信息安全管理体系建设

数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。

一、安全管理简介

• 安全管理是企业生产管理的重要组成部分，是对生产中一切人、物、环境的状态管理与控制，是一种动态管理。
• 实施安全管理过程中，必须正确处理五种关系，坚持六项基本管理原则。

五种关系

• 安全与危险并存

• 安全与危险在同一事物的运动中相互对立，相互依赖。因为有危险，才要进行安全管理，从而防止危险。安全与危险并非是等量并存、平静相处，随着事物的运动变化，安全与危险每时每刻都在变化，进行着此消彼长的斗争，事物的状态将向斗争的胜方倾斜。在事物的运动中，不会存在绝对的安全或危险。
• 保持生产的安全状态，必须采取多种措施，以预防为主，危险因素是完全可以控制的。
• 危险因素是客观的存在于事物运动之中的，自然是可知的，也是可控的。
• 安全与生产统一

• 生产是人类社会存在和发展的基础。如果生产中人、物、环境都处于危险状态，则生产无法顺利进行。因此，安全是生产的客观要求，当生产完全停止，安全也就失去意义。就生产的目的性来说，组织好安全生产就是对国家、人民和社会最大的负责。
• 生产有了安全保障，才能持续、稳定发展。生产活动中事故层出不穷，生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时，生产活动停下来整治、消除危险因素以后，生产形势会变得更好。”安全第一”的提法，决非把安全摆到生产之上;忽视安全自然是一种错误。
• 安全与质量包涵

• 从广义上看，质量包涵安全工作质量，安全概念也内涵着质量，交互作用，互为因果。
• 安全第一和质量第一两者并不矛盾。安全第一是从保护生产因素的角度提出的，质量第一则是从关心产品成果的角度而强调的。安全为质量服务，质量需要安全保证。生产过程丢掉哪一头，都会陷于失控状态。
• 安全与速度互保

• 速度要以安全做保障，安全就是速度。应该追求安全加速度，竭力避免安全减速度。
• 安全与速度成正比例关系，但是一味强调速度，置安全于不顾的做法、是极其有害的。
• 当速度与安全发生矛盾时，暂时减缓速度，保证安全才是正确的做法。
• 安全与效益兼顾

• 安全技术措施的实施，会改善劳动条件，调动职工的积极性，焕发劳动热性，带来经济效益，足以使原来的投入得以补偿。从这个意义上说，安全与效益完全是一致的，安全促进了效益的增长。
• 在安全管理中，投入要适度、适当，精打细算，统筹安排。既要保证安全生产，又要经济合理，还要考虑力所能及。单纯为了省钱而忽视安全生产，或单纯追求不惜资金的盲目高标准，都不可取。

六项基本原则

• 管生产同时管安全

• 安全寓于生产之中，并对生产发挥促进与保证作用。因此，安全与生产虽有时会出现矛盾，但从安全、生产管理的目标、目的，表现出高度的一致和完全的统一。
• 安全管理是生产管理的重要组成部分，安全与生产在实施过程，两者存在着密切的联系，存在着进行共同管理的基础。
• 坚持安全管理的目的性

• 安全管理的内容是对生产中的人、物、环境因素状态的管理，有效的控制人的不安全行为和物的不安全状态，消除或避免事故。达到保护劳动者的安全与健康的目的。
• 没有明确目的安全管理是一种盲目行为。盲目的安全管理，充其量只能算作花架子，劳民伤财，危险因素依然存在。在一定意义上，盲目的安全管理，只能纵容危胁人的安全与健康的状态，向更为严重的方向发展或转化。
• 贯彻预防为主的方针

• 安全生产的方针是 “安全第一、预防为主”。安全第一是从保护生产力的角度和高度，表明在生产范围内，安全与生产的关系，肯定安全在生产活动中的位置和重要性。
• 进行安全管理不是处理事故，而是在生产活动申，针对生产的特点，对生产因素采取管理措施，有效的控制不安全因素的发展与扩大，把可能发生的事故，消灭在萌芽状态，以保证生产活动中，人的安全与健康。
• 贯彻预防为主，首先要端正对生产中不安全因素的认识，端正消除不安全因素的态度，选准消除不安全因素的时机。在安排与布置生产内容的时候，针对施工生产中可能出现的危险因素。采取措施予以消除是最佳选择。在生产活动过程中，经常检查、及时发现不安全因素，采取措施，明确责任，尽快的、坚决的予以消除，是安全管理应有的鲜明态度。
• 坚持”四全”动态管理

