信息安全管理体系建设.doc

《信息安全管理体系建设.doc》由会员分享，可在线阅读，更多相关《信息安全管理体系建设.doc（11页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、- - word.zl- -XX市南海天富科技XX信息平安管理体系建立咨询效劳工程编写人员：黄世荣编写日期：2015年12月7日工程缩写：文档版本：V1.0修改记录:- word.zl- -日期编写人员版本备注- word.zl- -时间：2015年12月- word.zl- - word.zl- -一、信息化建立引言随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息平安方面的消极影响。一方面：信息化在中小企业的开展过程中，对节约企业本钱和到达有效管理的起到了积极的推动作用。另一方面，伴随着全球信息化和网络化进程的开展，与此相关的信息平安问题也日趋严重。由于我国中

2、小企业规模小、经济实力缺乏以及中小企业的领导者缺乏信息平安领域知识和意识，导致中小企业的信息平安面临着较大的风险，我国中小企业信息化进程已经步入普及阶段，解决我国中小企业的信息平安问题已经刻不容缓。通过制定和实施企业信息平安管理体系能够标准企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息平安体系协同工作的高效、有序和经济性。信息平安管理体系不仅可以在信息平安事故发生后能够及时采取有效的措施，防止信息平安事故带来巨大的损失，而更重要的是信息平安管理体系能够预防和防止大多数的信息平安事件的发生。信息平安管理就是对信息平安风险进展识别、分析、采取措施将风险降到可承受水

3、平并维持该水平的过程。企业的信息平安管理不是一劳永逸的，由于新的威胁不断出现，信息平安管理是一个相对的、动态的过程，企业能做到的就是要不断改良自身的信息平安状态，将信息平安风险控制在企业可承受的范围之内，获得企业现有条件下和资源能力范围内最大程度的平安。在信息平安管理领域，“三分技术，七分管理的理念已经被广泛承受。结合ISO/IEC27001信息平安管理体系，提出一个适合我国中小企业的信息平安管理的模型，用以指导我国中小企业的信息平安实践并不断提高中小企业的平安管理能力。二、ISO27001信息平安管理体系框架建立ISO27001信息平安管理体系框架的搭建必须按照适当的程序来进展如下- wor

4、d.zl- - word.zl- -图所示。首先，各个组织应该根据自身的状况来搭建适合自身业务开展和信息- word.zl- -平安需求的ISO27001信息平安管理体系框架，并在正常的业务开展过程中具- word.zl- -体实施构架的ISO27001信息平安管理体系。同时在信息平安管理体系的根底上，建立各种与信息平安管理框架相一致的相关文档、文件，并对其进展严格的管理。对在具体实施ISO27001信息平安管理体系过程中出现的各种信息平安事件和平安状况进展严格的记录，并建立严格的反应流程和制度。- word.zl- -1信息平安策略组织应制定信息平安策略InformationSecurity

5、Policy以对组织的信息安全提供管理方向与支持。组织不仅要有一个总体的平安策略，而且，在总体策略的框架内，根据风险评估的结果，制定更加具体的平安方针，明确规定具体的控制规那么，如“清理桌面和清楚屏幕策略、“控制策略等。- word.zl- - word.zl- -2范围组织要根据组织的特性、地理位置、资产和技术对信息平安管理体系范围scope进展界定。组织信息平安管理体系范围包括以下工程：- word.zl- -ll需保护的信息系统、资产、技术。实物场所地理位置、部门。- word.zl- -3风险评估组织需要选择一个适合其平安要求的风险评估和管理方案，然后进展符合标准的评估，识别目前面临的

6、风险及风险等级；风险评估的对象是组织的信息资产，评估考虑的因素包括资产所受的威胁、薄弱点及威胁发生后对组织的影响。无论采用何种风险评估工具方法，其最终评估结果应是一致的。4风险管理组织应根据信息平安策略和所要求的平安程度，识别所要管理的风险内容。控制风险包括识别所需的平安措施，通过降低、防止、转移将风险降至可承受的水平。风险随着过程的更改、组织的变化、技术的开展及新出现的潜在威胁而变化。5控制目标与控制方式的选择风险评估之后，组织应从已有信息平安技术中选择适当的控制方法，包括额外的控制组织新增加的和法律法规所要求的，降低已识别的风险。6适用性声明信息平安适用性声明记录了组织内相关的风险管制目标

