信息安全管理體系(ISMS)是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)�����,以及完成這些目標(biāo)所用的方法和體系�。它是直接管理活動(dòng)的結(jié)果,表示為方針�、原則、目標(biāo)����、方法、計(jì)劃�、活動(dòng)��、程序���、過程和資源的集合。
雖談不上”一個(gè)人的安全部門”��,但是“唯一”的安全管理崗在信息安全管理體系所承擔(dān)的職責(zé)完全不亞于那些孤軍奮戰(zhàn)的“一個(gè)人的安全部門”���,縱然知道前路漫漫遍地荊棘���,也要摸爬滾打著前進(jìn)���,頗有“天將降大任于斯人也……”的既視感���,給那些奮戰(zhàn)前線的安全管理先驅(qū)者致以最崇高的敬意。
常說“三分靠技術(shù)��,七分靠管理”����,不去深究技術(shù)與管理具體的比例是否準(zhǔn)確,但至少我們需要形成一個(gè)共識(shí)——信息安全問題不能單單僅僅作為技術(shù)問題來處理����,安全管理的作用無可厚非��。
作為承擔(dān)安全管理責(zé)任的安全管理崗��,核心工作是建立��、實(shí)施����、保持和持續(xù)改進(jìn)信息安全管理體系�。通過合理的組織體系、規(guī)章制度和管控措施�����,把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起���,以此確保整個(gè)組織達(dá)到預(yù)定程度的信息安全�。
ISO27001認(rèn)證信息安全管理體系如何落地?
各行業(yè)許多企業(yè)都根據(jù)業(yè)務(wù)所需選擇不同的國際�、國內(nèi)標(biāo)準(zhǔn)搭建了信息安全管理體系(ISMS),無論是基于國際信息安全標(biāo)準(zhǔn)ISO27001����,還是基于國家標(biāo)準(zhǔn)國家等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則的要求����,信息安全管理體系(ISMS)的建立并不是一蹴而就的��。
在建立信息安全管理體系(ISMS)過程中企業(yè)會(huì)投入很多資源進(jìn)行資產(chǎn)收集���、風(fēng)險(xiǎn)評(píng)估��、采取種種控制措施降低風(fēng)險(xiǎn)��、且制定相關(guān)的管理制度規(guī)范以降低企業(yè)風(fēng)險(xiǎn)����,提升員工信息安全意識(shí)���,從而達(dá)到提升企業(yè)整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實(shí)處���,而不僅僅停留在一年一到兩次的風(fēng)險(xiǎn)評(píng)估���、突擊性的控制措施實(shí)施和一套看似完備的信息安全管理制度,這可能是許多信息安全管理體系管理者經(jīng)常思考且關(guān)注的話題��。
通知公告
通過信息安全相關(guān)公告通知發(fā)放的方式,在企業(yè)中滲透信息安全各方面的信息和知識(shí)��,逐漸形成信息安全無處不在的工作氛圍�����,提升全員信息安全意識(shí)���。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布;近期信息安全的以及發(fā)生的信息安全事件等信息����。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定���,通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺(tái)���、電子郵件、電子期刊等形式均可���。
帳號(hào)管理
