電力信息安全管理體系應用及發(fā)展研究
摘 要 信息安全管理體系作為組織對信息安全工作實施管理的有效方法之一,在信息安全領域獲得了廣泛的應用。本文從信息安全管理體系的特點出發(fā),基于風險管理和持續(xù)改進的思想,從實踐出發(fā),提出了行之有效的實施方法,此外,本文還跟蹤研究了信息安全管理體系的最新發(fā)展,介紹了信息安全管理體系在架構、內(nèi)容等方面的重大變化,指出了這種變化對未來實施信息安全管理體系的影響。
本文引用地址:http://www.ex-cimer.com/article/200734.htm1 引言
隨著信息技術的發(fā)展逐漸涌現(xiàn)眾多信息安全問題,例如病毒、漏洞、黑客、安全事件等,這些安全問題不斷對信息系統(tǒng)造成影響,進而對組織,甚至國家安全產(chǎn)生影響。如何解決信息安全問題也成為大家關注的焦點,防病毒、防火墻、入侵檢測等信息安全產(chǎn)品逐步在各組織得到了部署。眾所周知,技術和管理是相輔相成的,信息安全并不僅是技術過程,而是一個綜合防范的過程,信息安全管理是綜合防范過程中的一個重要部分,在信息安全保障工作中必須管理與技術并重,進行綜合防范,才能有效保障安全,這也是實現(xiàn)信息安全目標的必由之路。
信息安全管理體系(Information Security Management Systems, 簡稱ISMS)是管理體系方法在信息安全領域的運用,它可以從組織整體的角度來識別安全風險,通過采取相應的安全控制措施(既包括安全技術措施,也包括安全管理措施),達到綜合防范、保障安全的目標。信息安全管理體系的概念已經(jīng)跳出了傳統(tǒng)的“為了安全而安全”的理解,它強調(diào)的是基于業(yè)務風險方法來組織信息安全活動,其本身是組織整個管理體系的一部分。
2 信息安全管理體系方法及應用
2.1 信息安全管理體系的風險管理思想
風險管理是信息安全管理體系建設中的關鍵。風險管理包括風險評估和風險處理兩個階段,風險評估是信息安全管理體系建設中提出信息安全要求的關鍵依據(jù),風險處理是解決信息安全問題,采取控制措施的指導規(guī)范。
1)風險管理是信息安全的基礎性工作
信息安全中的風險管理是傳統(tǒng)風險理論和方法在信息安全領域的運用,是科學分析和理解信息資產(chǎn)在保密性、完整性、可用性等方面所面臨風險,并針對重要風險作出接受、減緩、轉移和規(guī)避等控制方法的過程。
風險評估將導出信息資產(chǎn)的安全保護需求,因此,信息安全建設應以風險評估為起點,以控制安全風險,減少安全事件發(fā)生為目標。只有在正確、全面地了解和理解安全風險后,才能決定如何處理安全風險,從而在信息安全投資、信息安全措施選擇、信息安全保障體系建設等方面作出合理決策。持續(xù)的風險管理工作將成為檢查信息安全工作績效的有力手段,并為信息化項目的立項、投資、運行產(chǎn)生影響,促進組織信息化的進一步發(fā)展。
2)風險評估和處理在信息安全管理體系建設中的重要性
信息安全管理體系的建立需要首選確定信息安全需求,而信息安全風險評估獲取信息安全需求的主要手段,因此,信息安全風險評估是信息安全管理體系建立的基礎,沒有風險評估,信息安全管理體系的建立就沒有依據(jù)。而風險處理的過程則是信息安全管理體系實施與運行階段的重要內(nèi)容,殘余風險的水平將直接影響體系的運行效果。
因此風險評估和風險處理是信息安全管理體系建設運行過程中最重要的活動之一,風險評估和風險處理所生成的兩個文件:風險評估報告和風險處理計劃,也是體系運行的重要證據(jù)之一。信息安全管理體系運行的效果很大程度上取決于風險管理方法的適宜性和有效性。
2.2 信息安全管理體系的持續(xù)改進機制
信息安全管理體系的一個突出特點是持續(xù)改進,通過體系的建設,可以有效實現(xiàn)信息安全工作的持續(xù)改進,不斷提高信息安全的防護水平和能力,應對不斷涌現(xiàn)的新的信息安全威脅。
信息安全管理體系的持續(xù)改進機制主要體現(xiàn)在下列方面:
(1)過程方法
在管理活動中,過程單元是控制的基本要素,過程方法已成為管理活動的基本方法,研究過程之間的相互聯(lián)系和作用,有利于對這些過程進行有效的、連續(xù)的控制,從而確保整體管理的有效性。過程方法模型如圖1所示。
圖1 過程方法模型
為使組織有效運作,必須識別和管理眾多相互關聯(lián)的活動,通過使用資源和管理,將輸入轉化為輸出的活動可視為過程。通常,一個過程的輸出直接形成下一個過程的輸入。而過程方法則是指組織內(nèi)諸過程的系統(tǒng)的應用,連同這些過程的識別和相互作用及其管理。
(2)PDCA循環(huán)
PDCA模型又叫戴明環(huán),是管理學中的一個通用模型,如圖2所示。
圖2 PDCA模型
評論