文档介绍:信息安全管理与管理体系
科飞管理咨询有限公司吴昌伦王毅刚
目前我国的信息安全管理主要依靠传统的管理方法和手段来实现,传统的管理模式缺乏现代的系统管理思想,而技术手段又有其局限性。保护信息安全,国际公认的、最有效的方式是采用系统的方法(管理+技术)。目前国际性标准ISO/IEC 17799就是这样一套系统的信息安全管理方法。
本栏目特别邀请出版了《信息安全管理概论—BS7799理解与实施》、《BS7799和ISO/IEC17799信息安全管理体系及其认证认可相关知识问答》两书的科飞管理咨询有限公司的顾问专家,阐述运用相关国际标准实施信息安全管理体系应该注意的问题。
组织的信息资产和其他资产一样对组织具有重要作用,组织为了保证这些信息资产的安全,需要付出持续的努力。在采取行动之前,需要首先理解信息安全的目标。
明确信息安全管理目标
为了保障组织信息资产的安全,为了更好的理解和便于操作,信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三个性质:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
保密性保障信息只有被授权使用的人可以访问。
完整性保护信息及其处理方法的准确性和完整性。
可用性保障授权使用人在需要时可以获取信息和使用相关的资产。
各类组织,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性。
如果把组织的信息安全管理行为作为一个过程(一组将输入转化为输出的相互关联或相互作用的活动,见ISO 9000:2000《质量管理体系—基础和术语》)来看待,其输入应该是组织和其他相关方对组织信息安全管理的要求和期望,而输出应该是令组织和相关方满意的信息安全状态(见图1)。
图1:信息安全管理过程作用示意图
组织不仅需要达到满意的信息安全状态,而且要持续地保持这种状态。这要求组织建立保持机制,保证组织能够不断的识别并适应自身情况和环境的变化。
应用系统方法解决系统问题
实践证明,信息安全是个复杂的系统问题,必须以系统的方法来解决。建立管理体系(建立方针和目标并实现这些目标的体系,见ISO 9000:2000《质量管理体系—基础和术语》)是系统解决复杂问题的有效方法。正如同为了保证质量管理的有效性、充分性和适宜性,组织需要建立质量管理体系(QMS);为了保证信息安全管理的有效性、充分性和适宜性,组织需要建立信息安全管理体系(ISMS)。
从系统管理的观点来看, 一个体系(系统)必须具有自组织、自学****自适应、自修复、自生长的能力和功能才可以保证其持续有效性。
信息安全管理体系通过不断地识别组织和相关方的信息安全要求,不断地识别外界环境和组织自身的变化,不断地学****采用新的管理理念和技术手段,不断地调整自己的目标、方针、程序和过程等,才可以实现持续的安全。
下面结合国际著名的信息安全管理体系标准BS 7799-2:2002《信息安全管理体系规范》讨论信息安全管理体系的作用。
理解“过程模型”的作用
BS 7799-2:2002标准的总要求是“组织应在其整体商业活动和风险范围内,建立、实施、保持并持续改进一个文件化的信息安全管理体系”。为了满足这个总要求,