建議企業(yè)對(duì)各類帳號(hào)進(jìn)行嚴(yán)格管理��,包括基本帳號(hào)(員工入職后默認(rèn)都需開通的帳號(hào)�����,例如郵箱帳號(hào)�����,OA帳號(hào)����,所在部門的公共文件夾等)、工作所需的各類應(yīng)用系統(tǒng)帳號(hào)(通常根據(jù)崗位職責(zé)所需開通的帳號(hào))��、特殊權(quán)限的帳號(hào)(例如應(yīng)用系統(tǒng)管理員的帳號(hào)�����,數(shù)據(jù)庫管理員的帳號(hào)����,域管理員的帳號(hào)等),VPN等特殊應(yīng)用的帳號(hào)�。從管理角度��,不同類別的帳號(hào)申請(qǐng)需要不同級(jí)別的管理人員授權(quán)���,一方面企業(yè)需清晰識(shí)別各類賬號(hào)并定義申請(qǐng)流程和授權(quán)方式;同時(shí)也需要保留必要的申請(qǐng)記錄以便查證�,及測(cè)量體系實(shí)施的有效性。從使用角度�,需要加強(qiáng)對(duì)員工的培訓(xùn)并制定必要的規(guī)范(例如不允許帳號(hào)共享,密碼定期修改等策略)��,以確保帳號(hào)不被濫用誤用���,從而降低信息安全事件的發(fā)生����。
人員安全
員工作為企業(yè)信息使用和傳遞的重要載體�����,員工變動(dòng)可能會(huì)給企業(yè)的信息安全帶來很大影響����。在員工發(fā)生變動(dòng),即員工入職�、轉(zhuǎn)崗和離職幾個(gè)關(guān)鍵點(diǎn)進(jìn)行控制,可大大降低其對(duì)企業(yè)信息安全的影響�����。因此在入職前�����,許多企業(yè)會(huì)對(duì)關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄,簽訂保密協(xié)議等;發(fā)生內(nèi)部職責(zé)變動(dòng)時(shí)�,要求員工填寫工作交接單,刪除其原有崗位賬號(hào)等措;離職時(shí)����,要求員工填寫離職交接單,清理數(shù)據(jù)���,歸還物品�。同樣����,在這些關(guān)鍵點(diǎn),企業(yè)最好能制定明確的交接審批流程并妥善保留記錄����。
設(shè)備安全
通常企業(yè)在資產(chǎn)管理方面相對(duì)完善,但對(duì)設(shè)備自身的信息安全管理相對(duì)弱很多���,IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù),在維護(hù)過程中無論是對(duì)設(shè)備自身進(jìn)行的更換����、更新�,還是對(duì)其承造的系統(tǒng)��、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整�����、結(jié)構(gòu)調(diào)整等變更均有可能對(duì)其中的信息數(shù)據(jù)造成不利影響����,甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作。因?yàn)閷?duì)IT設(shè)備變更進(jìn)行控制是至關(guān)重要的���,在實(shí)施變更前����,須根據(jù)變更的緊急程度和可能帶來的影響程度進(jìn)行變更分類和風(fēng)險(xiǎn)評(píng)估�,制定詳細(xì)的變更計(jì)劃并得到相應(yīng)級(jí)別的授權(quán);變更實(shí)施后須對(duì)變更結(jié)果進(jìn)行記錄且進(jìn)行回顧,以確保變更實(shí)施的成功和經(jīng)驗(yàn)總結(jié)����,具體實(shí)施方法可參照ITIL或ISO20000IT服務(wù)管理的最佳實(shí)踐和國際標(biāo)準(zhǔn)。
軟件安全
自主研發(fā)軟件的**及外購軟件的許可證管理均已成為企業(yè)不得不重視的問題,一旦疏忽就有可能給企業(yè)帶來很大的經(jīng)濟(jì)和名譽(yù)損失�。通過信息安全管理體系的建設(shè),許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專門部門管理�,使用須進(jìn)行登記,采購須申請(qǐng)�,到期須提醒。人員變動(dòng)�����、業(yè)務(wù)變動(dòng)都有可能導(dǎo)致軟件的變更�����,因此對(duì)軟件許可證的管理并不是采購后進(jìn)行登記一勞永逸的事情���,在日常工作中需要保證一旦發(fā)生變化即更新許可證信息���,且提前做好許可證過期的準(zhǔn)備工作。
數(shù)據(jù)安全
