當前位置:工程項目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA快博
解析ISO17799方法
BS7799/ISO17799目前是建立信息安全體系公認的國際標準,內容涉及信息安全技術、管理和法律問題。依據(jù)BS7799/ISO17799的實施原則,企業(yè)可以檢測、分析和降低信息安全風險。該標準涉及內容頗多,本文約請行業(yè)內的專家,提綱挈領地闡述了該國際標準的具體實施步驟,以幫助企業(yè)信息安全管理人員建立有效的信息安全管理機制。
1 實施ISO17799前的準備工作
這是成功建立信息安全管理體系的關鍵,主要包括以下的內容。
(1)企業(yè)主要管理人員參與
項目實施的成功需要企業(yè)主要管理人員對信息安全管理體系框架及功能的確認、審批,沒有主要管理人員的參與,項目的運作可能會遇到困難并可能被無限地延期,主要管理人員包括企業(yè)的各個層面:運營、技術、預算等人員。
(2)成立項目管理委員會
委員會中必須有企業(yè)的主要管理人員,實施的項目經理必須來自企業(yè)的不同管理部門。
項目經理通常是企業(yè)負責運營的人并且能把項目放在優(yōu)先位置上;他必須熟悉實施流程并能把握實施的有效性。在一些大型企業(yè)里,首席信息安全官應該擔當這個職位。
圖1 與項目有關的其他委員會和小組
與項目有關的其他委員會和小組在圖1中說明。
在大多數(shù)情況下,ISO17799標準在一個企業(yè)內部的實施需要企業(yè)內各個管理部門的介入,表1列出了ISO17799在實施過程中涉及的企業(yè)管理部門。
2 定義信息安全管理體系(ISMS)
當項目管理委員會成立后,必須立足企業(yè)基本情況定義信息安全管理體系框架。安全的范圍擴展到整個企業(yè),信息安全管理體系必須在企業(yè)管理的控制之下。如果企業(yè)不能控制信息安全管理體系,信息安全管理體系就不能有效發(fā)揮作用。
(1)定義ISMS
為了能更好更準確地定義企業(yè)的ISMS,首先要清晰地定義以下內容。
● 目標:建立ISMS是為了考核企業(yè)符合ISO17799標準或企業(yè)希望獲得BS7799-2審核認證;
● 范圍:定義建立ISMS涉及的管理部門、需要采取的措施、措施的優(yōu)先級別及對部門的重要性;
● 限制條件:ISMS范圍限制的定義依據(jù)是:企業(yè)的特點、企業(yè)的地理位置、資產(關鍵數(shù)據(jù)的庫存)、技術等;
● 界面:企業(yè)在建立ISMS時必須考慮企業(yè)信息系統(tǒng)同其他系統(tǒng)、其他組織和外部供應者的界面。注意: 在ISMS定義限制中不可能完全包括所有外界提供服務和活動的界面,但在ISMS認證時必須考慮,并應該是企業(yè)信息安全風險評估的一部分,例如,向合作方共享計算機、通信系統(tǒng)等設備;
● 依賴關系:ISMS必須遵循特定的安全需求,這些需求可能是法律方面的或是商業(yè)方面的,例如:國際醫(yī)療組織必須遵循HIPPA;中國必須遵循公安部等級保護制度;
● 例外情況:任何被SGSI定義的要素或域(網(wǎng)絡的一部分或管理單元),如果沒有進行過安全測試或被安全策略覆蓋,必須作出例外說明;
● 組織內容:為滿足特定目標在企業(yè)環(huán)境中實施的加強措施,例如:從企業(yè)外部訪問內部資源需要采用特殊的安全措施。
(2)獲得企業(yè)內已經存在的文檔資料
為了評估已經實施的安全措施,檢查已經存在的文檔資料是非常必要的。例如:ISO9000質量管理手冊、ISO14001環(huán)境管理手冊和信息安全策略手冊等。涉及到ISMS定義的每個部門的管理人員必須列出在他們部門內與數(shù)據(jù)安全相關的文檔資料庫清單。
可能涉及的資料有:
● 安全策略文檔資料;
● 策略制定相關的標準和審批手續(xù)(管理和技術方面);
● 風險評估報告;
● 風險處置計劃;
● 目前ISMS中存在的信息安全控制和管理方面的說明文檔,例如:審計日志、審計跟蹤記錄、計算機安全事件報告等等。
3 風險評估
(1) 為什么要進行風險評估?
