ISO27001改进的中小企业信息安全管理模型
基 于ISO/IEC27001体系运行方法和ISO/IEC27001体系提出的11个控制措施,针对中小企业存在问题,从信息安全的要求出发,结合中小企业的特性,提出了较简洁的企业信息安全防护模型。该模型以策略(Policy)为核心,依次进行信息安全的检测(check)、实时响应 (Response)和安全防护(Protection)工作。这个过程是动态循环的,响应和恢复情况又为风险分析提供依据,并且在整个过程中,时刻注重在企业内部进行安全教育(Education)。系统的优化具体的指出中小企业应该从组织体系、管理体系和技术体系三个方面入手,不断的完善和改进自己的信息安全管理体系。
该模型的主要特点:
1、视内部安全管理重于外部防范。
注重企业内部信息安全管理的建设,而不是把注意力主要集中在对外部攻击上,该信息安全管理模型建立在内因是事物发展的根本原因这一哲学原理的基础上,强调企 业应该从自身内部做好信息安全管理工作,不给外部的攻击者机会。企业内部员工造成的信息安全事故有危害大、难抵御、难发现的特点:内部员工最容易接触敏感 信息,而且他们的行动非常具有针对性,危害的往往是企业最核心的数据和资源。一般说来,各企业的信息安全保护措施都防外不防内,比如很多公司赖以保障其安 全的防火墙对内部人员攻击毫无作用,形同虚设。内部员工对一个企业的运作、结构、文化等情况非常熟悉,导致他们行动时不易被发觉,事后难以被发现。对于中 小企业来说,对内的信息安全监控的成本要低于对外部的攻击者的监控,而对内部信息安全管理的收益要高于对外部信息安全的防御,所以,中小企业在信息安全管 理中应该把资源放在对内的管理上。
2、“软件”管理重于硬件防范。
注重的人、组织制度等软件的管理,放宽企业对信息安全技术的要求,在所有的管理因素中人是最不确定,最难以控制的因素。企业的各项信息安全措施、技术归根结 底都需要由人来完成,人在信息安全管理中具有最终的能动性。所以,企业信息安全管理的最终成功与否与企业员工的基本素质和能力密切相关。中小企业的信息安 全管理的过程中技术方面往往因为得不到高素质的人才而显得薄弱,因此很多专家建议中小企业的信息安全技术方面应该进行外包,企业支付一定的费用让由外界的 专业人士负责企业信息安全的技术。这也符合社会分工提高社会效益的原理,所以中小企业应该把注意力放在自身熟悉的领域——企业自身的管理上。
3、强调“教育功能“的重要性。
特别强调了信息安全教育在中小企业信息安全管理中的重要作用,由于中小企业信息安全管理中人员的重要作用,而教育是提高企业人员素质和能力的主要方法,所有 模型强调了信息安全教育的重要作用,信息安全的教育要通过多种形式进行定期和不定期的培训。这里的教育不仅仅包括正式的教育也包括员工之间的相互学习,上 级对下级的批评教育等等。企业管理者应该创建一个企业的学习氛围,形成一个学习型的企业,不仅仅在信息安全的方面,在企业的其他方面都应该形成学习的良好 氛围。
4、ISO27001标准、信息安全理论和中小企业理论相结合。
借鉴ISO/IEC27001信息安全管理体系的过程和方法,在结合中小企业特征、简化和整合了一些信息安全管理措施。贯彻和实施ISO27001信息安全 管理体系应该结合企业自身实际。本文在针对中小企业设计信息安全管理模型时,主要作了以下调整:简化了ISO/IEC27001信息安全管理体系中的资产 管理、信息系统的获取开发和维护以及信息安全事故管理;增加了病毒查杀、入侵检测等。将ISO27001信息安全管理体系体系中的信息安全组织细分为信息安全体系的结构和组织的岗位分工。
5、注重信息安全体系“持续改进性”。
强调模型的“保障体系”的动态平衡和持续改进,这也体现了ISO/IEC27001信息安全管理体系的精神。企业自身和企业所处的外部环境都是在不断变化 的,面对不断出现的新情况,企业的信息安全管理应该作出相应变化以抵御各种信息安全风险。模型的防护机制是一个对外的应对策略,而保障体系是企业自身所具 备的能力。防护机制与信息安全威胁直接接触,发现信息安全中存在的问题,保障机制运用自身的能力来解决信息安全问题。防护机制和保障体系在保障企业信息安 全过程中会不断遇到新问题、新情况,促使他们不断改变、不断提高。
