当前位置 > 首页 > 计划与总结

信息安全管理体系在认证认可信息化中的实施

时间:2012-05-10 14:06:00    作者:    来源:

  
刘心 
(国家认监委信息中心) 
 
摘要:本文概述了ISO27001信息安全管理体系标准,并结合认证认可信息化建设现状与发展要求,探讨ISO27001体系在其中的实施方法。 
关键词:信息安全、认证认可、ISO27001 
 
当前我国政府信息化建设高速发展,随着政务系统的广泛应用,与之配套的信息安全体系建设也凸显重要,其中涉及对国家机密和敏感度高的核心政务信息的保护、涉及到维护社会公共秩序和行政监管的准确实施、涉及到为企业和公民提供公共服务的质量保证。本文所探讨的,正是借助ISO27001信息安全管理体系标准,对认证认可信息化建设进行系统、有效的保驾护航。 
一、   什么是ISO27001 
信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准ISO27001,则成为可以指导我们现实工作的最好的参照。 
ISO27001标准,为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提出了模型,其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,其最终目的,还在于建立适合实施机构需要的信息安全管理系统。 
ISO27001的建设基于PDCA(Plan、Do、Check 和Act)的持续改进的管理模式,其内容主要包括11个方面。

二、   认证认可信息化对信息安全管理的要求 
认证认可信息化工作经过若干年发展,目前已经形成以一个数据心为基础,配套网络环境、主机与存储环境、系统软件与运行环境、网站发布与管理环境,覆盖国家认监委七大监管职能的综合性电子政务网络。 
认证认可信息安全需求可理解为四个层次,从信息的层次看,包括信息的完整性(保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等;从网络层次看,包括可靠性(保证网络和信息系统随时可用,运行过程中不出现故障,遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等;从设备层次看,包括质量保证、设备备份、物理安全等;从管理层次看,包括人员可靠、规章制度完整等。 
三、   ISO27001在认证认可信息化中的实施 
体系实施按照ISO27001规则与方法论,全面、准确地分析认证认可业务的信息安全现状,定位存在的信息安全风险,通过结合国内和国际的最佳实践经验,规划认认证认可业务信息安全建设发展的蓝图,建设信息安全体系,按照ISO27001的要求编写有关安全策略和体系文件,推动安全运维建设,从管理、技术、运维、合规等方面提高系统建设、运维与服务的信息安全水平,并以认证的方式对整个实施过程进行评价。实施过程主要分为四个部分: 
1、现状调研和差距分析 
本阶段通过对认证认可信息化业务状况以及由此引发的信息安全问题和需求进行全面了解,发掘信息安全问题,并做分类描述和分析。并对比安全现状和ISO27001标准,找到现实差距,明确后期实施在每个环节上的具体目标。 
1)文件审核,进行现有政策文档(法律规定、指示)和系统文档(系统用户指南、系统管理手册、系统设计文档等)等安全相关的文档(安全策略、审计报告等)的整理。 
2)业务调研与分析,分为ISO27001差距分析调研、信息安全日常运维调研以及信息化部门业务访谈。按照ISO27001体系11方面内容逐一调研检查,并针对应用软件、系统软件、网络运维状况,调查日常管理、维护、系统审计、权限管理等工作。通过调研结果,对管理体系的各方面进行差距分析,在充分了解现有安全制度与状况的基础上,进行全面的信息安全管理评估。 
3)技术调研与分析,利用网络扫描工具,检查网络设备、应用服务器,主机系统和防火墙等系统的弱点,从而识别能被入侵者用来非法进入网络的漏洞,生成网络扫描评估报告。 
2、风险评估 
风险评估是实施信息安全管理体系前期一项非常重要的活动。基于差距分析的结果,风险评估可以进一步对认证认可信息安全现状进行形式化和系统化的描述和分析,以可重复的方式展示风险问题,帮助组织确定在信息安全管理建设方面的需求。

3、信息安全体系设计 
在明确了认证认可信息安全需求后,将在管理和技术两条线上整体规划,分析制定管理体系规划和技术体系规划。 
管理体系规划将对照ISO27001标准中必须文件化的管理规定以及根据当前真实面临的风险,设计层次化的信息安全制度。技术体系规划则是将管理制度的执行、监管以信息技术手段实现落地。 
管理体系规划和技术体系规划制定之后,应该根据风险评估的结果制定并实施一系列风险处理计划,至少应包括以下内容: 
1)编写并完善信息安全策略文件,这是统领认证认可信息安全管理各项事务的总体纲领、指导方针和行动指南。 
2)在人员组织方面应组建信息安全管理组织架构,并实施层次化和全方位的人员意识培训。 
3)在流程建设方面应建立审核流程和制度,明确责任人,定期对信息安全管理体系的运行情况进行审核,发现问题及时改进,使遵守信息安全策略真正成为每个工作人员的意识和习惯;还需建立BCP/DRP机制,包括应急响应,完善业务连续性管理框架。 
4)在信息安全技术运用方面应对IT基础设施实施安全加固,从系统一级消减因为配置或者操作不当而造成的安全风险;加强应用系统的安全性,采取应用审计和分析等手段,对架构于基础设施之上的各种应用系统进行安全加强。 
4、信息安全管理体系的落实与持续改进 
信息安全管理体系要得以成功落实,各项控制措施和既定策略要被贯彻执行,必须不断通过培训等方式加以促进和强化,目的在于提升人员整体的安全意识、增强其安全操作技能、推行安全体系文件、巩固信息安全策略执行的效力。 
在信息安全管理体系初步建立之后,应继续借助安全审核(内审与外审)途径,对效力进行检验,以确定其是否符合既定的安全方针和目标,确定安全控制是否依然有效。审核的结果可以作为管理评审的输入,对信息化建设和运行情况进行整体评价,确定新的方向和整改措施。 
四、结论 
通过ISO27001体系建设,可实现保护认证认可信息,保障电子政务系统良好运转;形成计划-行动-检查-改进(PDCA)的系统化管理体系,提高抵御风险的能力;建立风险评估机制;建立应急响应、处理流程;明确落实安全角色和职责;建立日常操作安全规程规范;建立配置,变更及发布流程;提高安全服务流程的可用性,保密性和完整性;规范信息、数据操作流程;强化的员工信息安全意识和安全技能。 
本文主要从实施过程方面探讨ISO27001在认证认可信息化中的应用,在具体实践中,还需结合国家对政府信息安全的相关政策法规对照实施,并应辅以资金保障。