7、和针对每种风险所采取的控制措施。它的准备，一方面是为了向组织内的员工声明对信息平安面对风险的态度；另一方面也是为了向外界说明组织的态度和作为。三、ISO27001信息平安管理体系实施方法ISO27001信息平安管理体系InformationSecurityManagementSystem作为组织完整的管理体系中的一个重要环节，构成了信息平安具有能动性的局部，是指导和控制组织的关于信息平安风险的相互协调的活动，其针对对象就是组织的信息资产。了解信息平安管理的方法，我们必须先明确企业或组织的信息平安需求。一般来说，企业的信息平安需求主要有三个来源，他们分别是- word.zl- - word.zl

8、- -法律法规与合同条约的要求；组织的原那么、目标和规定；风险评估的结果等。信息平安的成败取决于两个因素：技术和管理，人们常说，三分技术，七分管理，可见管理对信息平安的重要性，我们可以把平安技术比作信息平安的构筑材料，那么平安管理那么是真正的粘合剂和催化剂。现实世界里，大多数平安事件的发生和平安隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息平安的关键作用，对于真正实现信息平安目标来说尤其重要。信息平安不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素的严密结合的系统工程，是不断演进、循环开展的动态过程。信息平安管理是指导和控制组织的关于

9、信息平安风险的相互协调的活动。首先应该制定信息平安的策略方针，它是信息平安管理的导向和支持，在此根底上选择控制目标与控制方式，企业和组织还需考虑控制本钱与风险平衡的原那么，将风险降低到组织可承受的水平，整个管理过程需要全员的参与，实施动态管理。实施平安管理，还应遵循管理的一般模式PDCA模型。PDCA模型，即Plan、Do、Check和Act，是一种持续改良的管理模式，见下列图所示。- word.zl- -措施Action针对检查结果采取应对措施，改良平安状况；方案Plan根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；实施Do实施所选的平安控制措施；检查Chec

10、k依据策略、程序、标准和法律法规，对平安措施的实施- word.zl- - word.zl- -情况进展符合性检查。PDCA模型是一种抽象的模型，它把相关的资源和活动抽象为过程进展管理，具有广泛通用性。PDCA是顺序依次进展的，依靠组织的力量推动，周而复始，不断循环，持续改良，组织中的每个部门和个人，在履行相关职责时，都是基于PDCA这个过程的，组织的内部管理，就构成了大环套小环层层递进的模式，每一次循环完毕，都要对其进展总结，稳固成绩，改良缺乏，同时提出新的目标，以便进入下一次更高级的循环。ISO27000/ISO27001标准对于信息平安管理体系的定义如下列图所示：- word.zl- -

11、ISO27001信息平安管理可操作的一般过程和相应的活动包括：1. 确定组织的信息平安目标和战略2. 开发信息平安策略3. 进展风险评估RiskAssessment，明确组织的信息平安需求，具体活动包括：1) 制定风险评估方案明确范围和责任，采集相关信息，描述目标系统；2) 识别并评价信息资产，理解资产的价值和敏感性；3) 识别并评估威胁，理解威胁发生的可能性；4) 识别并评价弱点，理解弱点被利用的容易程度；5) 评估风险，确定风险等级；6) 评估并比拟现有的平安措施控制，找出目标与现状之间的差距；- word.zl- - word.zl- -7)根据已经明确的需求来推荐平安措施。4.进展风险

12、消减RiskMitigation，具体活动包括：1) 确定风险消减策略，以便减少、躲避、转嫁或承受风险；2) 选择平安措施控制；3) 制定平安方案，明确平安措施的构建和实施方案；4) 实施平安方案和策略；5) 对平安方案和策略的实施结果进展测试和检查。5.进展风险控制RiskControl，具体包括：1) 信息系统的维护与操作；2) 平安意识、培训与教育；3) 对信息系统的运行和平安措施的效力进展监视；4) 事件响应；5) 再评估与认证。1. 配置管理ConfigurationManagement，确保系统发生的变化不会降低平安措施的效力和组织的整体平安。2. 变更管理ChangeManage

