信息安全管理體系(ISMS)
信息安全管理體系是組織整體管理體系的一個部分,是基于風(fēng)險評估、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進信息安全等一系列的管理活動。企業(yè)建立實施信息安全管理體系能助力企業(yè)的信息安全管理科學(xué)化,有效地對信息資源形成保護,促使信息化進程有序健康可持續(xù)地發(fā)展。
企業(yè)通過信息安全管理體系,可以幫助企業(yè):
·加強信息資產(chǎn)的安全性、保障業(yè)務(wù)持續(xù)性與緊急恢復(fù);
·強化員工的信息安全意識,規(guī)范組織信息安全行為;
·減少可能潛在的風(fēng)險隱患,減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失;
·維護企業(yè)聲譽、品牌和客戶信任,維持競爭優(yōu)勢;
·滿足客戶和法律法規(guī)要求。
建立實施信息安全管理體系路徑
企業(yè)根據(jù)GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求建立實施信息安全管理體系(以下簡稱ISMS),主要包括六個階段:
·項目啟動
·ISMS現(xiàn)狀評估
·信息安全風(fēng)險管理
·ISMS體系文件編寫
·ISMS體系運行
·體系認證審核
各階段的具體工作內(nèi)容和成果見下表:
工作階段
具體工作內(nèi)容
成果說明
項目啟動
訪談?wù){(diào)研及基本資料收集
明確調(diào)研內(nèi)容,組織訪談?wù){(diào)研;進行基本資料收集
企業(yè)關(guān)于ISMS的基本資料收集
信息安全管理體系基本知識及標(biāo)準(zhǔn)培訓(xùn)
準(zhǔn)備培訓(xùn)內(nèi)容并進行培訓(xùn),培訓(xùn)內(nèi)容包括信息安全管理體系的基本知識及標(biāo)準(zhǔn)解讀
現(xiàn)狀評估
ISMS現(xiàn)有文件分析
分析企業(yè)現(xiàn)有文件哪些包含在ISMS內(nèi)
確定ISMS體系管理范圍
確定信息安全方面的基本管理目標(biāo)
確定ISMS體系初步框架
資料收集、整理,企業(yè)信息安全管理現(xiàn)狀分析
設(shè)計的管理范圍:分析企業(yè)的基本信息安全要求,包括企業(yè)內(nèi)外部環(huán)境、相關(guān)方需求和期望等;
分析企業(yè)現(xiàn)狀與ISMS的差距。
體系文件規(guī)劃
規(guī)劃ISMS體系文件的框架
信息安全風(fēng)險管理
確定風(fēng)險評估程序
明確風(fēng)險評估的方法和過程
資產(chǎn)清冊
企業(yè)各類資產(chǎn),包括法人資產(chǎn)、物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)等;
風(fēng)險評估報告
通過風(fēng)險評估:識別資產(chǎn)的重要性、識別資產(chǎn)面臨的威脅、識別威脅的脆弱性、分析已有控制措施的有效性、分析信息資產(chǎn)的暴露等級、評估風(fēng)險的發(fā)生容易,依次確定風(fēng)險值及風(fēng)險等級,形成風(fēng)險評估報告。
風(fēng)險處置計劃
針對風(fēng)險等級的不同,采取不同的處置措施,并形成風(fēng)險處置計劃。
信息資產(chǎn)識別與統(tǒng)計
識別企業(yè)的各類信息資產(chǎn)
威脅脆弱性識別與評估
針對以識別的信息資產(chǎn)進行威脅脆弱性識別與評估
完成風(fēng)險評估報告
根據(jù)風(fēng)險評估的過程和結(jié)果完成風(fēng)險評估報告。
風(fēng)險處置
確定風(fēng)險處置程序;
制定風(fēng)險處置計劃。
ISMS體系文件編寫
ISMS體系文件編寫
編寫ISMS體系文件,主要包括方針目標(biāo)、手冊、體系職責(zé)、實用性聲明、相關(guān)程序文件等。
本階段主要是完成體系文件,體系文件分三級,體系文件的樣本(僅作為參考,不同企業(yè)根據(jù)本企業(yè)的實際情況,二級、三級文件可能會有差別)
ISMS體系文件評審與定稿
組織體系文件的內(nèi)部評審;
根據(jù)評審意見進行修改完善。
ISMS體系文件發(fā)布
組織體系文件的發(fā)布
ISMS體系運行
ISMS內(nèi)部審核
制定內(nèi)審方案、計劃,組織內(nèi)審員培訓(xùn);
開展內(nèi)審;
根據(jù)內(nèi)審情況進行整改并編制內(nèi)審報告。
運行過程的記錄表單
內(nèi)審文件資料
管理評審文件資料
ISMS管理評審
制定管理評審方案、計劃;
開展管理評審。
ISMS持續(xù)改進
針對體系運行過程中發(fā)現(xiàn)的問題制定相關(guān)改進措施
體系認證
審核準(zhǔn)備
提前準(zhǔn)備審核需要的相關(guān)資料。
通過ISMS認證后能獲得證書
一階段審核
接受審核,并及時進行不符合整改
二階段審核
不符合項應(yīng)答和糾正措施
信息安全管理體系的三級文件
一級文件
·信息安全方針與目標(biāo);
·信息安全管理手冊;
·適用性聲明;
·信息安全組織與職責(zé)。
二級文件
·信息文件與記錄控制程序資產(chǎn)管理程序;
·風(fēng)險評估管理程序通訊與操作管理程序;
·網(wǎng)絡(luò)安全防護作業(yè)程序訪問控制管理程序;
·人力資源管理控制程序信息安全法律法規(guī)控制程序;
·信息安全事故管理程序信息交流與溝通控制程序;
·信息物理與環(huán)境安全管理程序信息系統(tǒng)獲取、開發(fā)與維護程序;
·內(nèi)部審核管理程序管理評審控制程序;
·糾正及預(yù)防措施處理程序監(jiān)視及測量控制程序;
·業(yè)務(wù)持續(xù)性管理程序。
三級文件
·開發(fā)安全作業(yè)辦法信息安全獎勵、懲戒管理規(guī)定;
·IT設(shè)備安全管理辦法災(zāi)害復(fù)原演練計劃;
·信息系統(tǒng)操作手冊保密管理辦法;
·備份介質(zhì)定期檢查和測試記錄計算機硬件管理維護表;
·文件發(fā)放登記表文件更改申請單;
·資產(chǎn)清冊風(fēng)險評估表;
·風(fēng)險處理計劃表服務(wù)器賬號/軟硬件異動申請單;
·信息系統(tǒng)角色訪問權(quán)限表信息安全薄弱點報告;
·信息安全獎勵、懲戒記錄保密承諾書;
·保密協(xié)議書對外交流與合作保密協(xié)議書;
·員工離職交接單員工離職申請;
·員工入職登記表信息安全糾正及預(yù)防措施處理表;
·信息安全糾正及預(yù)防措施執(zhí)行追蹤表內(nèi)部審核檢查清單;
·內(nèi)部審核報告內(nèi)部審核計劃;
·信息安全事件通報單災(zāi)害回復(fù)計劃表;
·緊急事故對應(yīng)生產(chǎn)持續(xù)性管理總體方案。
總結(jié)
組織建立和實施ISMS是一個相對的、動態(tài)的持續(xù)過程,組織應(yīng)不斷改進自身的信息安全狀態(tài),調(diào)整ISMS體系文件及控制措施,將信息安全風(fēng)險控制在組織可接受的范圍之內(nèi),從而獲得組織現(xiàn)有條件下和資源能力范圍內(nèi)最大程度的安全。