浅析信息安全体系如何建立

[摘 要] 信息安全体系建设已日渐受到企业的重视。笔者根据多年信息安全体系建设及系统运维经验，从信息安全体系建设理论依据、信息安全体系建设过程、信息安全体系建设的决定因素及意义等方面，对企业信息安全体系建立问题加以讨论。

[关键词] ISMS； PDCA； 风险评估； 资产识别； 信息； 安全； 建立； 体系

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038

[中图分类号] F270.7； TP309 [文献标识码] A [文章编号] 1673 - 0194（2014）01- 0074- 03

1 信息安全体系的重要性

随着信息技术不断发展，信息系统已经成为一种不可缺少的信息交换工具，企业对于信息资源的依赖程度也越来越大。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点，再加上本身存在技术弱点和人为的疏忽，导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵，致使信息被破坏或窃取，使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下，企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题，同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此，要求我们探索建立一套完善的体系，来有效地保障信息系统的全面安全。

2 信息安全体系建设理论依据

信息安全管理体系（Information Security Management System， ISMS）是企业整体管理体系的一个部分，是企业在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

在建设信息安全管理体系的方法上，ISO 27001标准为我们提供了指导性建议，即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式，适用于任何管理活动，体现了一种持续改进、维持平衡的思想，但具体到ISMS建立及认证项目上，就显得不够明确和细致，组织必须还要有一套切实可行的方法论，以符合项目过程实施的要求。在这方面，ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法，比如IS0 9001，ISO/IEC 2700l， ISO/TS 16949 等，大致上说，这些管理体系都遵循所谓的PROC过程方法。

PROC 过程模型 （Preparation-Realization-Operation-Certification）是对PDCA 管理模式的一种细化，它更富有针对性和实效性，并且更贴近认证审核自身的特点。PROC模型如图1所示。

3 信息安全体系建设过程

根据以往经验，整个信息安全管理体系建设项目可划分成5个阶段，如果每项内容的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设总体目标，最终通过ISO/IEC 27001认证。

调研阶段： 对业务范围内所有制度包括内部的管理规定或内控相关规定，对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描，并形成《漏洞扫描风险评估报告》。

资产识别与风险评估阶段： 针对组织内部人员的实际情况，进行信息安全基础知识的普及和培训工作，让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理，并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求，完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。

设计策划阶段：通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制，并且形成有持续改进功能的信息安全监督审核管理制度，最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理（包括：笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定）、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。

实施阶段：项目小组要组织相关资源，依据风险评估结果选择控制措施，为实施有效的风险处理做好计划，管理者需要正式ISMS 体系并要求开始实施，通过普遍的培训活动来推广执行。 ISMS 建立起来（体系文件正式实施） 之后，要通过一定时间的试运行来检验其有效性和稳定性。在此阶段，应该培训专门人员，建立起内部审查机制，通过内部审计、管理评审和模拟认证，来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。

认证阶段：经过一定时间运行，ISMS 达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

4 信息安全体系建立的意义

通过建立信息安全管理体系，我们对信息安全事件及风险有了较为清楚的认识，同时掌握了一些规避和处理信息安全风险的方法，更重要的是我们重新梳理了组织内信息安全体系范围，明确了信息安全系统中人员相关职责，对维护范围内的各信息系统进行了全面的风险评估，并且通过风险评估涉及的内容确定了具体的控制目标和控制方式，引入了持续改进的戴明环管理思想，保证了体系运转的有效性。具体效果如下：

（1） 制定了信息安全方针和多层次的安全策略，为各项信息安全管理活动提供指引和支持。

（2） 通过信息风险评估挖掘了组织真实的信息安全需求。

加强了人员安全意识，建立了以预防为主的信息安全理念。

（3） 根据信息安全发展趋势，建立了动态管理和持续改进的思想。

5 决定体系建立的重要因素

5.1 加强人员安全意识是推动体系实施的重要保障

信息安全体系在一个企业的成功建立并运行，需要整个企业从上到下的全体成员都有安全意识，并具备信息安全体系相关理论基础，才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责，组织要确定体系内人员的职责；给予相关人员适当的培训，必要时，需要为特定任务招聘有经验的人员；评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性，并且清楚各自在实现ISMS 目标过程中参与的方式。

ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训，组织一方面可以向一般员工宣贯安全策略、提升其安全意识；另一方面，也可以向特定人员传递专业技能（例如风险评估方法、策略制定方法、安全操作技术等）。此外，面向管理人员的培训，能够提升组织整体的信息安全管理水平。通常来讲，组织应该考虑实施的培训内容包括：

（1） 信息安全意识培训。在ISMS实施伊始或最终运行阶段，组织可以为所有人员提供信息安全意识培训，目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领，理解信息安全策略，知道信息安全问题所在，掌握应对和解决问题的方法和途径。

（2） 信息安全管理基础培训。在ISMS准备阶段，组织可以向ISMS项目实施相关人员 （例如风险评估小组人员、各部门代表等）提供1SO/IEC 27001基础培训，通过短期学习，帮助大家掌握ISO/IEC 27001标准的精髓，理解自身角色和责任，从而在ISMS项目实施过程中起到应有的作用。

（3） ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训，包括风险评估方法、策略制定方法等，目的在于协作配合，共同推动ISMS项目有序且顺利地进行。

（4） 信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去，组织可以为相关人员提供信息安全操作技能的培训，目的在于提高其运营ISMS的技术能力，掌握处理问题的思路和方法。

5.2 建立符合企业需求的ISMS，保障体系顺利落地

（1） 根据业务需求明确ISMS范围。范围的界定要从组织的业务出发，通过分析业务流程（尤其是核心业务），找到与此相关的人员、部门和职能，然后确定业务流程所依赖的信息系统和场所环境，最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是，组织确定的ISMS 范围，必须是适合内外部客户所需的，且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此，组织应该通过合同、服务水平协议 （SLA）、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。

（2） 利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具，保证评估的准确、翔实。有效利用各种工具，可以帮助评估者更准确更全面地采集和分析数据，提升工作的自动化水平，并且最大程度上减少人为失误。当然，风险评估工具并不局限于完全技术性的产品，事实上很多评估工具都是评估者经验积累的成果，如调查问卷、扫描工具、风险评估软件等。

（3） 构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况，应该具有可操作性；不同层次的文件之间应该保持紧密关系并且协调一致，不能存在相互矛盾的地方；编写ISMS文件时，除了依据标准和相关法律法规之外，组织还应该充分考虑现行的策略、程序、制度和规范，有所继承，有所修正。

6 结 论

企业的生存和发展，有赖于企业各项业务、管理活动的健康有序的进行，而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作，直接关系到企业各项业务活动是否能够持续。因此，我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求，建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中，必须重点关注以下重要事项：安全策略、目标和活动应该反映业务目标；实施信息安全的方法应该与组织的文化保持一致；来自高级管理层的明确的支持和承诺；向所有管理者和员工有效地推广安全意识；提供适当的培训和教育。

主要参考文献

[1] 王斌君. 信息安全管理体系[M]. 北京：高等教育出版社，2008.

[2] 谢宗晓. 信息安全管理体系应用手册[M]. 北京：中国标准出版社，2008.

[3] 魏军. 信息安全管理体系审核指南[M]. 北京：中国标准出版社，2012.