◆孫 琳 于 洋

（北京市南水北調(diào)信息中心 北京 100195）

論信息安全管理體系的構(gòu)建

◆孫 琳 于 洋

（北京市南水北調(diào)信息中心 北京 100195）

隨著信息技術(shù)應(yīng)用范圍的不斷擴(kuò)大，公眾對于信息安全的關(guān)注日益增加，而構(gòu)建完善的信息安全管理系統(tǒng)已經(jīng)成為當(dāng)務(wù)之急。本文將針對信息安全管理的構(gòu)建進(jìn)行研究，分析其框架構(gòu)成，在此基礎(chǔ)上理清構(gòu)建思路和實(shí)施保障等問題，為信息安全管理體系的進(jìn)一步完善提供可行的理論支持。

信息安全；管理體系；構(gòu)建優(yōu)化

0 引言

信息安全管理框架的構(gòu)成需要遵循一定的流程，不同組織環(huán)節(jié)需要針對自身情況，構(gòu)建起與相關(guān)業(yè)務(wù)相適應(yīng)的信息框架，以保障其穩(wěn)定性和安全性。在信息傳輸過程中，需要以ISMS框架為基礎(chǔ)，并構(gòu)建與之相匹配的文件、文檔管理模式，對信息安全框架內(nèi)出現(xiàn)的各種風(fēng)險(xiǎn)隱患、安全事件等做出詳細(xì)記錄，構(gòu)建起信息反饋制度，完善其反饋流程。

1 信息安全管理體系框架的構(gòu)成

1.1 定義信息安全政策

由于組織規(guī)模不同，在信息安全政策的制定上也有一定差異。如果組織規(guī)模有限，則單一安全政策就能滿足其管理需求，并在內(nèi)部各部門通用。如果規(guī)模組織較大，則需要根據(jù)不同部門實(shí)際情況執(zhí)行差異化安全政策。如果組織屬于集團(tuán)化管理模式，則需要制定政策叢書，以此適應(yīng)不同管理部門、分支機(jī)構(gòu)的信息安全需求。但是無論的何種形式的安全政策，都需要體現(xiàn)出簡潔性、邏輯性和執(zhí)行性，能夠直奔主題不受中間環(huán)節(jié)干擾，構(gòu)建起以安全政策為核心的信息管理框架。在實(shí)施過程當(dāng)中，需要將安全政策作為主導(dǎo)方針，并形成書面格式下發(fā)給工作人員，針對相關(guān)人員進(jìn)行政策指導(dǎo)培訓(xùn)，對于信息安全負(fù)責(zé)人員則需要進(jìn)行強(qiáng)化培訓(xùn)，從而使組織人員對安全方針有全面把握。

1.2 定義ISMS范圍

在組織內(nèi)部界定ISMS框架范圍，其范圍界定主要以組織現(xiàn)有結(jié)構(gòu)為依據(jù)，并根據(jù)實(shí)際情況進(jìn)行調(diào)整。只有建立起覆蓋層面完善的ISMS構(gòu)架范圍，才能將信息安全管理落實(shí)到位。因此，在安全定義環(huán)節(jié)，需要將信息安全環(huán)境進(jìn)行領(lǐng)域劃分，從而使不同領(lǐng)域具備與之相適應(yīng)的安全管理規(guī)范。

1.3 實(shí)施信息安全評估

在信息安全評價(jià)中，其流程取決于風(fēng)險(xiǎn)敏感系數(shù)，因此在評價(jià)方式的選擇上需要與信息風(fēng)險(xiǎn)監(jiān)測相一致，具體實(shí)施方式有三種：

（1）對基本風(fēng)險(xiǎn)進(jìn)行評估。根據(jù)風(fēng)險(xiǎn)標(biāo)準(zhǔn)對組織內(nèi)信息風(fēng)險(xiǎn)進(jìn)行評價(jià)，在評價(jià)標(biāo)準(zhǔn)中，列舉了常見信息風(fēng)險(xiǎn)及其管理要點(diǎn)，這些要點(diǎn)針對一般性信息安全評價(jià)具有較高的適應(yīng)性。但是不同組織需要根據(jù)自身信息管理特點(diǎn)靈活調(diào)整。如果安全等級所設(shè)置的條件過高，那么常規(guī)監(jiān)管措施、實(shí)施成本也將相對增加，同時(shí)影響常規(guī)操作效率。但是，如果評估標(biāo)準(zhǔn)過低，又會(huì)影響信息安全管制力度。此外，還會(huì)造成信息安全與調(diào)度方面出現(xiàn)問題。因此，在信息系統(tǒng)做出升級、調(diào)整、優(yōu)化的同時(shí)，難以實(shí)現(xiàn)信息安全的預(yù)期要求。

（2）風(fēng)險(xiǎn)細(xì)化評估。也就是首先對信息內(nèi)容做出細(xì)化歸納，并對其進(jìn)行賦值，其后根據(jù)信息類型進(jìn)行風(fēng)險(xiǎn)分析。信息風(fēng)險(xiǎn)細(xì)化分解能夠降低信息系統(tǒng)的脆弱性，并根據(jù)既有風(fēng)險(xiǎn)為未來信息安全框架的構(gòu)架提供支持。組織內(nèi)部的信息安全評價(jià)越完善，其安全需求方向也會(huì)更清晰。與風(fēng)險(xiǎn)基本評價(jià)模式相比，風(fēng)險(xiǎn)的細(xì)化評價(jià)將更有利于節(jié)約時(shí)間成本和人力物力，必要時(shí)可以引入外部技術(shù)支持以保證評價(jià)結(jié)構(gòu)的科學(xué)性和客觀性。

（3）細(xì)化風(fēng)險(xiǎn)與基本風(fēng)險(xiǎn)評價(jià)相融合。首先以一般信息安全評價(jià)對體系內(nèi)的信息風(fēng)險(xiǎn)進(jìn)行發(fā)掘和篩選，從而確定核心信息的安全性。其后將信息體系之內(nèi)的數(shù)據(jù)進(jìn)行劃分，一類為常規(guī)信息，一類為特殊信息，兩者要區(qū)分對待。對于特殊信息的安全評價(jià)需要制定相應(yīng)的、有針對性的方法，而一般信息則可以采用常規(guī)安全評價(jià)模式。兩者相結(jié)合能夠?qū)崿F(xiàn)組織資源應(yīng)用效率的最大化，但是其中也有一些缺陷存在。如果對于關(guān)鍵性信息的風(fēng)險(xiǎn)把握不足、判斷失誤，則會(huì)造成評估結(jié)構(gòu)失真，對組織信息安全造成嚴(yán)重影響，信息安全將難以得到保障。在信息安全評價(jià)時(shí)，需要將多種后果進(jìn)行綜合考察，尤其是針對ISMS范圍之內(nèi)的信息做出科學(xué)評價(jià)，對于風(fēng)險(xiǎn)威脅以及系統(tǒng)脆弱性進(jìn)行綜合評價(jià)，對既有安全監(jiān)管措施做出鑒定。

1.4 信息安全管理

在實(shí)施風(fēng)險(xiǎn)轉(zhuǎn)嫁之前，首先需要對采取一定措施，盡量減少風(fēng)險(xiǎn)影響。一些風(fēng)險(xiǎn)是可以規(guī)避的，例如利用技術(shù)優(yōu)化、調(diào)整操作程序等技術(shù)手段就可以實(shí)現(xiàn)。一般情況下，只有在風(fēng)險(xiǎn)確定不可回避、無法降低的情況下，才會(huì)考慮風(fēng)險(xiǎn)轉(zhuǎn)嫁問題。通常來說，風(fēng)險(xiǎn)轉(zhuǎn)嫁應(yīng)用在低概率風(fēng)險(xiǎn)事件中，尤其是能夠?qū)M織整體運(yùn)行構(gòu)成重大影響風(fēng)險(xiǎn)，會(huì)考慮采取風(fēng)險(xiǎn)轉(zhuǎn)嫁模式。組織出于技術(shù)條件限制或者經(jīng)濟(jì)條件制約，需要慎重選擇這一安全管理模式。

1.5 確定管理目標(biāo)及管制措施

在信息安全管理措施的制定中，核心原則在于成本必須低于風(fēng)險(xiǎn)損失。但是還需要注意到，有些特殊的風(fēng)險(xiǎn)后果并不是在經(jīng)濟(jì)控制范圍之內(nèi)，如商譽(yù)損失。信息安全始終處于動(dòng)態(tài)管理體系下，管理人員需要根據(jù)管理目標(biāo)、實(shí)施措施等對其進(jìn)行動(dòng)態(tài)調(diào)整和檢驗(yàn)，從而使其與動(dòng)態(tài)發(fā)展需求相匹配，進(jìn)一步發(fā)揮信息安全管理的重要作用。

1.6 信息安全適用性申明

該申明能夠有效記錄信息風(fēng)險(xiǎn)的管控目標(biāo)，并針對不同信息風(fēng)險(xiǎn)類型制定相應(yīng)的管理對策。該申明的準(zhǔn)備能夠明確組織人員對于信息安全、風(fēng)險(xiǎn)防御的態(tài)度，而最為明顯的作用則在于對外部環(huán)境出示其信息安全態(tài)度和行為，從而使外界環(huán)境對其信息系統(tǒng)的安全性、穩(wěn)定性、防御性有更全面的認(rèn)識，將框架之內(nèi)的防線管理控制在最低限度范圍。