13、ment，当信息系统发生变化时，识别新的平安需求。3. 应急方案ContingencyPlanning，包括业务连续性方案、灾难恢复方案等。对应PCDA模型，信息平安目标与战略确实定、信息平安策略开发以及风险评估属于方案阶段Plan，风险消减属于实施阶段Do，风险控制、配置管理、变更管理、应急方案以及平安意识培训等活动都可以归入到检查Check和措施Action阶段。我们所强调的信息平安管理模式，是由风险驱动的信息平安管理模式，是对组织的信息平安风险进展控制和指导的相互协调的活动，风险管理是其中的核心。四、工程实施原那么本工程要求以平安咨询为根底，重点进展平安规划、平安管理体系细化和- wor

14、d.zl- - word.zl- -周期性平安效劳为主。在效劳过程中，应遵循以下原那么： 标准性原那么：方案的设计和实施应依据国际标准ISO27001、数据敏感、国家及行业相关标准进展； 标准性原那么：效劳提供商的工作过程和所有文档，应具有很好的标准性，以便于工程的跟踪和控制； 可控性原那么：在保证工程质量的前提下，按方案进度执行，保证甲方对于工程的可控性。信息平安调研的工具、方法和过程要在双方认可的范围之内合法进展； 完整性原那么：调研和规划设计的范围和内容应完整地覆盖信息平安所涉及的技术和管理等各个层面，并对这种完整性进展说明或论证，实施对象也应完整地覆盖甲方信息系统的各个方面； 合理性原

15、那么：信息平安规划设计必须立足于甲方的现实情况，设计方法应符合逻辑，过程应完备详实，从而确保结论是可信服的； 可操作性原那么：在信息平安架构设计中，应根据信息平安要求提出相应的解决方案，方案必须具体可行，易于实际操作； 最小影响原那么：调研工作应防止影响系统和网络的正常运行，不能对现正常运行的系统和网络构成破坏和造成停产； XX性原那么：调研的过程和结果应严格XX，未经甲方授权，对工程涉及的任何信息不得泄露给第三方； 经济性原那么：方案的设计和实施应在到达工程要求的前提下，具有较高的性价比和经济性；- word.zl- - word.zl- - 先进性原那么：方案的设计要具备先进性和前瞻性，需

16、统筹考虑甲方未来五年的信息平安开展需求。五、工程阶段及内容- word.zl- -效劳工程阶段过程主要任务主要内容ISO27001咨询效劳准备确定ISMS范围业务战略及规划一致性分析法规制度符合性分析业务运营影响分析确定ISMS范围确定信息平安总体方针政策业务及系统初步平安需求分析确定ISMS总体方针政策定义风险评估与管理方法确定风险评估模型及相关指标准那么制定风险评估与管理程序工程准备制定实施方案组建工程组整理开发工具/模板工程启动会培训风险评估现状分析问卷调查现场访谈手工检测平安扫描渗透测试综合分析撰写报告风险评价资产评价威胁评价弱点评价风险评价撰写风险评估报告风险处置选择风险处置方式选择

17、平安控制措施制定风险处置方案剩余风险分析平安体系规划与设计平安体系规划任务或工程分解任务或工程实施规划撰写规划报告编写平安体系文档确定ISMS文件清单- word.zl- - word.zl- -制定ISMS文件编写方案编写ISMS文件ISMS文件评审平安体系实施、调整、评审体系实施体系批准制定实施工作方案建立平安管理组织体系培训体系实施实施总结体系调整制定调整方案实施体系调整体系评审内部审核管理层评审- word.zl- -六、工程收益- word.zl- -lllll建立满足ISO27001国际标准及行业监管要求，并适应组织自身管理特点的信息平安管理体系；获得ISO27001认证；提升主动防范信息技术相关平安风险的能力，保障组织运营的平安；形成体系的监视、检查机制，建立可自我改良和完善的管理体系；提升组织内部全员的平安意识，在组织内部形成信息平安文化气氛，以更有效地推动信息平安管理工作的持续改良。- word.zl-