• 安全管理不是少数人和安全机构的事，而是一切与生产有关的人共同的事。缺乏全员的参与，安全管理不会有生气、不会出现好的管理效果。
• 当然，这并非否定安全管理第一责任人和安全机构的作用。生产组织者在安全管理中的作用固然重要，全员性参与管理也十分重要。
• 安全管理重在控制

• 进行安全管理的目的是预防、消灭事故，防止或消除事故伤害，保护劳动者的安全与健康。
• 在安全管理的四项主要内容中，虽然都是为了达到安全管理的目的，但是对生产因素状态的控制，与安全管理目的关系更直接，显得更为突出。因此，对生产中人的不安全行为和物的不安全状态的控制，必须看做是动态的安全管理的重点。事故的发生，是由于人的不安全行为运动轨迹与物的不安全状态运动轨迹的交叉。
• 从事故发生的原理，也说明了对生产因素状态的控制，应该当做安全管理重点，而不能把约束当做安全管理的重点，是因为约束缺乏带有强制性的手段。
• 在管理中发展、提高

• 既然安全管理是在变化着的生产活动中的管理，是一种动态。其管理就意味着是不断发展的、不断变化的，以适应变化的生产活动，消除新的危险因素。
• 然而更为需要的是不间断的摸索新的规律，总结管理、控制的办法与经验，指导新的变化后的管理，从而使安全管理不断的上升到新的高度。

二、信息安全管理简介

• 信息系统安全管理包括信息系统相关的安全管理和信息系统管理安全两方面。这两方面有包含技术性管理和法律性管理两类。信息安全管理是支持与控制通信安全所必需的。

• 技术性管理：以OSI安全机制和安全服务的管理及对物理环境的技术监控为主。
• 法律性管理：以法律法规遵从性管理为主。

三、ISMS简介

• 信息安全管理体系（ISMS，Information Security Management System）是一个组织内部建立的信息安全方针与目标的总称，并包括为实现这些方针和目标所制定的文件体系与方法。
• ISMS在实施过程中，采用了PDCA模型（“规划（Plan）、实施（Do）、检查（Check）、处置（Act），该模型可应用于所有的ISMS过程。

