Selected如何建立信息安全管理体系

1、Important & Selected Documents 如何建立信息安全管理体系 (ISMS) 信息是所有组织赖以生存和发展的最有价值的资产之一，犹如维持生命所必须的血液。然而，在当今 激烈竞争的商业环境下，作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内 部，也可能来自外部，可能是无意的，也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌 现，许多组织感到面对各种威胁防不胜防，犹如敞开了大门。 组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于 其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能

2、力的一个新 的 挑 战 任 务 。 组 织 建 立 一 个 基 于 ISO/IEC27001:20RR 标 准 的 信 息 安 全 管 理 体 系 (InformationSecuritRManagementSRstem, 以下简称 ISMS) ，已成为时代的需要。 本文从简单分析 ISO/IEC27001:20RR 标准的要求入手，论述建立一个符合该标准要求的ISMS 。 1. 正确理解 ISMS 的含义和要素 ISMS 创建人员只有正确地理解 ISMS 的含义、 要素和 ISO/IEC27001 标准的要求之后， 才有可能建立 一个符合要求的完善的 ISMS 。因此，本节先对 ISMS 的

3、含义和要素用通俗易懂的语言，做出解释。 (1) “体系”的含义 “信息安全管理体系” (InformationSecuritRManagementSRstem) 中的“体系”来自英文 “SRstem”。“ SRstem” 当然可翻译为“体系” ，但通常的译文应是“系统” 。同样，“ ManagementSRstem”当然可翻译为“管理体 系 ”， 但 通 常 也 翻 译 为 “ 管 理 系 统 ”。 例 如 在 计 算 机 领 域 中 ， 一 个 十 分 常 见 的 术 语 “ DatabaseManagementSRstem”，被普遍公认地翻译为“数据库管理系统”(简称 DBMS) ，而几乎

4、没有人 将其翻译为“数据库管理体系” 。很显然，如果把 ISMS 翻译为“信息安全管理系统” ，也未尝不可。 实际上，“体系”和“系统”的含义都一样：由若干个为实现共同目标而相互依赖、协调工作的部件(或 组分)组成的统一体。这些组成“体系”或“系统”的部件也称“要素” (Element) 。组成“体系”或“系 统”的这些要素相互依赖，缺一不可。否则“体系”或“系统”就会受破坏、瘫痪，而不能工作或运行。 例如，计算机系统 (ComputerSRstem) 是由相互依赖的硬件和软件组成。如果硬件或软件受破坏，该计算机 系统就不能正常运行。 此外，“体系”或“系统”是可分级的，即有上级和下级之分。系

5、统的上级称为上级系统。其下级称 为子系统。 (2) ISMS 的含义 在 ISO/IEC27001 标准中，已对 ISMS 做出了明确的定义。通俗地说，组织有一个总管理体系， ISMS 是这 个总管理体系的一部分，或总管理体系的一个子体系。 ISMS 的建立是以业务风险方法为基础，其目的是 建立、实施、运行、监视、评审、保持和改进信息安全。 如果一个组织有多个管理体系，例如包括ISMS、QMS( 质量管理体系 )和 EMS(环境管理体系 )等，那么这 些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组分，或一 个子管理体系。各个子管理体系必须相互配合、协调一致地

6、工作，才能实现该组织的总目标。 (3) ISMS 的要素 标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见 ISO/IEC27001:20RR3.7) 。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组分或要素。我们 将其归纳后， ISMS 的要素要包括： 1) 信息安全管理机构 通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。 2) ISMS 文件 包括 ISMS 方针、过程、程序和其它必须的文件等。 3) 资源 包括建立与实施 ISMS 所需要的合格人员、足够的资金和必要的设备等。 ISMS 的建立要确保这

7、些 ISMS 要素得到满足。 2. 建立信息安全管理机构 (1) 为什么需要信息安全管理机构 ? 系统(或体系 )可有“天然系统”和“人工系统”之分。ISMS 是一个人工系统，需要管理机构组织人力建 成。 ISMS 建成后，如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施 等 )ISMS 不可能运行。 ISMS 也不可能是一个“永动机” ，如果不能不断地从管理机构获取能源(包括人财 物)，其运行也会慢慢停止下来。 当今，社会上存在的常见问题是：某些组织建设管理体系的主要目的是为了取得认证证书，一旦取 得证书，对管理体系的管理工作就松懈下来，相关的体系管理机构不健全，甚

8、至被取消了，或者有名无 Important & Selected Documents Important & Selected Documents 实了。这样的管理体系不太可能获得好效益。 （2）如何组建信息安全管理机构？ 1）信息安全管理机构的名称 标准没有规定信息安全管理机构的名称， 因此名称并不重要。从目前的情况看， 许多组织在建立 ISMS 之 前，已经运行了其它的管理体系，如 QMS 和 EMS 等。因此，最有效与省资源的办法是将信息安全管理 机构合并于现有管理体系的管理机构，实行一元化领导。 2）信息安全管理机构的级别 信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效

9、果看，对于中等以上规模的组织， 最好设立三个不同级别的信息安全管理机构： a）高层 以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。 b）中层 负责该组织日常信息安全的管理与监督活动。 基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。 3. 执行标准要求的 ISMS 建立过程 在 ISO/IEC27001:20RR 标准“ 4.2.1 建立 ISMS ”条款中，已经规定了 ISMS 的建立内容和步骤。组织 要遵照这些内容和步骤， 结合其总体业务活动和风险的需要， 而建立其自己的 ISMS ，并形成相应的 ISMS 文件。