無論企業(yè)的大小和類型,對所有企業(yè)來說,脆弱點的存在都將威脅企業(yè)信息的保密性、完整性和可用性。保護措施采取得越及時,安全就變得越有效和廉價。為了更容易定義和選擇安全控制措施,以便更好地管理企業(yè)人力和財務資源,必須識別目前企業(yè)存在的威脅。
(2)初期檢測
首先應該根據(jù)ISO17799需求的控制點、過程和程序對企業(yè)信息安全管理框架狀態(tài)做一次評估。另外必須提高企業(yè)對安全標準和實踐(如從每個安全問題的分析中學習)的認識。在ISMS實施前要做調查,而且在實施后也要做調查,目的在于檢查原來的漏洞是否彌補,檢查改進的程度。需要產生一個ISO17799符合情況報告。
(3)資產定義和評估
信息安全風險評估的初期過程是對企業(yè)敏感和關鍵數(shù)據(jù)的定義。企業(yè)必須對指導業(yè)務運營、財務運營和相關市場戰(zhàn)略的信息等建立信息庫,根據(jù)信息和其重要等級做相應的處理(保密、內部使用、公開等等)。
(4)定義和評估環(huán)境資產
因為數(shù)據(jù)是一個無形資產,它必須以有形的形式來掌握、處理、存儲、打印、披露和通信。因此,企業(yè)的無形資產需要針對CIAL(保密性、完整性、可用性、合法性)進行定義和價值說明。例如:在硬盤中存儲的財務數(shù)據(jù)具有高保密性要求、中等完整性要求和中等可用性要求。
可根據(jù)以下內容進行分類:建筑和設備、文檔資料、軟件、計算機設備、人力資源和服務。
(5)定義和評估威脅和脆弱性
脆弱性可能被威脅利用對數(shù)據(jù)產生負面影響(如數(shù)據(jù)信息披露、腐蝕、毀壞、法律糾紛等)。對企業(yè)面臨的商業(yè)約束、地域的法律約束、環(huán)境約束都必須作出明確定義。
4 處置風險
當風險已經定義后,必須決定如何管理這些風險。下面的內容可以描述如何管理風險:初始的安全策略;保障需求的等級;風險評估結果;存在的商業(yè)、法律和管理規(guī)定約束。
(1)通常有四種風險處置的方法
● 降低風險:實施控制措施將風險降低到可接受的等級;
● 接受風險:計算出風險值并知道如何承擔風險的后果;
● 回避風險:忽略風險不是正確的解決辦法.然而風險可以通過將資產移出風險區(qū)域而避免風險發(fā)生或完全放棄可能產生安全弱點的商業(yè)活動來回避風險;
● 轉移風險:通過購買、保險或外包來轉移風險。
(2)選擇控制項
在大多數(shù)情況下,必須選擇控制項降低風險。
在完成風險評估之后,企業(yè)需要在每一個目標信息環(huán)境中,對選擇的控制項進行實施,以便遵從ISO17799標準。企業(yè)選擇能夠承受(經濟上)防護措施來防護面臨的威脅。在最終風險處置計劃出來前,企業(yè)可以接受或拒絕建議的保護方案。
(3)風險處置計劃
風險處置計劃包含所有相關信息:管理任務和職責、管理責任人、風險管理的優(yōu)先等級等等。
對企業(yè)來講,有一些附加控制在標準中沒有描述,但也是需要的。一個由外部咨詢顧問協(xié)助的風險評估會很有幫助。
(4)控制項的實施
現(xiàn)在可以開始實施風險處置計劃了。企業(yè)應該盡其所能在管理、技術、邏輯、物理和環(huán)境控制方面進行勸止、防護、檢測、糾正、恢復和補償工作。如表2所示。
(5)控制措施及其定義的原則
● 勸止:降低威脅的可能性;