四、ISMS规划设计

建立阶段

• 准备工作：
• 建立ISMS管理机构、召开启动会、制定工作计划、实施基础知识培训、准备相关工具。
• 确定ISMS范围：
• 确定部门、资产、办公场所等。
• 确定ISMS方针和目标：
• 成立信息安全管理委员会、参照等保要求加强技术和管理措施、对所有信息资产进行有效管理、明确相关人员角色和责任、保证系统物理安全、重要数据进行备份、检测恶意代码和未授权代码、严格管理用户权限、控制外网访问权限、控制内部和外部信息访问、建立信息系统监控程序、严格控制敏感数据访问、定期进行风险评估、建立事故处理流程并执行、制定和实施业务连续性计划、识别并满足相关法律法规、与第三方协议要涵盖所有安全要求，并采取措施保证执行。
• 实施风险评估：
• 风险评估模型：实施过程中可以参考ISO 17799、OCTAVE、CSE、《信息安全风险评估指南》等标准，主要是针对资产、威胁、脆弱性和安全措施有效性的评估。
  • 资产评估：对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性和可用性三方面进行影响分析。
  • 威胁评估：对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析。
  • 脆弱性评估：对资产脆弱程度进行评估，主要从脆弱性被利用的难易度、被成功利用后的严重性两方面进行分析。
  • 安全措施有效性评估：对保障措施的有效性进行评估，主要对安全措施防范威胁，减少脆弱性的有效状况进行分析。
  • 风险评估方法：
  • 准备阶段：确定风险评估范围，进行信息的初步收集，并制定详尽的风险评估实施方案。
  • 识别阶段：主要是资产、威胁、脆弱性及安全措施，其结果是形成各自的列表。
  • 资产识别：对评估信息系统的关键资产进行识别，并合理分类。
  • 威胁识别：根据资产所处环境条件和资产以前遭受威胁损害的情况来判断资产所面临的威胁。
  • 脆弱性识别：对物理环境、组织机构、业务流程、人员、管理、硬件、软件及通信设施等各个方面都存在的脆弱性进行识别。
  • 安全措施识别：主要通过问卷调查、人工检查等方式识别被评估信息系统有效对抗风险的防护措施（包含技术手段和管理手段）。
  • 分析阶段：风险评估的主要阶段，主要包括资产影响分析、威胁分析、脆弱性分析、安全措施有效性分析，以及综合风险分析。
  • 资产影响分析：即资产量化分析，在资产识别的基础上，进一步分析被评估信息系统及其关键资产。
  • 威胁分析：对威胁发生的可能性进行评估，确定威胁的权值。
  • 脆弱性分析：依据脆弱性被利用的难易度和被成功利用后所产生的影响来对脆弱性进行赋值量化。
  • 安全措施有效性分析：根据赋值准则对被评估信息系统的防范措施用有效性来衡量。
  • 综合风险分析：在完成以上各项分析工作后，进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法、利用了系统的何种脆弱性，对哪一类资产产生了什么样的影响，同时将风险量化，得到风险的级别。
  • 风险评估实施：依据上述风险评估办法，进行风险评估工作，采用问卷访谈、现场调研、问卷查阅、手工检查、工具检查等手段进行风险评估。
• 选择控制措施：
• 根据风险评估的结果，综合考虑等级保护制度和相关法律法规的要求，针对每一项风险作出应对的控制策略。在确定控制策略后，综合考虑成本、可行性、实施维护难度以及已有安全措施等因素，从ISO/IEC 27001等相关标准中选择相应的安全控制措施。
• 形成体系文件：
• 文件层次：
  • 一级文件（信息安全管理手册）
  • 二级文件（程序及策略文件）
  • 三级文件：（记录文件）

ISMS实施与运行

ISMS监视和评审

• 在ISMS体系运行过程中，需要设立运行监督机制，对体系运转情况进行日常监督，以便及时发现问题。
• 需要制定审核的策略，包括：
• 内部审核（7个阶段）
  • 启动审核阶段：制定审核计划包括审核目的和范围、审核依据的文件、审核组成员、审核日期及安排等内容。
  • 首次会议阶段：介绍审核组成员、审核目的范围、审核方法和程序、公布末次会议日期、时间以及参加人员，审核计划中需要说明的细节问题。
  • 审核实施阶段：按照审计计划进行，通过现场观察、询问、验证等方法来进行内部审核工作。
  • 末次会议阶段：审核实施结束后，召开末次会议，主要公布不符合项内容、提出制定纠正预防措施及改进时限。
  • 结果验证阶段：审核结束后起草审核报告，包括：审核的目的和范围、审核组成员、审核时间和被审核部门；审核中所依据的标准文件资料；审核简况和不符合项状况；纠正预防措施及改进时限，审核评价。在限定时间内，对纠正措施的实施情况进行复审，以确认对不符合项的纠正情况并验证其有效性。
  • 记录归档阶段：所有记录的文件按照相关程序的要求进行保存归档。
  • 管理评审
  • 在管理评审中需要讨论ISMS内部审核结果、相关方的反馈、以前风险评估中没有提出的弱点或者威胁，以及可能影响ISMS的任何更改等，并针对上述问题，提出下一步的工作重点。

