本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
组织应通过使用安全方针策略、安全目标、审核结果、对监控事件的分析、纠正和预防行动和管理评审的信息来纠正和预防与ISMS要求不相符合之处,以持续改进ISMS的有效性。
4.5.1 对信息安全管理体系的检查
检查活动是设计用来保证信息安全管理体系持续有效,常用检查措施有以下几种:
(1)日常检查
日常检查应作为正式的业务过程经常进行,并设计用来侦测处理结果的错误。他们可能包括:调整银行账户,资产清点,及解决客户抱怨等。这类的检查需要设计在ISMS体系中,以完备的检查措施来限制由错误造成的损害。
在ISMS中,此类的检查可以扩展到:
l 检查对系统软件、管理软件参数与数据的非法修改;
l 确定数据在网络传输的准确性和完整性。
(2)自治程序
自治程序是一种为了保证任何错误或失败在发生时能够被及时发现而建立的控制措施。 例如,网络设备发生故障或错误,监控程序或监控设备可以自动报警。警铃能够提醒负责的员工解决存在的问题,帮助他们完成查清事故原因并修复存在的问题。如果在一段时间内如果问题不能被纠正,另外的报警会通知更高层的管理者。
(3)学习其它组织好的经验
一种识别组织的程序不够好的方法是看其他组织在处理此类问题时是否有更好的办法。这种学习适用于技术和管理活动。组织可以利用很多资源,来识别在技术管理中脆弱性。
管理技巧的信息会经常在很多管理论坛上交流和讨论,包括会议、行业协会和使用者小组,有很多文件发布在技术和管理杂志上。此类交流使组织能够学习怎样处理类似的问题。
(4)内部信息安全管理体系审核
通过在一个特定的常规审核时间段内检查(时间不应该超过一年)信息安全管理体系所有的方面是否达到预想的效果。应该对审核计划进行详细的规划,确保审核任务均匀散布在整个的审核周期。通过审核获得的证据确认:
l 信息安全方针仍能够准确地反映业务需求;
l 使用了一个合适的风险评估方法;
l 遵循了文件化的信息安全管理程序,并达到了预期目标;
l 实施了技术控制措施 (如:防火墙, 物理访问控制)等,并正确地进行配置,运行正常;
l 正确地评估残余风险,组织的管理层仍能接受残余风险;
l 实施了前一次审核和评审达成一致意见的措施;
l 信息安全管理体系与BS7799标准一致。
(5)管理评审
管理评审的目的是检查信息安全管理体系的有效性,以识别需要的改进和要采取的行动。管理评审至少每年进行一次。 在确定目前的安全状态是令人满意的同时, 应注意技术的变化和业务需求的变化及新威胁和脆弱点的发作,以预测信息安全管理体系将来的变化并确保其在将来持续有效。
(6)趋势分析
经常进行趋势分析有助于组织识别需要改进的领域,并建立一个持续改进和循环提高的基础。
4.5.2 对信息管理体系的持续改进
通过各种检查措施,发现了组织ISMS体系运行中出现了不符合规定要求的事项后,就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现,同时对潜在的不符合项采取预防性控制措施。
(1)纠正性控制
组织应采取措施,以消除不合格的、与实施和运行信息安全管理体系有关的原因,防止问题的再发生。对纠正措施应该编制形成文件,确定以下要求:
l 识别实施和/或运行信息安全管理体系的不合格事件;
l 确定不合格的原因;
l 评价确保不合格不再发生的措施的需求;
l 确定和实施所需的纠正措施;
l 记录所采取措施的结果;
l 评审所采取的纠正措施。
(2)预防性控制
组织应针对未来的不合格事件确定预防措施以防止其发生。预防措施应与潜在问题的影响程度相适应。应为预防措施编制形成文件的程序,以确定以下方面的要求:
l 识别潜在的不合格事件及其原因;
l 确定和实施所需的预防措施;
l 记录所采取措施的结果;
l 评审所采取的预防措施;识别已变更的风险和确保注意力关注在重大的已变更的风险上。
l 纠正措施的优先权应以风险评估的结果为基础。
4.5. 管理不符合项的职责与要求 3
(1)职责
l 信息安全经理有责任对所有纠正和预防措施进行监督检查和协调指导
l 纠正和预防措施由信息安全管理部门负责协调、监督和检查其执行情况
l 纠正和预防措施涉及的部门负责人均须负责原因分析,和本部门纠正和预防措施的制定和实施
(2)不符合项信息的来源
l 监视与否则记录
l 信息安全事故(事件)的调查处理报告
l 法律、法规和其他要求变更引起的不符合
l 相关方投诉或相关方信息反馈
l 管理评审报告
l 相关方的ISMS不符合报告
l 其他不符合ISMS方针、策略、目标或ISMS文件要求的信息
(3)不符合项的处理
l 应急处理
Ø 对于轻微的不符合,采取口头纠正和辅导,不必采取更进一步的纠正与预防措施。
Ø 对于严重不符合,要积极采取补救措施,以减少或消除不良影响。同时应根据不符合对ISMS影响的程度,决定是否采取纠正和预防措施
l 纠正与预防措施任务的下达
Ø 对某个部门的问题,由信息安全管理部门填写“不符合、纠正和预防措施要求表”,见表4-9(略),经信息安全管理经理批准后,交责任部门负责调查与处理
Ø 对涉及多个部门的问题,则由信息安全管理委员会召开有信息安全管理经理参加的问题分析专题会,以初步分清问题产生的原因和落实责任部门。会后,信息安全管理部门根据专题会议的决定向有关责任部门发出信息安全管理经理批准的“不符合、纠正和预防措施要求表”
Ø 相关方出现不合格时,由信息安全管理部门向相关方发出“不符合、纠正和预防措施要求表”,要求其在三个工作日内进行原因分析,确定纠正措施后回传。
l 纠正与预防措施的制订
Ø 责任部门收到有关“不符合、纠正和预防措施要求表”后,应立即组织有关人员分析实际或潜在的不符合的原因
Ø 针对问题和原因制订相应的纠正和预防措施,明确责任人和完成日期。纠正和预防措施应与问题的影响程度以及面临的信息安全风险相适应
Ø 纠正和预防措施方案上交信息安全管理部门审核,确保可行性及不产生新的ISMS风险,由信息安全经理批准后复印送至信息安全管理部门、信息安全管理经理及其他有关部门。
Ø 纠正和预防措施由信息安全部门负责督促检查,并进行协调和指导。
l 永久性更改
因纠正和预防措施的实施而须修订作业指导书等有关的信息安全管理体系文件时,按组织中的文件控制程序中的有关规定进行
l 记录的保存
纠正和预防措施的各项原始记录应存档,由信息安全管理部门按组织中的ISMS记录控制程序处理。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved