特点。因此,首先要对其各构成要素有一个清晰的认识,这主要包括:
1、策略安全
策略安全是整个网络安全管理的指导性文件,目的是为单位提供网络安全管理的方针与政策支持。制定清晰、完整的安全策略文档体系,由专门负责人定期审核,并在紧急情况下(如重大安全事件的发生、系统新漏洞的出现以及组织机构或技术机构的改变等)进行突审。
2.单位安全
是指创建、支持、维护和管理信息网络安全基础设施的一套管理机构,主要包括管理信息安全论坛、任命信息系统安全主管、信息安全协调、信息安全责任分配、信息处理设备的授权程序、信息安全专家意见、单位之间的合作、信息安全内审、第三方访问安全等事项。
3.资产分类和控制安全
指依取信息网络安全基础设施,保护单位资产安全性的能力,主要包括有资产的使用说明和资产的分类明细清单,并特别声明信息资产的分类方法、标注及处理过程等,保证所有重要的信息资产应有专人负责,并制定相应的维护和控制责任。
4.人员安全
这是信息网络安全管理的根本。保障信息系统的安全性,既要靠先进的技术,又要有完善的管理,但其核心都是人,实际上,大部分安全和保密问题是由人为差错造成的。因此,在信息安全管理中人的因素应该是最重要的。
5.物理与环境安全
作为信息网络的主要载体,计算机网络系统从自身到其环境都要求有相应的安全防护措施。例如,建立物理安全地带、控制物理安全出入口、设备的安全放置与维护、以及办公场所的安全操作规程等。
6.通讯与操作安全
主要是建立一系列的安全操作规程,如文档操作程序、安全事件管理程序、系统备份与恢复程序、日志管理、电子邮件安全措施等,以确保信息处理设备运行正确、安全,把系统失效的风险降到最低,从而保护软件及信息的完整性。
7.访问控制安全
这是信息网络安全管理的重点,目的是控制信息的访问,防止非法
用户和非法计算机访问信息系统,以保证授权用户的完整权利。措施有:制定访问控制策略、用户注册登记、口令使用与管理、用户认证、网络隔离、检测并记录非法活动、安全审计、密钥管理等。
8.系统开发与维护安全
运用一系列的安全技术与管理措施,如系统配置、消息认证、数字签名、密钥管理、数据输入输出控制以及系统的升级、更新等,确保信息系统的架构、业务以及应用系统的安全,保证IT项目及支持服务的安全进行,维护应用系统软件及信息的安全。
9. 业务持续性
是指通过预防及恢复措施,把业务因灾难或安全失效的停顿降到可接受的程度,并制定实施应急计划,来保证业务进程能够在规定时间内恢复。计划应建立在单一框架基础上,以保证一致性,并进行测试、维护及修改,最终使其变成所有管理过程中不可分割的一部分。
10.遵循性
即是否遵守法律。其目的是避免触犯任何刑事及民事法律,以及其他法定、条例、合同的义务和安全需求。信息系统的设计、操作、使用及管理受安全需求约束,同时要加强系统审计的考虑和证据的收集,以备发生问题时采取合法的处理方式。
从根本上来说,信息安全管理要实现的就是,在系统和环境进行物质、能量和信息交换的进程中,利用一切可以利用的安全防护措施,达到保护系统内部重要信息和其他重要资产的安全性(保密性、完整性、可用性和可控性),以防止和最小化安全事件(风险)所造成的破坏,确保业务的持续性和损失最小化。
信息网络安全管理的体系结构-原理
建立、实施和维护信息安全管理体系,就是实施单位需遵循某一风险评估来鉴定、选择最适宜的控制对象,并对自己的需求采取适当的控制。
建立信息安全管理体系具体操作如下:
1.定义信息安全策略
描述的是信息安全在单位内的重要性,提出管理信息安全的方法,为信息安全管理提供方向和支持。需要根据实际情况,分别制定不同的信息安全策略。例如,规模较小的单位可能只有一个信息安全策略,并适用于所有部门、员工;而规模大的集团单位则需要制定一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有员工的脑海,并落实到实际工作中。
2.定义信息安全策略的范围
确定信息安全策略的范围,即明确在哪些领域重点进行信息安全管理。单位需要根据自己的实际情况,在整个单位范围内、或者在个别部门或领域架构信息安全管理体系(ISMS)。因此,在本阶段,应将单位划分成不同的信息安全控制领域,以易于单位对有不同需求的领域进行适当的信息安全管理。信息安全管理体系可以覆盖单位的全部或者部分,无论是全部还是部分,单位都必须明确界定体系的范围,如果体系仅涵盖单位的一部分就变得更重要了。
3.进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与单位对信息资产风险的保护需求相一致,应该和单位既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。
风险评估主要依赖于信息和网络的性质、使用信息的目的、所采用的网络环境等因素。单位在进行信息资产风险评估时,需要将直接后果和潜在后果一并予以考虑。
4.信息安全风险管理
根据风险评估的结果进行相应的风险管理,主要包括以下几种措施:
降低风险:在考虑转嫁风险前首先考虑采取措施降低风险。 避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术整改措施等。
转嫁风险;当风险不能被降低或避免、且被第三方接受时,适用于低概率、一旦发生产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,依旧存在且必须接受的风险。
5.确定管制目标和选择管制措施
管制目标的确定和管制措施的选择:原则是费用不超过风险所造成的损失。由于信息安全是一个动态的网络工程,单位应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况.使单位的信息资产得到有效、经济、合理的保护。
6.准备信息安全适用性声明
信息安全适用性声明记录了单位相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向单位内的员工声明对信息安全风险的态度,在更大程度上则是为了向外界表明单位的态度和作为,以表明单位已经全面、积极地审视了组织的信息网络安全,并将所有必要管制的风险控制在能够被接受的范围内。
实施信息安全管理体系需要切实可行的计划,以及管理高层的支持。对于制定的信息安全管理体系文件,应当获得最高管理层的批准。管理风险的建议应该获得批准,开始实施和运作信息安全管理体系也需要获得最高管理者的授权。
在形式上,可以通过设计风险控制计划,来完成对风险评估的目标与控制措施的选择和确定。
风险控制计划是针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是安全风险和控制措施的接口性文档。风险控制计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容:所选择的处理方法;已经到位的控制;建议采取的额外措施;建议控制的实施时间框架。
信息网络安全管理的体系结构-描述
根据信息系统安全的总体要求,信息安全体系应从安全组织体系、安全管理体系以及安全技术体系三个方面进行体系架构,如下图所示。
(1)安全组织体系主要涉及信息网络系统安全的组织机构,包括决策单位、日常管理机构和执行检查层次等,是针对管理体制建立起来的从上到下、主管部门与相关部门有机结合的组织体系,是系统内部信息系统安全的组织保证。
(2)安全管理体系是信息系统安全管理工作的基础,主要包括安全管理制度和安全政策法规两个方面,是单位信息系统安全制度的保障体系。
(3)安全技术体系是指充分运用高新技术,采用安全防范技术措施和技术安全机制,建立起来的现代化技术防范体系,主要包括通信网络安全、系统安全、应用安全、安全技术管理和系统可靠性设计等,是信息系统安全技术的保障体系。