● 防止:保護或降低資產的脆弱性;
● 糾正:降低風險和影響的損失;
● 檢測:檢測攻擊和安全的脆弱性,針對攻擊建立防護和糾正措施;
● 恢復:恢復資源和能力;
● 補償:對控制措施的替代方案。
應該咨詢信息安全專家和法律專家,確??刂拼胧┑倪x擇和實施是正確的。
5 培訓和提高意識
確信在ISMS中的企業(yè)員工有能力并能保證質量地完成他們的任務。在這種情況下企業(yè)要:
● 明確在企業(yè)中涉及信息安全工作的人員需要掌握的技術;
● 提供適當?shù)呐嘤?,如果必要可以雇傭有經驗能夠勝任工作的員工;
● 評估培訓和培訓后工作的有效性;
● 維護每個員工的教育、培訓情況,掌握他們的能力、經驗和資格。
企業(yè)必須確信在ISMS中的相關人員知道達到ISMS目標的方法并知道他們所做的相關信息安全活動的重要性。
開發(fā)一個企業(yè)內部的信息安全培訓計劃,教育企業(yè)內部員工是很重要的。
企業(yè)員工是抵制信息安全侵害的最廉價的代表。通常,他們首先受到信息安全事件影響,能夠防止和降低安全事件發(fā)生時產生的影響。安全控制中人員因素是非常重要的,其中可以說員工對安全意識的理解尤其重要。認識和報告可能產生安全事故的事件應該成為員工的本能,這也必須成為安全意識培訓的目標。員工每時每刻的信息安全意識必將是企業(yè)信息資產的最好保護傘。
(1) 在開始信息安全意識培訓前
要理解提高信息安全意識、培訓和教育三者之間的不同,如表3所示。
(2)在提高信息安全意識中的一些關鍵因素
● 建立企業(yè)文化,員工在企業(yè)環(huán)境和文化中得到洗禮;
● 明確企業(yè)主管的參與;
● 理解員工在安全方面的重要性;
● 利用企業(yè)內部的共同媒介充分利用內部人員的力量:傳統(tǒng)的方法有企業(yè)網(wǎng)站、內部郵件;
● 挖掘現(xiàn)有的資源;
● 建立策略、流程、表格和相關檢查表;
● 定義希望的最終結果:需要撰寫的文檔、需要編寫的手冊、編寫Email、組織網(wǎng)站內容、定義外部網(wǎng)絡資源、確認新老員工能夠遵循規(guī)則。
(3)在提高意識培訓期間
● 定義意識培訓計劃的目標,目標必須符合企業(yè)發(fā)展戰(zhàn)略。例如:讓員工理解安全威脅,使員工能在行動中盡能力保護企業(yè)的信息系統(tǒng)。
● 定義企業(yè)的目標組(主要的、次要的),例如:普通員工、技術和管理;
● 根據(jù)組定義信息的使用;
● 了解企業(yè)組織的現(xiàn)狀;
● 詳細描述計劃中要采取的行動;
● 文檔資料的分發(fā);
● 策略、標準和流程必須電子化;
● 如果可能為信息安全部門設計一個LOGO(這樣可以很快地確定部門的性質);
● 培訓通常內容為:風險、基本原則(介紹、CIA概念、好習慣等)、開發(fā)、特殊信息、演示、處理威脅、風險和脆弱性的解決方案、職責,讓員工簽署保密協(xié)議,按年度執(zhí)行。
(4)意識培訓實施以后
● 評估培訓的滿意度;
● 評估培訓的貢獻;
● 確認知識得到傳遞;
● 記錄和更新培訓后工作中發(fā)生的變化和新的措施。
6 審計準備
(1)ISMS符合情況診斷
BS7799-2認證需要對信息安全管理體系實施詳細情況的符合性進行證實。完成調查表將有利于搞清企業(yè)管理中針對ISMS的開發(fā)、控制、檢查、維護和改進是不是確實在進行。同時也驗證企業(yè)管理BS7799-2認證需要文檔的能力和履行安全需求要求的能力。
(2)應用狀態(tài)
在審計前必須總結目前的應用狀態(tài)。這個文檔提供每個ISO1779控制點的應用和不應用的情況,包括在哪里應用及每個控制點的實施狀態(tài)。
針對控制目標選擇、控制點選擇和控制地點的選擇理由作出簡短的解釋,包括在ISO17799標準中列出的但被企業(yè)拒絕實施的控制措施的理由。
7 審計——BS7799-2認證
BS7799-2的認證目前是完全自愿的。企業(yè)如果成功完成BS7799-2認證說明它們具備管理信息安全的能力,能夠確保企業(yè)的信息安全;而且,這個企業(yè)更容易找到合作伙伴和投資人。BS7799-2認證的信譽已經是一個公認的事實,通過認證的企業(yè)能夠通過信息安全控制措施確保企業(yè)信息的安全和保密。
認證機構對企業(yè)的ISMS認證不少于兩個階段,除非有可以理解的特殊說明(如對一個很小的組織的認證),認證審計有兩個部分。
(1) 文檔資料審計
文檔資料審計的一個目標是能夠讓認證機構認識到組織在建立ISMS內容方面的情況包括安全策略、安全目標、風險管理的方法。同時也可以作為下一次審計的參照點并說明企業(yè)針對審計所開展準備的情況。
文檔資料審計包括文檔資料檢查,這些工作必須在控制實施審計前完成。審計認證機構必須對ISMS設計和實施相關文檔資料做全面的檢查,包括:安全策略狀態(tài)、ISMS的范圍定義、ISMS的所有流程和控制支持、風險評估報告、風險處置計劃、有關信息安全處理的計劃運營和有效控制的流程、ISMS一致和有效運營的確認記錄、應用的狀態(tài)。
文檔資料審計結果必須形成報告。報告可以幫助確定什么時候進行下一階段審計。同時也被用于選擇下一步審計小組的成員,這些人掌握技術,能處理ISMS中的特殊情況。在進入到審計的下一個階段時,認證機構需要通知在控制實施審計階段需要的特殊文檔資料、信息和報告。
(2)控制實施審計
控制實施審計依據(jù)文檔資料審計報告的結論進行。認證機構根據(jù)文檔資料審計結論制定審計計劃,然后方能開始控制實施審計。審計的地點是企業(yè)ISMS實施的地點。
審計包括:
● 確認企業(yè)對自己制定安全策略、目標和流程的遵循情況;
● 確認企業(yè)ISMS針對BS7799-2要求的符合情況和企業(yè)自己制定策略目標的達到情況(檢查企業(yè)有一個處理系統(tǒng)能滿足BS7799 clauses4-7的要求),ISMS的符合性診斷可以利用Callio 17799工具來完成;
● 信息安全相關風險的評估和ISMS的設計結果,包括:風險評估方法、風險定義、風險評估、風險處置、控制目標和風險處置控制的選擇、應用狀態(tài)的準備;
● 檢查目標和目標處理的結果;
● 根據(jù)目標和預定的結果進行監(jiān)控、測試、報告和檢查。
(3)審計者的報告
認證機構希望公布審計結果的報告和流程可以多樣化。包括可以在審計會議上以書面的或口頭的形式,在最后審計結束時給出正式的書面報告,報告描述企業(yè)是否符合BS7799-2需求。
企業(yè)被邀請參與審計報告注釋的編寫,需要描述他們將要采取的糾正計劃,列出在審計期間需要遵循的標準。如果需要重新評估;認證機構必須正式通知企業(yè)。
(4)認證決策
認證決策必須由認證機構最后給出。決策的依據(jù)是審計過程中收集到的信息和其他相關的信息。參與者的意見不能作為認證決策的意見。
認證企業(yè)最終從認證機構那里獲得BS7799-2證書。證書中的信息包括認證的范圍、認證的有效日期、應用狀態(tài)的版本說明和認證機構名稱、LOGO和認證標志。
(5)再評估和監(jiān)控流程
認證機構必須對ISMS認證企業(yè)進行周期性的監(jiān)控審計,頻率由認證機構把握,通常情況下每六個月做一次,這樣的監(jiān)控和審計的目的是驗證企業(yè)能夠持續(xù)地符合認證要求和BS7799-2標準。
ISMS本身的再評估每三年執(zhí)行一次。因此,企業(yè)至少三年要做一次BS7799-2認證。
8 控制持續(xù)改善
無論你是否獲得BS7799-2認證,最重要的是正式通過ISMS的實施管理體系改善信息安全。檢查更新需要定期執(zhí)行,因為安全是在隨時發(fā)生變化的。例如:過期的防病毒軟件是沒有什么用處的。
(1)PDCA管理模式
BS7799-2標準適合Plan-do-Check-Act模式,這樣便能同其他ISO標準一致,如ISO9001和ISO14001。
這種模式強調循環(huán)的風險管理和持續(xù)改善所帶來的成就。如圖2所示。
圖2 PDCA模型
表4是PDCA模型四個階段的陳述。
表4 PDCA模型的4個階段解釋
(2)持續(xù)的改進
在這一點上,啟動兩個循環(huán)步驟:監(jiān)控和改進ISMS。
● 實施監(jiān)控程序和其他控制,允許:快速檢測處理結果中的錯誤;根據(jù)安全規(guī)則快速定義不符合情況,并能及時報告安全事件;確認所有的安全任務無論是個人承擔的還是有信息技術部門實施的都在按照計劃進行;根據(jù)企業(yè)確定優(yōu)先級別和安全規(guī)則,定義不符合情況需要采取的行動。
● 基于審計結果、安全事件、關注方提出的建議和意見指導周期性的有效ISMS檢查(包括安全目標、安全策略和安全措施)。
● 檢查剩余風險和接受風險的等級,并考慮它們發(fā)生的變化:組織機構的變化;技術的變化;業(yè)務目標和流程的變化;外部事件變化,例如法律、法規(guī)和公共觀念等。
● 考核ISMS管理規(guī)則(至少一年一次),確認ISMS的范圍是合適的并有改進意見。ISMS管理檢查的更多信息。
● 對可能影響ISMS有效性和執(zhí)行的活動和事件的關注。
維護和改進ISMS,確定ISMS運營是持續(xù)不斷的,企業(yè)必須:
● 實施定義的改進;
● 采取必要的糾正和防護措施,從企業(yè)過去的安全經驗或其他經驗中學習,收集更多的ISMS改進信息;
● 在協(xié)議范圍內分享結果;
● 確保針對目標的改進在計劃中。
(3)ISMS管理檢查
通則:從管理的角度講必須定期檢查ISMS以便確保充分、能力和有效。檢查必須為目標和策略變化的改進和評估創(chuàng)造機會。檢查的結果必須是文檔化的,有記錄并妥善保管。
檢查的輸入:
● ISMS審計和檢查結果;
● 關注方提供的共享信息;
● 改善ISMS執(zhí)行和效率的技術、產品和流程信息;
● 防護和糾正措施的狀態(tài);
● 前期風險評估沒有關注的威脅和漏洞;
● 前期管理檢查的后續(xù)活動;
● 影響ISMS的修改;
● 改進建議。
檢查的輸出:
● ISMS的有效改進工作
