关注远望信息官方微信

您当前的位置:首页 > 新闻中心 > 安全研究
安全研究
信息安全管理体系的信息化实施方案
发布日期:2012/8/29 来源:互联网 浏览次数:1873

   【摘 要】ISO27001信息安全管理体系是信息安全业内广泛认可的标准,我国的信息安全管理体系也参照了ISO27001标准。具有良好操作性的实施方案,由于它自身要求的实施环境苛刻,通用性都较低。同样,通用性强的制度方针,自然会因为要照顾诸多环境而失去了可操作性。ISO27001这个国际标准自然没有太多的可操作性,各信息安全实施团体要更具自身条件和拥有的资源以ISO27001为蓝本,制定自己的信息安全管理体系实施方案。本文将简绍一种基于国内现有资源的信息化实施方案。

  【关键字】ISO27001 信息安全实施方案 信息化实施方案
  引言
  ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-11995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO2700:2005-1ISO2700:2005-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。200012月,ISO2700:2005-11999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799-12000《信息技术-信息安全管理实施细则》。200295日,ISO2700:2005-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO2700:2005-2:1999被废止。现在,ISO2700:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。目前除英国之外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对ISO2700:2005标准感兴趣,我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。
其管理模型如图1.1。
 
  可见整个管理流程的源头是信息安全要求和期望,那么信息安全要求和期望来自哪里了。ISO27001给出的答案如下:
  对组织来说,信息是需要采取措施加以保护的重要资产,但在具体采取安全措施之前,组织必须先明确自己的安全需求, 需要保护哪些信息资产?需要投入多大力度?应该达到怎样的保护程度?这些都要通过需求分析来加以明确。 一般来讲,组织的信息安全需求有三个来源。
  (1) 法律法规与合同条约的要求与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵循 BS7799标准。
  (2)组织的原则、目标和规定组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保支持业务运作的信息处理活动的安全性。 
  (3) 风险评估的结果除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。
  对于第一类强制性要求一般都是被抄录信息安全管理制度中,第二类要求一般都是管理者意识的体现,第三类要求是现在信息安全实施方案的核心工作。市场上有信息安全风险评估的服务和产品,学术间也有不少的信息安全风险评估算法。当然不同的厂商和学术流派对此有各自的观点,本文我们不在评价。不同的实施方案使用不同的管理流程,从而导致不同的信息安全产品链和服务链,最后产生不同的信息安全市场。接下来我将简绍本文的主要内容,信息化实施方案,最后简要预测这种方案下的信息安全市场走向。 
  信息化实施方案
  《数字化生存》作者Nicholas Negroponte预言未来只有将自己的产品和服务数字化的厂商才可以生存。如,电子商务就是将传统的销售服务数字化后产生的成果结果。还有,通过买虚拟装束的网游公司,就是将传统的装束数字化后取得的成就。纳米技术描述,将来我们可以将原子产品如人类本身数字化,通过网络一份份的传到世界各地,然后再将自组装好。也就是说,未来的一切都是向着数字化信息化的方向发展,包括我们人类自己。接下来看我如何将信息安全管理实施过程信息化。
  11信息化信息安全要求和期望
  信息安全要求和期望是信息安全管理体系的源动力,然而这个源头常常被做成挂在墙上的标语,或者保存在档案馆里的制度。这就导致了信息安全管理实施的整个流程没有办法信息化。为什么这种“制度上墙”服务我们几百年的模式,在今天突然失去了往日的风采,这种变革使得很多管理人士无法接受,直到现在还是有相当优秀的管理人士在耗费他们的聪明才智来挽救这个弥留之际的“战友”。
  信息安全管理对象信息系统的特殊性在于如下三点:
  1.         海量数据;
  2.         不可预见;
  3.         实时传输。
  不可预见的海量数据使得传统的统计分析需要面对一个近乎于无穷大的样本空间,然而现有的资源处理这样大的样本空间需要较长的时间,然而信息系统的实时传输性又要求管理实施方案要有高度的实时性。综合诸多因素,传统的“制度上墙”的管理模式不能逃脱被信息化实施方案取代的命运。
  将法律法规数字化并不是个陌生的事物。当您在搜索或者发表以下观点时,有时候会被屏蔽的,结果显示“根据相关法律法规结果不予显示”,这就是数字化的法律法规,而不是传统的发现了非法言论,然后再去查找责任人,最后追究责任。传统的模式有时候会发生不教而诛的事情,因为当事人可能并不知道他行为已经违法。再者,事情已经发生,不论如何处罚当事人,都是于事无补的。将法律法规信息化,不光能够降低违法事件带来的损失,同时也能教育当事人,提供当事人的法律意识。
  由于法律法规和组织原则都是规范操作人员的行为,也就是控制对信息系统的操作。这就要求,将法律法规和组织原则都具体化成信息系统的行为,通过技术手段实时监控有没有违规违法行为的产生,如果有第一时间制止违规违法行为并且同时告知当事人被制止的原因,同时记录此次违规违法行为,以备日后分析和追究责任。
  12信息化风险评估流程和结果
  现在的信息安全分析评估主要依赖于人力的调查分析,同样的原因,信息系统是个动态实时动态的系统,这种静态的分析是不能起到太多的作用的。风险评估的结果往往以报表的形式提交,作为安全加固和制度制定的参考。
  信息化的风险评估流程应该是:
  第一步:     实时从信息系统收集数据;
  第二步:     分析收集来的数据;
  第三步:     将分析结果数字化成对信息系统操作行为的规范。
  信息化信息安全要求和期望的结果就是将信息安全要求和期望数字化化成对信息系统操作行为的规范,由信息系统本身来执行这些规范。
  2.1信息化PDCA流程
  由以上论述知,信息安全要求和期望已经数字化成对信息系统的操作规范。这就要求PDCA流程就是一个对信息系统的信息化控制流程。完备的控制系统都要满足控制论的基本要求。控制论是实现系统有目的的变化的活动,即保持事物规律性或者使事物由一种状态转向另一种状态的转换过程。控制论是研究各种系统的控制和调节的一般规律性的科学。主要具有如下特点:
  A.     以统计理论为基础,抛开物质和能量方面,着重从信息方面研究系统的功能;
  B.     要求把对象看作一个由多个因素组合的,有机的动态系统;
  C.     研究的不是系统某时刻的行为,而是系统的一切可能的行为方式及其演化和趋势;
  控制论基本原理是:
  1)      信息变化原理。就是把信息的概念,作为分析和处理的基础。抛开系统的各种具体运动形态,把系统有目的运动,抽象为一个信息变换过程(即包含一个信息的接受,存取和加工的过程)、从信息流上研究系统的调节与控制规律,使系统按预定目标实现控制。
  2)      反馈控制原理。是指把控制系统中输出的信息,全部或者部分发回到该系统的输入端,对信息的在输出发生影响,从而实现对该系统的控制。
  控制论有三个基本组成因子:1,输入;2,输出;3,反馈。
  PDCA信息化流程控制图如图2.1.1。
  此方案对信息安全市场的影响
  现行的信息安全技术大都用于对信息系统本身的安全加固,监控设备也是百家争鸣,没有统一的标准作支持,就无法形成整个管理流程的信息化。也就说信息的信息安全产品只是占据了信息安全产品链的一小部分,当信息安全实现了信息,信息安全产品链将被很大的拉长。包括如何将法律法规数字化和PDCA的每一个过程需求对应产品出现
远望控股: 远望信息 | 远望科技 | 远望通信 | 远望软件 |
版权所有 © 浙江远望信息股份有限公司