本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
1.1 信息安全管理体系的运行
信息安全管理体系文件编制完成后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。
1.1.1 信息安全管理体系的试运行
体系运行初期处于体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系本身存在的问题,找出问题的根源,采取纠正措施,纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
在具体实施ISMS的过程中,必须充分考虑各种因素,例如,宣传贯彻、实施监督、考核评审、及时改进等,此外还要考虑实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
在信息安全体系试运行过程中,重点注意以下问题:
(1)领导动员,以身作则
最高管理层的支持是ISMS有效运行的重要基础,ISMS试运行前应该召开全体员工大会,由最高管理层作宣传动员,并承诺对组织中实施信息安全体系的支持,明确提出对各级员工信息安全职责要求,并以身作则,带头执行ISMS的有关规章制度。
(2)有针对性地宣传贯彻ISMS文件
ISMS文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结果。组织应该按照培训工作计划的安排并按照培训程序的要求对全体员工实施各种层次的培训。培训包括信息安全意识、信息安全知识与技能和ISMS运行程序的培训。
(3)完善信息反馈与信息安全协调机制
体系运行过程中必然会出现一些问题,全体员工应当将实践中出现的问题,如体系设计不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围的各个部门,在运行过程中,各项活动往往不可避免地发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原则,建立信息反馈与信息安全协调机制,对异常信息反馈和处理,对出现的问题加以改进,完善并保证体系的持续正常运行。
(4)加强ISMS运行信息的管理
加强有关体系运行信息的管理,不仅是信息安全管理体系本身的需要,也保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应按照体系文件的要求,做好信息安全的信息收集、分析、传递、反馈、处理与归档工作。
1.1.2 保持信息安全管理体系的持续有效
体系通过试运行的完善,体系的充分性与适宜性得到了保证,下一步工作的重点就是进入正式运行阶段,并保持信息安全体系的持续有效。组织可以通过定期的体系审核来验证体系的有效性,并对发现的问题采取有效的纠正措施并实施,对纠正措施实施的结果进行验证;信息安全管理体系的运行环境不可能永远保持不变,当组织的信息系统、组织结构等情况发生重大变更时,组织应根据风险评估的结果对体系进行适当的调整。
ISMS毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,并使有效运行,才是真正具有挑战性的工作。在建立和运行安全的信息系统时,信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全策略是进行信息安全管理的指导原则,信息安全管理体系规范建立与有效运行是实现信息安全管理最为有效的手段。
1.1 信息安全管理体系的运行
信息安全管理体系文件编制完成后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。
1.1.1 信息安全管理体系的试运行
体系运行初期处于体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系本身存在的问题,找出问题的根源,采取纠正措施,纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
在具体实施ISMS的过程中,必须充分考虑各种因素,例如,宣传贯彻、实施监督、考核评审、及时改进等,此外还要考虑实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
在信息安全体系试运行过程中,重点注意以下问题:
(1)领导动员,以身作则
最高管理层的支持是ISMS有效运行的重要基础,ISMS试运行前应该召开全体员工大会,由最高管理层作宣传动员,并承诺对组织中实施信息安全体系的支持,明确提出对各级员工信息安全职责要求,并以身作则,带头执行ISMS的有关规章制度。
(2)有针对性地宣传贯彻ISMS文件
ISMS文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结果。组织应该按照培训工作计划的安排并按照培训程序的要求对全体员工实施各种层次的培训。培训包括信息安全意识、信息安全知识与技能和ISMS运行程序的培训。
(3)完善信息反馈与信息安全协调机制
体系运行过程中必然会出现一些问题,全体员工应当将实践中出现的问题,如体系设计不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围的各个部门,在运行过程中,各项活动往往不可避免地发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原则,建立信息反馈与信息安全协调机制,对异常信息反馈和处理,对出现的问题加以改进,完善并保证体系的持续正常运行。
(4)加强ISMS运行信息的管理
加强有关体系运行信息的管理,不仅是信息安全管理体系本身的需要,也保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应按照体系文件的要求,做好信息安全的信息收集、分析、传递、反馈、处理与归档工作。
1.1.2 保持信息安全管理体系的持续有效
体系通过试运行的完善,体系的充分性与适宜性得到了保证,下一步工作的重点就是进入正式运行阶段,并保持信息安全体系的持续有效。组织可以通过定期的体系审核来验证体系的有效性,并对发现的问题采取有效的纠正措施并实施,对纠正措施实施的结果进行验证;信息安全管理体系的运行环境不可能永远保持不变,当组织的信息系统、组织结构等情况发生重大变更时,组织应根据风险评估的结果对体系进行适当的调整。
ISMS毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,并使有效运行,才是真正具有挑战性的工作。在建立和运行安全的信息系统时,信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全策略是进行信息安全管理的指导原则,信息安全管理体系规范建立与有效运行是实现信息安全管理最为有效的手段。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved