1.2.1.5 信息安全管理的目的和意义
从根本上来说,信息安全管理要实现的目的就是在系统和环境进行物质、能量和信息交换的进程中,利用一切可以利用的安全防护措施,达到保护系统内部重要信息和其他重要资产的安全性(保密性、完整性、可用性和可控性),以防止和最小化安全事件(风险)所造成的破坏,确保业务的持续性和损失最小化。
组织可以参照合适的信息安全管理模型,采用先进的安全技术手段,建立组织起完整的信息安全防范体系并实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。 保持完整的信息安全管理体系还将会产生如下积极的作用:
? ? ? ? ? ?
强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面系统地保护,维持竞争优势; 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; 使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;
促使管理层坚持贯彻信息安全保障体系。
二 信息安全管理标准
(一) 国际信息安全管理标准 (二) 我国信息安全管理相关标准 (三) BS7799标准 (四) CC标准
1.2.2.1 国际信息安全管理标准
ISO和IEC 是世界范围的标准化组织,各国的相关标准化组织都是其成员,它们通过各技术委员会,参与相关标准的制定。近年来,国际ISO/IEC 和西方一些国家开始发布和改版一系列信息安全管理标准,使安全管理标准进人了一个繁忙的改版期。这表明,信息安全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
ISO/IEC联合技术委员会子委员会27(ISO/ IECJTCISC27)是信息安全领域最权威和国际认可的标准化组织,它已经为信息安全保障领域发布了一系列的国际标准和技术报告,目前最主要的标准是ISO/ IEc13335、ISO/IEC27000 系列等。
ISO/IECJTCISC27的信息安全管理标准(ISO/IEC13335)《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年。这五个部分组成分别为:
ISO/IEC13335-1:1996《IT安全的概念与模型》;ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》;ISO/IEC13335-4:2000 《安全措施的选择》 ;ISO/IEC13335-5《网络安全管理方针》。27000系列综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准,是目前国际信息安全管理标准研究的重点。27000系列当前已经发布和在研究的有6个,分别为ISO/lEC27000《信息安全管理体系基础和词汇》;ISO/IEC27001:2005《信息安全管理体系要求》;ISO/IEC27002(17799:2005)《信息安全管理实用规则》;ISO/IEC27003((信息安全管理体系实施指南》;ISO/IEC27004《信息安全管理测量》;ISO/IEC27005《信息安全风险管理》。随着ISO/IEC2700o 系列标准的规划和发布,ISO/IEC 已形成了以ISMS 为核心的一整套信息安全管理体系。
1.2.2.2 我国信息安全管理相关标准
与国外相比,我国的信息安全领域的标准制定工作起步较晚,但随着2002 年全国信息安全标准化技术委员会的成立,信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。在全国信息安全标准化技术委员会中,成立了信息安全标准体系与协调工作组(WGI)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组,它们在对我国信息安全保障体系建设和信息安全产业的发展方面,起到了积极作用。在我国,另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会,下设四个工作组,即有线网络安全工作组( WG1)、无线网络安全工作组(WG2)、安全管理工作组(WG3)、安全基础设施工作组( WG4)。 近年来,我国对信息安全标准的制定与实施工作非常重视,不仅引进了国际上著名的ISO/IEC27001: 2005《信息安全管理体系要求》 和ISO/IEC17799:2005《信息安全管理实用规则》、ISO/IEC15408:1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准。而且,为了更好地推进我国信息安全管理工作,相关部门还
制定了中华人民共和国国家标准GBI7895-1999《计算机信息系统安全保护等级划分准则》 、GB/T18336-2001《信息技术安全性评估准则》 和GB/T20269-2006 《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准。
1.2.2.3 BS7799标准
BS7799-1(ISO/IEC1799:2000)《信息安全管理实施细则》 是组织建立并实施信息安全管理体系的一个指导性的准则,主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS7799-2((信息安全管理体系规范》 规定了建立、实施和文件化信息安全管理体系(ISMS )的要求,规定了根据独立组织的需要应实施安全控制的要求。正如该标准的适用范围介绍的一样,BS7799-1 标准适用以下场合:组织按照该标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展;作为寻求信息安全管理体系第三方认证的标准。BS7799-2 明确提出信息安全管理要求,BS7799-1 则对应给出了通用的控制方法(措施),因此,BS7799-2 才是认证的依据,严格地说是获得了BS7799-2 的认证,BS7799-1 为BS7799-2 的具体实施提供了指南,但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。
BS7799-1 : 1999 (ISO / IEC1799 : 2000 )标准在正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中介绍,信息安全(Information security )是指信息的保密性(Confidentiality )、完整性(Integri - ty )和可用性(Availabihty )的保持。保密性定义为保障信息仅仅为那些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机人侵、Dos攻击等,它们造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互联及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10 个方面,成为组织实施信息安全管理的实用指南,这10 个方面分别是: (1)安全方针:制定信息安全方针,为信息安全提供管理指导和支持。
(2)组织安全:建立信息安全基础设施,来管理组织范围内的信息安全;维持被第
三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
(3)资产的分类与控制:核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
(4)人员安全:注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
(5)物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
(6)通信和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小;防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。 (7)访问控制:制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解它对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信点安令。
(8)系统开发和维护:标识系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。 (9)业务持续性管理:目的是为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织须遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取
适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤: (1)定义信息安全策略:
信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构口信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义ISMS 的范围:
ISMS 的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS 。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估:
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS 范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。 (4)信息安全风险管理:
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
? ? ?
降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;
转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
?
(5)确定管制目标和选择管制措施: