電力信息安全管理體系應(yīng)用及發(fā)展研究
摘 要 信息安全管理體系作為組織對(duì)信息安全工作實(shí)施管理的有效方法之一,在信息安全領(lǐng)域獲得了廣泛的應(yīng)用。本文從信息安全管理體系的特點(diǎn)出發(fā),基于風(fēng)險(xiǎn)管理和持續(xù)改進(jìn)的思想,從實(shí)踐出發(fā),提出了行之有效的實(shí)施方法,此外,本文還跟蹤研究了信息安全管理體系的最新發(fā)展,介紹了信息安全管理體系在架構(gòu)、內(nèi)容等方面的重大變化,指出了這種變化對(duì)未來(lái)實(shí)施信息安全管理體系的影響。
本文引用地址:http://2s4d.com/article/200734.htm1 引言
隨著信息技術(shù)的發(fā)展逐漸涌現(xiàn)眾多信息安全問(wèn)題,例如病毒、漏洞、黑客、安全事件等,這些安全問(wèn)題不斷對(duì)信息系統(tǒng)造成影響,進(jìn)而對(duì)組織,甚至國(guó)家安全產(chǎn)生影響。如何解決信息安全問(wèn)題也成為大家關(guān)注的焦點(diǎn),防病毒、防火墻、入侵檢測(cè)等信息安全產(chǎn)品逐步在各組織得到了部署。眾所周知,技術(shù)和管理是相輔相成的,信息安全并不僅是技術(shù)過(guò)程,而是一個(gè)綜合防范的過(guò)程,信息安全管理是綜合防范過(guò)程中的一個(gè)重要部分,在信息安全保障工作中必須管理與技術(shù)并重,進(jìn)行綜合防范,才能有效保障安全,這也是實(shí)現(xiàn)信息安全目標(biāo)的必由之路。
信息安全管理體系(Information Security Management Systems, 簡(jiǎn)稱(chēng)ISMS)是管理體系方法在信息安全領(lǐng)域的運(yùn)用,它可以從組織整體的角度來(lái)識(shí)別安全風(fēng)險(xiǎn),通過(guò)采取相應(yīng)的安全控制措施(既包括安全技術(shù)措施,也包括安全管理措施),達(dá)到綜合防范、保障安全的目標(biāo)。信息安全管理體系的概念已經(jīng)跳出了傳統(tǒng)的“為了安全而安全”的理解,它強(qiáng)調(diào)的是基于業(yè)務(wù)風(fēng)險(xiǎn)方法來(lái)組織信息安全活動(dòng),其本身是組織整個(gè)管理體系的一部分。
2 信息安全管理體系方法及應(yīng)用
2.1 信息安全管理體系的風(fēng)險(xiǎn)管理思想
風(fēng)險(xiǎn)管理是信息安全管理體系建設(shè)中的關(guān)鍵。風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理兩個(gè)階段,風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建設(shè)中提出信息安全要求的關(guān)鍵依據(jù),風(fēng)險(xiǎn)處理是解決信息安全問(wèn)題,采取控制措施的指導(dǎo)規(guī)范。
1)風(fēng)險(xiǎn)管理是信息安全的基礎(chǔ)性工作
信息安全中的風(fēng)險(xiǎn)管理是傳統(tǒng)風(fēng)險(xiǎn)理論和方法在信息安全領(lǐng)域的運(yùn)用,是科學(xué)分析和理解信息資產(chǎn)在保密性、完整性、可用性等方面所面臨風(fēng)險(xiǎn),并針對(duì)重要風(fēng)險(xiǎn)作出接受、減緩、轉(zhuǎn)移和規(guī)避等控制方法的過(guò)程。
風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息資產(chǎn)的安全保護(hù)需求,因此,信息安全建設(shè)應(yīng)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),以控制安全風(fēng)險(xiǎn),減少安全事件發(fā)生為目標(biāo)。只有在正確、全面地了解和理解安全風(fēng)險(xiǎn)后,才能決定如何處理安全風(fēng)險(xiǎn),從而在信息安全投資、信息安全措施選擇、信息安全保障體系建設(shè)等方面作出合理決策。持續(xù)的風(fēng)險(xiǎn)管理工作將成為檢查信息安全工作績(jī)效的有力手段,并為信息化項(xiàng)目的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響,促進(jìn)組織信息化的進(jìn)一步發(fā)展。
2)風(fēng)險(xiǎn)評(píng)估和處理在信息安全管理體系建設(shè)中的重要性
信息安全管理體系的建立需要首選確定信息安全需求,而信息安全風(fēng)險(xiǎn)評(píng)估獲取信息安全需求的主要手段,因此,信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ),沒(méi)有風(fēng)險(xiǎn)評(píng)估,信息安全管理體系的建立就沒(méi)有依據(jù)。而風(fēng)險(xiǎn)處理的過(guò)程則是信息安全管理體系實(shí)施與運(yùn)行階段的重要內(nèi)容,殘余風(fēng)險(xiǎn)的水平將直接影響體系的運(yùn)行效果。
因此風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理是信息安全管理體系建設(shè)運(yùn)行過(guò)程中最重要的活動(dòng)之一,風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理所生成的兩個(gè)文件:風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處理計(jì)劃,也是體系運(yùn)行的重要證據(jù)之一。信息安全管理體系運(yùn)行的效果很大程度上取決于風(fēng)險(xiǎn)管理方法的適宜性和有效性。
2.2 信息安全管理體系的持續(xù)改進(jìn)機(jī)制
信息安全管理體系的一個(gè)突出特點(diǎn)是持續(xù)改進(jìn),通過(guò)體系的建設(shè),可以有效實(shí)現(xiàn)信息安全工作的持續(xù)改進(jìn),不斷提高信息安全的防護(hù)水平和能力,應(yīng)對(duì)不斷涌現(xiàn)的新的信息安全威脅。
信息安全管理體系的持續(xù)改進(jìn)機(jī)制主要體現(xiàn)在下列方面:
(1)過(guò)程方法
在管理活動(dòng)中,過(guò)程單元是控制的基本要素,過(guò)程方法已成為管理活動(dòng)的基本方法,研究過(guò)程之間的相互聯(lián)系和作用,有利于對(duì)這些過(guò)程進(jìn)行有效的、連續(xù)的控制,從而確保整體管理的有效性。過(guò)程方法模型如圖1所示。
圖1 過(guò)程方法模型
為使組織有效運(yùn)作,必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng),通過(guò)使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動(dòng)可視為過(guò)程。通常,一個(gè)過(guò)程的輸出直接形成下一個(gè)過(guò)程的輸入。而過(guò)程方法則是指組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用,連同這些過(guò)程的識(shí)別和相互作用及其管理。
(2)PDCA循環(huán)
PDCA模型又叫戴明環(huán),是管理學(xué)中的一個(gè)通用模型,如圖2所示。
圖2 PDCA模型
評(píng)論