信息安全管理是任何組織的信息安全活動(dòng)中的必不可少的內(nèi)容,目前信息安全管理領(lǐng)域中,國(guó)際上比較流行的管理體系是信息安全管理體系(ISMS),國(guó)際標(biāo)準(zhǔn)化組織也加快了信息安全管理體系標(biāo)準(zhǔn)的研究和制定的步伐,目前已經(jīng)形成了14個(gè)國(guó)際標(biāo)準(zhǔn)研究編制內(nèi)容。
我國(guó)已經(jīng)形成的信息安全管理標(biāo)準(zhǔn)主要包括GB/T 22080—2008(信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T 22081—2008(信息技術(shù)安全技術(shù)安全管理實(shí)用規(guī)則》。
隨著我國(guó)信息安全工作的發(fā)展,公安部制定了一系列標(biāo)準(zhǔn),進(jìn)行信息系統(tǒng)分等級(jí)保護(hù),將信息系統(tǒng)劃分為五個(gè)安全等級(jí),安全要求從第一級(jí)到第五級(jí)逐級(jí)遞增。主要標(biāo)準(zhǔn)包括《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》、《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等。其等級(jí)保護(hù)制度的推行,是為了進(jìn)一步落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))的要求“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。因此推行等級(jí)保護(hù)制度,與建立信息安全管理體系之間有著緊密的關(guān)聯(lián)。
1、信息安全管理體系
1.1信息安全管理體系的結(jié)構(gòu)
信息安全管理體系,即Information security management system(ISMS),是由信息安全最佳慣例組成的實(shí)施規(guī)則,主要內(nèi)容包括11個(gè)安全類別,39個(gè)控制目標(biāo),133項(xiàng)控制措施。信息安全管理體系中提倡對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,其最終目的是通過(guò)風(fēng)險(xiǎn)控制,達(dá)到信息安全管理的目的。信息安全管理體系的安全類別包括以下幾個(gè)方面。
(1)安全方針
確定信息安全管理的方針、目標(biāo)。
(2)信息安全組織
對(duì)組織內(nèi)部和外部各方的信息安全進(jìn)行管理。
(3)資產(chǎn)管理
對(duì)組織的所有信息資產(chǎn)進(jìn)行分類,并實(shí)施有效管理。
(4)人力資源安全
對(duì)員工的所有可能影響信息安全的行為和過(guò)程列入信息安全管理范圍。
(5)物理和環(huán)境安全
對(duì)組織的辦公環(huán)境、設(shè)備所處環(huán)境等的安全管理。
(6)通信和操作管理
對(duì)所有涉及到通信和操作的所有內(nèi)容加以控制。
(7)訪問(wèn)控制
對(duì)信息、信息系統(tǒng)、網(wǎng)絡(luò)服務(wù)等方面的訪問(wèn)進(jìn)行控制。
(8)信息系統(tǒng)獲取、開發(fā)和維護(hù)
對(duì)信息系統(tǒng)的設(shè)計(jì)、開發(fā)、驗(yàn)收、維護(hù)等方面進(jìn)行管理。
(9)信息安全事件管理
對(duì)信息安全事件的劃分、發(fā)現(xiàn)、報(bào)告、處理程序進(jìn)行規(guī)范。
(10)業(yè)務(wù)連續(xù)性
為防止業(yè)務(wù)中斷,保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程而進(jìn)行的管理。
(11)符合性
保證符合法律、法規(guī)要求及符合組織安全策略的管理。
信息安全管理體系中針對(duì)所有管理范圍都提出了管理要求。其管理體系雖然是針對(duì)“管理”建立的,但是其中亦涵蓋了所有針對(duì)技術(shù)方面所應(yīng)實(shí)施的內(nèi)容。
1.2信息安全管理體系的特點(diǎn)
信息安全管理體系ISMS具有如下特點(diǎn):(1)基于一個(gè)組織;(2)目標(biāo)是體系化建設(shè);(3)立足于風(fēng)險(xiǎn)管理思想;(4)貫穿了“規(guī)劃-實(shí)施-檢查-處置”(PDCA)持續(xù)改進(jìn)的過(guò)程和活動(dòng);(5)根據(jù)組織自身的任務(wù)和應(yīng)對(duì)安全風(fēng)險(xiǎn)需求來(lái)選擇安全控制措施;(6)通過(guò)安全控制的測(cè)度和審核來(lái)檢查信息安全技術(shù)和管理運(yùn)用的合規(guī)性。
京公網(wǎng)安備 11010502049343號(hào)