实施ISO27001信息安全管理体系的方法-PDCA模型
ISO27001信息安全管理体系(Information Security Management System)作为组织完整的管理体系中的一个重要环节,构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。了解信息安全管理的方法,我们必须先明确企业或组织的信息安全需求。一般来说,企业的信息安全需求主要有三个来源,他们分别是法律法规与合同条约的要求;组织的原则、目标和规定;风险评估的结果等。
信息安全的成败取决于两个因素:技术和管理,人们常说,三分技术,七分管理,可见管理对信息安全的重要性,我们可以把安全技术比作信息安全的构筑材料,那么安全管理则是真正的粘合剂和催化剂。现实世界里,大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作这三种要素的紧密结合的系统工程,是不断演进、循环发展的动态过程。
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。首先应该制定信息安全的策略方针,它是信息安全管理的导向和支持,在此基础上选择控制目标与控制方式,企业和组织还需考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平,整个管理过程需要全员的参与,实施动态管理。实施安全管理,还应遵循管理的一般模式——PDCA模型。
PDCA模型,即Plan、Do、Check和Act,是一种持续改进的管理模式,见下图所示。
措施(Action)——针对检查结果采取应对措施,改进安全状况;
计划(Plan)——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施;
实施(Do)——实施所选的安全控制措施;
检查(Check)——依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。
PDCA模型是一种抽象的模型,它把相关的资源和活动抽象为过程进行管理,具有广泛通用性。PDCA是顺序依次进行的,依靠组织的力量推动,周而复始,不断循环,持续改进,组织中的每个部门和个人,在履行相关职责时,都是基于PDCA这个过程的,组织的内部管理,就构成了大环套小环层层递进的模式,每一次循环结束,都要对其进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环。
ISO27000/ISO27001标准对于信息安全管理体系的定义如下图所示:
ISO27001信息安全管理可操作的一般过程和相应的活动包括:
1、确定组织的信息安全目标和战略
2、开发信息安全策略
3、进行风险评估(Risk Assessment),明确组织的信息安全需求,具体活动包括:
3.1、制定风险评估计划(明确范围和责任,采集相关信息,描述目标系统);
3.2、识别并评价信息资产,理解资产的价值和敏感性;
3.3、识别并评估威胁,理解威胁发生的可能性;
3.4、识别并评价弱点,理解弱点被利用的容易程度;
3.5、评估风险,确定风险等级;
3.6、评估并比较现有的安全措施(控制),找出目标与现状之间的差距;
3.7、根据已经明确的需求来推荐安全措施。
4、进行风险消减(Risk Mitigation),具体活动包括:
4.1、确定风险消减策略,以便减少、规避、转嫁或接受风险;
4.2、选择安全措施(控制);
4.3、制定安全计划,明确安全措施的构建和实施方案;
4.4、实施安全计划和策略;
4.5、对安全计划和策略的实施结果进行测试和检查。
5、进行风险控制(Risk Control),具体包括:
5.1、信息系统的维护与操作;
5.2、安全意识、培训与教育;
5.3、对信息系统的运行和安全措施的效力进行监视;
5.4、事件响应;
5.5、再评估与认证。
6、配置管理(Configuration Management),确保系统发生的变化不会降低安全措施的效力和组织的整体安全。
7、变更管理(Change Management),当信息系统发生变化时,识别新的安全需求。
8、应急计划(Contingency Planning),包括业务连续性计划、灾难恢复计划等。
对应PCDA模型,信息安全目标与战略的确定、信息安全策略开发以及风险评估属于计划阶段(Plan),风险消减属于实施阶段(Do),风险控制、配置管理、变更管理、应急计划以及安全意识培训等活动都可以归入到检查(Check)和措施(Action)阶段。我们所强调的信息安全管理模式,是由风险驱动的信息安全管理模式,是对组织的信息安全风险进行控制和指导的相互协调的活动,风险管理是其中的核心。