10、 （1）正确理解标准的要求 ISO/IEC27001:20RR “4.2.1EstablishtheISMS ”（4.2.1 建立 ISMS）条款，有 10 条强制性要求 （见4.2.1a-j）。由 于在英文标准中，这些要求都通过使用一个英语词“shall ”引出，因此， BSI（英国标准研究院 ）把这些“强 制性要求”称为“ shall”要求 （“shall”Requirements） 。这意味着， 凡是跟在“ shall”后面的要求都是 ISMS 必须完全满足的命令式的要求。 这 10 条强制性要求既是 10 个过程或活动，也可作为 ISMS 建立的 10 个步骤。 （2） 遵照标准要求的

11、 ISMS 建立步骤 按照 ISO/IEC27001:20RR “4.2.1 建立 ISMS ”条款的要求，建立 ISMS 的步骤包括： 1）定义 ISMS 的范围和边界，形成 ISMS 的范围文件； 2）定义 ISMS 方针 （包括建立风险评价的准则等 ）,形成 ISMS 方针文件； 3）定义组织的风险评估方法； 4）识别要保护的信息资产的风险，包括识别： a）资产及其责任人； b）资产所面临的威胁； c）组织的脆弱点； d）资产保密性、完整性和可用性的丧失造成的影响。 5）分析和评价安全风险，形成风险评估报告文件，包括要保护的信息资产清单； 6）识别和评价风险处理的可选措施，形成风险处理计

12、划文件； 7）根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件； 8）管理者正式批准所有残余风险； 9）管理者授权 ISMS 的实施和运行； 10）准备适用性声明。 4. 完成所需要的 ISMS 文件 ISMS 文件是 ISMS 的主要要素，既要与 ISO/IEC27001:20RR 保持一致，又要符合本组织的信息安全 的需要。实际上， ISMS 文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是 ISO/IEC27001:20RR 的具体体现。 对一般员工来说， 在其实际工作中， 可以不过问国际信息安全管理标准 -ISO/IEC27001:20RR ，但必须

13、按照 ISMS 文件的要求执行工作。 （1）ISMS 文件的类型 根据 ISO/IEC27001:20RR 标准的要求， ISMS 文件有三种类型。 1）方针类文件（ Policies ） 方针是政策、原则和规章。主要是方向和路线上的问题，包括： a） ISMS 方针 （ISMSpolicR） ； b）信息安全方针 （informationsecuritRpolicR） 。 其中， ISMS 方针是信息安全方针的父集。即在 ISMS 方针的框架下，组织可根据实际需要，制定其 Important & Selected Documents Important & Selected Document

14、s 它重要领域的具体的信息安全方针。例如，可有访问控制方针、恶意软件防范方针、口令控制方针、网 络安全方针、硬件设备安全方针等。 2）程序类文件（ Procedures） “程序文件” 有时又称作 “过程文件” ,包含着为达到某个特定目的， 而对一系列活动 （或过程 ）的顺序 进行控制。有输入 -处理 -输出。所产生的输出通常是“记录” 。 3）记录（ Records） 记录是提供客观证据的一种特殊类型的文件。通常,记录发生于过去，是相关程序文件运行产生的结 果（或输出） 。记录通常是表格形式。 4）适用性声明文件（ StatementofApplicabilitR, 简称 SOA ） ISO

15、/IEC27001:20RR 标准的附录 A 提供许多控制目标和控制措施。这些控制目标和控制措施是最佳 实践。对于这些控制目标和控制措施，实施 ISMS 的组织只要有正当性理由，可以只选择适合本组织使用 的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明（说明） ，并形成适用 性声明文件。 （2）必须的文件 “必须的 ISMS 文件”是指 ISO/IEC27001:20RR “ 4.3.1 总则”明确规定的，一定要有的文件。这些文件就 是所谓的强制性文件 （mandatorRdocuments） 。“4.3.1 总则”要求 ISMS 文件必须包括 9 方面的内容： 1）IS

16、MS 方针 ISMS 方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的 职责等。 2）ISMS 的范围 3）支持 ISMS 的程序和控制措施； 4）风险评估方法的描述； 5）风险评估报告； 6）风险处理计划； 7）控制措施有效性的测量程序； 8）本标准所要求的记录； 9）适用性声明。 在实际工作中，上述内容经过归纳和整理后，可用以下文件表示： 1）ISMS 方针文件，包括 ISMS 的范围； 2）风险评估程序，包括“风险评估方法的描述” ，而其运行的结果产生风险评估报告 。 3）风险处理程序，运行的结果产生风险处理计划。 4）文件控制程序； 5）记录控制程

17、序； 6）内部审核程序； 7）纠正措施与预防措施程序； 8）控制措施有效性测量程序 9）管理评审程序 10）适用性声明 （3）任意的文件 除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程 序文件和方针类文件） 。这些文件就是所谓的任意的文件（DiscretionarRdocuments） 。这类文件的内容可随 组织的不同而有所不同，主要取决于 : 1）组织的业务活动及风险； 2）安全要求的严格程度； 3）管理的体系的范围和复杂程度。 这里，需要特别提出的是， ISMS 的特点之一是风险评估和风险管理。组织需要哪些 ISMS 文件及其复杂 程度如何，通常

18、可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处 理这些风险的可能方法，包括形成相关文件。 （4）文件的符合性 ISMS 文件的符合性包括符合相关法律法规的要求、 符合 ISO/IEC27001:20RR 标准 4-8 章的所有要求 和符合本组织的实际要求。为此： 1）参考相关法律法规要求和标准要求 在编写 ISMS 文件时 ,编写者应参考相关法律法规要求和标准的相应条款的要求，例如， 在编写 ISMS 方针 Important & Selected Documents Important & Selected Documents 时，要参考 ISO/IEC27001 “4.2.1b）定义 ISMS 方针”；编写适用性声明时，要参考 ISO/IEC27001 “4.2.1j） 准备适用性声明” ；编写文件控制程序时，要参考 ISO/IEC27001 “