數(shù)據(jù)對(duì)于企業(yè)是至關(guān)重要的���,對(duì)其進(jìn)行的安全管理措施更需加大力度����。對(duì)存儲(chǔ)數(shù)據(jù)的移動(dòng)介質(zhì)要做到登記并限制使用人群;對(duì)于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行;同時(shí)數(shù)據(jù)備份須落實(shí)到位,從業(yè)務(wù)角度識(shí)別數(shù)據(jù)備份需求�,清晰定義數(shù)據(jù)備份策略(包括備份方式頻率等)����,的;數(shù)據(jù)備份需要進(jìn)行記錄,并定期進(jìn)行恢復(fù)性測(cè)試保留記錄��,從而降低數(shù)據(jù)損失的風(fēng)險(xiǎn)��。
物理安全
大多數(shù)企業(yè)都設(shè)立了門衛(wèi)�����、保安��、前臺(tái)等崗位�,通過信息安全管理體系的建立,也采用了訪客登記����,應(yīng)用門禁系統(tǒng)等措施,對(duì)于敏感區(qū)域(例如財(cái)務(wù)�、機(jī)房、研發(fā)中心等)進(jìn)行了隔離或更高權(quán)限的物理訪問控制��。但訪客登記進(jìn)入后是否可以到處參觀,是否有專人陪同并登記����,進(jìn)入和離開的時(shí)間是否進(jìn)行了記錄,必要時(shí)是否提交參觀申請(qǐng)得到授權(quán);員工門禁卡和鑰匙的領(lǐng)取是否進(jìn)行了登記�����,敏感區(qū)的訪問是否提交了申請(qǐng)等這些方面均是物理安全的以保障的控制點(diǎn)����。
安全檢查
與年度或半年度的內(nèi)審并不同,審核通常會(huì)基于行業(yè)要求�、標(biāo)準(zhǔn)規(guī)定和內(nèi)部規(guī)范進(jìn)行能夠檢查,安全檢查目的是排查各方面的安全隱患�����,降低安全事件發(fā)生的風(fēng)險(xiǎn)���,可以是隨機(jī)��,也可是定期的����。每次檢查結(jié)果可保存,可作為日后改進(jìn)和信息安全管理體系(ISMS)有效性測(cè)量的依據(jù)���。
安全事件
信息安全事件一旦發(fā)生�����,就須快速響應(yīng)妥善處理,否則可能會(huì)給企業(yè)帶來更大損失�����。首先�,企業(yè)須清晰定義什么是信息安全事件,使大家對(duì)信息安全事件形成相同的認(rèn)識(shí);第二����,可根據(jù)信息安全事件的嚴(yán)重程度進(jìn)行分級(jí),定義不同級(jí)別的事件匯報(bào)途徑��、升級(jí)時(shí)間和處理要求;且在整個(gè)公司公布相關(guān)要求��,做到發(fā)生安全事件即報(bào)告記錄并快速響應(yīng)處理����。對(duì)于安全事件的管理可參照ITIL或ISO20000IT服務(wù)管理的最佳實(shí)踐和國際標(biāo)準(zhǔn)的事件管理章節(jié)��。
安全培訓(xùn)
也是一項(xiàng)應(yīng)持續(xù)的長期活動(dòng)�,安全培訓(xùn)可針對(duì)不同對(duì)象分成不同的培訓(xùn)����,可以定期組織面向管理層的信息安全標(biāo)準(zhǔn)、法律法規(guī)解讀的管理培訓(xùn);面向全員的信息安全意識(shí)普及性培訓(xùn);針對(duì)IT相關(guān)技術(shù)人員的信息安全技術(shù)知識(shí)的專業(yè)培訓(xùn);面向信息安全運(yùn)維和管理人員提供的信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)(CISSP���、CISP����、ISO27001主任審核員等)��。建議企業(yè)對(duì)培訓(xùn)過程����、結(jié)果進(jìn)行記錄,可作為信息安全體系建設(shè)的記錄和有效性測(cè)量的依據(jù).
由此可看出�����,信息安全管理體系的落地貌似簡單��,并非易事�,貴在堅(jiān)持��,以上工作均需長期執(zhí)行��,才可起到效果���,逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個(gè)角落中形成安全的工作環(huán)境。
客服咨詢
158-0008-7775 