五、ISMS和等保的异同

• 相同点：

• 都可以加强对信息安全保障工作：在ISMS建立过程中需要结合等级保护的工作，通过等级测评，对信息系统实施等级保护。一方面可以切实的建立合适的信息安全管理体系，另一方面可以推动等级保护工作的实施，甚至可以建立等级化的信息安全管理体系。
• 对安全管理的要求有相同点：从ISMS和等级测评的实施依据看，都用到了ISO 17799。ISMS实施过程中，ISO 27001的建设过程要求，依据ISO 17799中的控制目标与控制措施来实施风险评估与建立组织的安全策略、措施等。在等级测评过程中，依据DB/T 171-2002中的安全管理测评要求也来自于ISO 17799的各项安全控制目标与控制措施。
• 能够相互促进与补充：通过ISMS建设实践与等级保护实践，建立ISMS与信息系统的等级测评可以是相互促进与补充的作用。ISO 17799的控制措施包含了等级保护安全管理方面的绝大多数要求，而信息安全管理体系实施流程中风险控制的选择，结合信息系统确定的安全等级的要求，从等级保护相关标准中补充选择ISO 17799之外的控制措施，所以完全满足等级保护安全管理的要求。
• 区别：
• 出发点和侧重点不同
  • 等级保护制度作为信息安全保障的一项基本制度，兼顾了技术和管理两个方面，重点在于如何利用现有的资源保护重要的信息系统，主要体现了分级分类，保护重点的思想。
  • ISMS主要从安全管理的角度出发，重点在于组织或其特定范围内建立信息安全方针、政策，安全管理制度和安全管理组织，并使其有效落实，主要体现了安全管理的作用和重要性。
  • 实施依据不同
  • ISMS的直接标准是ISO27001，其中详细规定了实施ISMS的完整过程与模型，在实施ISMS过程中，间接使用的标准是ISO17799，其中详细介绍了信息安全管理要求。
  • 等级保护主要是为验证信息系统是否达到某一个安全等级的要求，其标准依据主要是GB 17859-1999。
  • 实施主体不同
  • ISMS的建设主体当前主要是各企业组织。
  • 等级测评的主体是经过国家认可的信息安全测评认证组织。
  • 实施对象不同
  • ISMS体系的实施对象主要是各企业单位。
  • 等级保护的实施对象主要是有信息系统等级要求的各级党政机关等政府部门。
  • 实施过程不同
  • 等级保护制度的完整实施过程是贯穿信息系统的整个生命周期。
  • ISMS的完整实施过程贯穿组织或组织某一特定范围的管理体系的整个生命周期，可以与组织或组织某一特定范围的管理体系同步进行，也可以在其管理体系已建设完成的基础上进行。
  • 结果不同
  • ISMS的建设结果是为组织建立一套ISMS的体系文件，有力的加强本组织的信息安全。
  • 等级测评的结果是给出被测评对象是否达到声明的安全等级要求。

六、ISMS与等保的融合

• 相关标准的融合：ISMS有两个标准（ISO/IEC 27001:2005与ISO/IEC 17700:2005），其中ISO/IEC 27001:2005属于要求标准，是ISMS建立的重要标准；而ISO/IEC 17700:2005属于指南标准，是控制措施的实施指南。在等级保护中，《信息系统安全等级保护基本要求》是实施等级保护制度的基本要求。控制措施是ISMS与等级保护制度中的重要内容。

• 结构的融合：ISMS和等级保护对控制措施的要求可以利用ISMS的结构（控制类别-控制目标-控制措施），加以描述，然后划分不同的等级要求，即二者可以结合成坐标轴结构，横轴为控制措施目标和要求，纵轴则为不同的等级要求。
• 内容的融合：二者都在控制措施上有详细的实施描述，因此可以从内容上加以融合。
• 实施过程的融合：

• 等级保护的实施过程：系统定级-安全规划设计-安全实施-安全运行维护。
• ISMS的实施过程：需要遵循PDCA模型，如上文。
• 从等级保护制度的实施过程看，也可以将其归为PDCA模型，系统定级和安全规划设计归为P阶段，安全实施归为D阶段，安全运行维护可以视为C阶段和A阶段。因此二者在实施的时候，可以按照PDCA模型来进行组织。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn

数字化转型网数据专题包含哪些内容

数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。

本文由数字化转型网（www.szhzxw.cn）转载而成，来源于网络；编辑/翻译：数字化转型网默然。