● 影響ISMS的內部和外部事件,如:業(yè)務需求的變化、安全需求變化、影響目前業(yè)務需求的業(yè)務流程變化、法律和管理環(huán)境變化、風險級別和/或風險接受級別的變化;
● 資源的需求變化。
(4)內部ISMS審計
企業(yè)必須定期實施ISMS內部審計,時間應該根據(jù)控制目標、控制項、流程和手續(xù)來確定。
(5)持續(xù)改進
企業(yè)通過信息安全策略的落實、安全目標實現(xiàn)、審計結果利用、監(jiān)控事件的分析、管理檢查的安全防范和糾正活動,確保持續(xù)改進ISMS的有效性。
(6)糾正活動
企業(yè)要采取行動消除實施和運營過程中的不符合結果,防止再次發(fā)生錯誤。糾正措施必須包括下面信息:
● 定義實施和運營中的不符合部分;
● 定義不符合的原因;
● 確定消除重新發(fā)生需要采取的行動;
● 定義和實施需要采取的糾正措施。
(7)防護措施
企業(yè)必須對未來可能發(fā)生的不符合情況采取措施并防止再次發(fā)生。防護措施對潛在的不符合影響是合適的。防護措施的流程應該包括如下信息:
● 定義潛在的不符合情況及原因;
● 定義和實施需要的防護措施;
● 獲得糾正措施的結果;
● 檢查防護措施;
● 風險發(fā)展的定義和描述控制風險的步驟。
(8)記錄控制
記錄的創(chuàng)建和保存是企業(yè)符合ISMS需求和有效運營的證據(jù)。記錄需要控制,必須考慮相關的法律。記錄必須是合法的、可辨別的和可訪問的??刂菩枰鞔_定義,存儲、保護、訪問、保存時間和記錄放置必須文檔化。必須對記錄的范圍和需求做管理規(guī)定。
流程處理和相關安全事件需要記錄,如:訪問者的簽名記錄、審計報告、訪問授權請求,等等。
(本文作者為北京思源新創(chuàng)信息安全資訊有限公司信息安全高級咨詢專家)
- 1亨通集團的高速發(fā)展無疑是有目共睹的
- 2IT架構的第三條道路
- 3虛擬化簡化管理
- 4泛普協(xié)同OA系統(tǒng)的后臺設置和前臺使用
- 5超小型UPS選購技巧
- 6Linux商業(yè)應用現(xiàn)狀
- 7桌面不要冷落超5類
- 8Windows安全模式有妙用
- 92005年度SSL VPN網(wǎng)關公開比較測試報告
- 10信息系統(tǒng)科學預測的“水晶球”
- 11網(wǎng)站項目模型及業(yè)務流程分析
- 12災難恢復第一步:應災文檔
- 13擴展型企業(yè)面臨愈加嚴峻的安全形勢
- 14VoIP的電源支持
- 15存儲加密應對數(shù)據(jù)失竊
- 16金融安全戰(zhàn)略重于技術
- 17行為識別垃圾郵件
- 18軟件能力成熟度模型評估CMM的誤區(qū)
- 19無線技術又出新花樣
- 20數(shù)據(jù)備份之旅:磁盤與磁帶的博弈
- 21沈陽OA系統(tǒng)技術交流會等系列會議
- 22信息安全:過去五種影響最大的攻擊
- 23沈陽OA可以將這樣的內容通過固化的方式,形成在OA中
- 2410種PowerPoint常見誤用
- 25企業(yè)信息資源管理的五個基礎標準
- 26身份認證與管理:下一個安全部署重點
- 27災難恢復與業(yè)務連續(xù)性有何區(qū)別?
- 28預測未來的五種攻擊手段
- 29“傻”交換變聰明 智能交換漸成氣候
- 30微軟新開發(fā)技術一瞥
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