2 信息安全管理體系構(gòu)架的實(shí)現(xiàn)

2.1 建立ISMS管理框架

信息安全管理體系的構(gòu)建，首先需要具備完善的ISMS框架。在具體操作過程中，需要兼顧多方因素。譬如落實(shí)框架的成本，其中包括培訓(xùn)成本和報(bào)告成本，盡量協(xié)調(diào)原有工作慣性與管理框架的沖突，實(shí)現(xiàn)部門之間的協(xié)調(diào)合作等。

2.2 建立ISMS文檔并實(shí)現(xiàn)規(guī)范化管理ISMS框架的構(gòu)建與實(shí)施，需要有相關(guān)文檔、文件為基礎(chǔ)。譬如在ISMS框架內(nèi)，需要對文檔內(nèi)容、框架等進(jìn)行梳理和總結(jié)，其中包括了信息政策、管理目標(biāo)以及申明措施等。明確ISMS框架的管制流程，明確具體操作過程，其中包括了IT服務(wù)、系統(tǒng)監(jiān)管、管理人員配置、用戶終端管理、相關(guān)人員責(zé)任等多種事項(xiàng)。文檔存儲形式較為多樣，但是需要對其類型和等級進(jìn)行嚴(yán)格區(qū)分。同時(shí)還需要以未來信息認(rèn)證、信息系統(tǒng)升級為目標(biāo)，構(gòu)建起適于第三方進(jìn)行訪問的文檔類型。信息管理人員需要對文檔實(shí)施嚴(yán)細(xì)化管理，結(jié)合業(yè)務(wù)范圍變化，對文檔信息進(jìn)行修訂和歸納，如果一些文檔已經(jīng)與信息安全政策產(chǎn)生沖突，或者不再具備相應(yīng)效能，則需要對其進(jìn)行及時(shí)清理。處于知識產(chǎn)權(quán)考慮，還可以將文檔進(jìn)行確定，其后保留。

2.3 安全事件記錄、回饋

在ISMS框架當(dāng)中，需要對可能威脅信息安全的事件作出詳細(xì)記錄。該記錄能夠?yàn)榻M織制定安全政策、采取信息安全措施等提供必要依據(jù)。在事件記錄中需要調(diào)理清晰，能夠準(zhǔn)確反映管理人員的具體活動(dòng)和措施。對于安全記錄需要拓展保存，以書面或者電子文檔形式進(jìn)行儲存，以便日后查詢或者作為補(bǔ)充材料使用。國家信息安全部已經(jīng)出臺了信息安全管理標(biāo)準(zhǔn)，但是這些標(biāo)準(zhǔn)多數(shù)屬于原則性建議。而將這些建議結(jié)合自身情況進(jìn)行落實(shí)，從而構(gòu)建起與組織發(fā)展相適應(yīng)的ISMS框架才是當(dāng)務(wù)之急，同時(shí)也是工作的重點(diǎn)和難點(diǎn)。在信息安全管理體系的構(gòu)建中，需要體現(xiàn)以人為本的管理理念，因?yàn)楣芾砝砟睢⑿畔⑺仞B(yǎng)、管理水平、管理決策都會(huì)對信息安全造成決定性影響，而這些因素的主導(dǎo)核心在于“人”，這就需要組織重視信息管理人員的專業(yè)素質(zhì)，強(qiáng)化其安全管理意識，在信息安全框架的構(gòu)建中體現(xiàn)出便捷化、精準(zhǔn)化、安全化、靈活化的特點(diǎn)。

3 結(jié)語

ISMS信息安全管理體現(xiàn)出目標(biāo)疊加的典型特點(diǎn)，是基于信息技術(shù)不斷發(fā)展完善之上的，呈現(xiàn)出動(dòng)態(tài)化、閉環(huán)式管理特征。信息安全管理體系的構(gòu)建，需要從安全評價(jià)、信息風(fēng)險(xiǎn)防御、監(jiān)督監(jiān)管、信息反饋等多個(gè)層面進(jìn)行，需要建立起從上而下的監(jiān)督監(jiān)管體制，否則，信息安全管理體系將流于形式化，難以起到真正的控制管理目的。

[1]徐東華，封化民.信息安全管理的概念與內(nèi)容體系探究[J].現(xiàn)代情報(bào)，2013.

[2]成芳.信息安全管理體系標(biāo)準(zhǔn)（ISO27001）對我們的幫助[J].中國標(biāo)準(zhǔn)化，2014.

[3]程秀權(quán).信息安全管理體系建設(shè)研究[J].電信網(wǎng)技術(shù)，2013.