本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
信息安全管理体系需要编写各种层次的信息安全体系文件,这是建立信息安全管理体系的重要基础性工作,也是BS7799标准的明确要求。ISMS文件主要包括:
l 信息安全方针与策略
l ISMS 范围
l 风险评估报告
l 风险处理计划
l ISMS的控制目标与控制措施
l ISMS管理和具体操作的过程
l 标准中要求的记录
l 信息系统安全相关职责描述和相关的活动事项
l 适用性声明
(1)从总体来看,文件的作用有:
l 阐述声明的作用
信息安全管理体系文件是客观地描述信息安全体系的法规性文件,为组织的全体人员了解信息安全管理体系创
造了必要的条件。企业向客户或认证机构提供的《信息安全管理手册》起到了对外声明的作用。
l 规定、指导的作用
信息安全管理体系文件规定了组织员工应该做什么,不应该做什么的行为准则,以及如何做的指导性意见,对员工的信息安全行为起到了规范、指导作用。
l 记录、证实的作用
信息安全管理记录具有记录和证实信息安全管理体系运行有效的作用,其他文件则具有证实信息安全管理体系
客观存在和运行适用性的作用。
(2)从评价和改进信息安全管理体系的角度来看,文件具有以下三种具体作用
l 评价信息安全管理体系的作用
信息安全管理体系的作用可以在相关文件、记录上得到反映。
l 保障信息安全改进的作用
信息安全管理体系文件是组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可缺少的依据。
l 平衡培训要求的作用
人员培训的内容和要求应跟上文件要求的水平。
3.3.2 文件的层次
信息安全体系关于文件的描述中,没有强求将其形成专门的手册的形式,没有刻意要求组织将体系文件分成若干层次,但依据ISO9000的成功经验,在具体实施中,为便于运作并具有操作性,建议把ISMS管理文件也分成以下几个层次,即适用性声明、管理手册、程序文件、作业文件指导书、记录。
(1)适用性声明
适用性声明是组织为满足安全需要而选择的控制目标和控制方式的评论性文件,在适用性声明文件中,应明确列出组织根据信息安全要求(包括风险评估、法律法规、业务三方面)从BS7799-2:2002附录A中选择控制目标与控制方式,并说明选择与不选择的理由;如果有额外的控制目标与控制方式也需要一并说明。
(2)ISMS管理手册
ISMS管理手册是阐明组织的ISMS方针,并描述其ISMS管理体系的文件。ISMS手册至少包括以下内容:
l 信息安全方针的阐述
l 信息安全管理的体系范围
l 信息安全策略的描述
l 控制目标与控制方式的描述
l 程序或其引用
l 关于手册的评审、修改与控制的规定
(3)程序文件
程序是为进行某项活动所规定的途径或方法。信息安全管理程序包括两部分:一是实施控制目标与控制方式的安全控制程序(例如:信息处置与储存程序),另一部分是为覆盖信息安全管理体系的管理与运作的程序(例如:风险评估与管理程序),程序文件应描述安全控制或管理的责任及相关活动,是信息安全政策的支持性文件,是有效实施信息安全政策、控制目标与控制方式的具体措施。
程序的文件的内容通常包括:活动的目的与范围(Why)、做什么(What)、谁来做(Who)、何时(When)、何地(Where)、如何做(How),应使用什么样的材料、设备和文件,如何对活动进行控制和记录,即人们常说的“5W1H”。
(4)作业指导书
作业指导书是程序文件的支持性文件,用以描述具体的岗位和工作现场如何完成某项工作任务的具体做法,包括作业指导书、规范、指南、图样、报告、表格等。例如设备维护规程或维护手册。作业指导性文件可以被程序文件所引用,是对程序文件中整个程序或某些条款进行补充、细化。
由于各组织的规模、组织机构、被保护的信息资产、安全风险因素的不同,运行控制程序的多少、内容也不相同,即使运行控制程序相同,但由于其详略程序不同,其作业指导性文件的多少也不尽相同。
(5)记录
记录作为信息安全管理体系运行结果的证据,是一种特殊的文件。组织在编写信息安全方针手册、程序文件及作业指导文件时,应根据安全控制与管理要求确定组织所需要的信息安全记录,组织可以通过利用现有的记录、修订现有的记录和增加新的记录三种方式来获得。记录可以是书面记录,也可以是电子媒体记录,每一种记录应进行标识,记录应有可追溯性。记录内容与格式应该符合组织业务运作的实际并反映活动结果,且方便记录人的使用。
3.3.3 文件的管理
由于ISMS文件是对立信息安全体系的基础,组织应当建立恰当的程序对ISMS系统进行管理,在文件生命周期的各个阶段-编写、审核、批准、发布、使用、保管、回收、销毁,都需要有适宜的控制措施。
(1)文件的编写
l 编写的原则
Ø 体系文件的各个层次间、文件与文件之间应做到层次清楚、接口明确、结构合理
Ø ISMS文件是必须执行的法规性文件,应保持其相对的稳定性和连续性。
Ø ISMS文件不是信息安全管理现状的简单写实,应随着ISMS的不断改进而完善
Ø 编写ISMS文件时,要继承以往的有效经验与做法
Ø 应发动各部有实践经验的人员、集思广益,共同参与,确保文件的可操作性。
Ø ISMS文件应该是唯一的,要杜绝不同版本并存的现象。
Ø ISMS文件应当可以作为组织ISMS有效运行并得到保持的客观证据(适用性证据和有效性证据),向相关方、第三方证实组织ISMS的运行情况。
Ø 文件的编制和形式应考虑企业的产品特点、规模、管理经验等。文件的详略程度应与人员的素质、技能和培训等因素相适宜。
l 编写前的准备
Ø 指定编写主管机构(一般为ISMS推进小组),指导和协调文件的编写工作。
Ø 收集整理企业现有文件。
Ø 对编写人员进行培训,使之明白编写的要求、方法、原则和注意事项。
Ø 为了使ISMS文件统一协调,达至规范化和标准化的要求,应编写指导性文件,就文件的要求、内容、体例和格式做出规定。
l 编写的策划与组织
确定要编写的文件目录、制定编写计划,落实编写、审核、批准人员,拟定编写进度。文件编写计划如表3-5所示:
表3-5 文件编写计划
|
序号 |
文件名称 |
编写责任 |
讨论人员 |
审核人 |
批准人 |
完成其他 |
备注 |
|
|
部门 |
起草人 |
|||||||
|
… |
… |
|
|
|
|
|
|
|
|
7 |
访问控制策略 |
信息中心 |
李扬 |
沈志伟 |
刘齐 |
林竟东 |
2003/11/20 |
|
|
… |
… |
|
|
|
|
|
|
|
|
15 |
管理评审程序 |
行政人事部 |
陈新明 |
|||||
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved