险评估的优点在于:对组织的安全风险了解得非常精确,有利于明确安全需求。
缺点在于:详细风险评估将花费更多的时间和精力,有时会需要专业技术知识和外部组织的协助才能获得评估结果。
l 基本风险评估和详细风险评估相结合
首先利用基本风险评估方法鉴别出在ISMS范围内存在的潜在高风险或者对组织商业运作至关重要的资产。在此基础上,将ISMS范围内的资产分为两类,对特殊对待的信息资产使用详细风险评估方法,对一般对待的信息资产使用基本风险评估方法。
两种方法的结合的优点在于:可以将组织的费用和资源用于最有益的方面。
缺点在于:如果在对高风险的信息系统的鉴别有误时,将会导致不精确的结果,从而将会对组织的某些重要信息资产的保护失去效果。
4.1.4 管理风险
通过风险评估与现状调查的结果,组织要决定在安全方针的范围内,如何对信息资产实施保护及保护到何种程度。这个阶段涉及到以下几个方面的工作:
(1)确定安全需求
安全需求描述了组织信息安全的目标与需求,这种目标与需求的满足可以保证组织安全、成功地实现其业务目标。一般来说,企业安全需求可以从以下三个方面考虑:
l 来自风险的安全需求
由于组织所处的环境以及信息安全处理设施都存在一定的薄弱性,信息资产的薄弱点被威胁利用就产生风险,并可能对业务产生一定的影响与损害。比如:
Ø 由于黑客入侵组织的网络而造成机密信息的泄露
Ø 在Internet网上传送的支付信息被修改
Ø 由于系统崩溃而造成的信息损失
通过详细的风险分析,就可以确定组织所面临的各种主要风险,通过引入适当的控制,使风险降到组织可以接受的程度,就可以满足风险所提出的安全需求。
l 来自法律、法规、合同的需求
组织所处的内外环境都要求遵守国家法律、行业法规以及组织内部的规章制度,以及与第三方签署的合同的约束。比如:
Ø 商业软件的拷贝规定
Ø 组织记录的安全保存
Ø 数据保护
遵守法令法规的要求,是组织正常运营的基本要求,通常是一种强制性要求。组织应保证一切活动都要符合相应的法令法规的要求,以避免违法活动带来的诉讼风险。
l 来自业务需求
组织制定和实施信息系统,是为了支持组织的业务运营,而组织为保证业务流程、业务标准、业务目标的机密性、完整性、可用性,对信息安全提出了要求。比如:
Ø 要保证应用程序在生产过程中的计算结果是准确的
Ø 与健康和安全标准一致
Ø 在组织中使用电子邮件交换信息
根据业务活动本身的特点来选择安全控制措施是一种最直接的方式,并与组织的业务特性紧密地结合在一起,所考虑的控制方式应能满足业务机密性与可持续性要求。
(2)管理风险的方法
通过风险评估的结果,再加上组织的业务和法律法规对信息安全的要求因素,组织就可以得到总的安全需求,为满足总的安全需求,可以通过以下四种方法进行风险管理,如图4-2:
图4-2 风险管理方法图
几种风险管理方法描述如下:
l 接受风险
第一种方法就是决定是否在某一点上接受风险,不做任何事情,不引入控制措施。当一个组织决定接受高于可接受水平的风险时,应获得管理层的批准。一般情况下,还是应该采取一定的措施来避免安全风险产生安全事故,防止由于缺乏安全控制而对正常业务运营造成损害。
如果认为风险是组织不能按受的,那么就需求考虑其他三种方法来应对某个风险或某些风险。
l 避免风险
避免风险就是组织决定绕过风险。比如,通过放弃某一业务活动或主动从一风险区域撤离来规避风险。通常避免风险的方式还有:
Ø 如果没有足够的保护措施,就不处理特别敏感的信息
Ø 由于接入Internet可能会招致黑客的攻击,所以放弃使用Internet.
Ø 把办公场所设在高层建筑,以防洪水灾害。
采用避免风险的措施时,需要在业务需要与资金投入方面进行权衡。尽管有黑客的威胁,由于有业务的需要,组织不可避免地要使用Internet,这时可以考虑降低风险的方式;把整个组织撤离到安全场合可能会需要巨大的投入,这时可以考虑采用风险转移的方式。
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt 31.5pt; TEXT-INDENT: -21pt; mso-list: l1 level1 lfo1; tab-stops: list 31.5pt; mso-p京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved