基于ISOIEC 27001标准的信息安全管理体系建设.pdf

上传人:stars_wyx 文档编号:96919418 上传时间:2020-02-11 格式:PDF 页数:3 大小:227KB
返回 下载 相关 举报
基于ISOIEC 27001标准的信息安全管理体系建设.pdf_第1页
第1页 / 共3页
基于ISOIEC 27001标准的信息安全管理体系建设.pdf_第2页
第2页 / 共3页
基于ISOIEC 27001标准的信息安全管理体系建设.pdf_第3页
第3页 / 共3页
亲,该文档总共3页,全部预览完了,如果喜欢就下载吧!
资源描述
2 0 0 8 年 第 4期 浙 江 电 力 Z HE J I ANG E L EC T RI C P OWER 4 7 基于 I S O I E C 2 7 0 0 1 标准的信息安全管理体系建设 Co n s t r u c t i o n o f I n f o r m a t i o n S e c u r i t y M a n a g e me n t S y s t e m Ba s e d o n I S o I EC 2 7 0 0 1 王 志强,李建 刚,颜 立 ( 浙 江省 电力公 司 ,杭州 3 1 0 0 0 7 ) 摘要 :信 息安全是信息时代 电网企业 面临的新课 题 。基 于企业 实际情况 ,提 出通过 引入国际标准和最 佳业务 实践 ,建立 、实施 、运行 、监视 、评审 、保持 和改进文件化 的信息安全 管理体系 ( I S M S ) ,实现 对信息安全 的 “ 预控 、在控 、可控 、能控 ” ,并 就如何把握重要 资产识别 、风险评估 、体系文件编制 这 3个影响 I S MS质量 的重要环节阐述 了要点 。 关键词 :电力 ;信息 ;安全 ;I s M S 中图分 类号 :T P 3 9 1 文献标识码 : B 文章编号 :1 0 0 71 8 8 1 ( 2 0 0 8 ) 0 40 0 4 70 3 随着 电力企业 网络化 、信 息化水平 的提 高,无论是 电网安全经济运行还是管理业务运 作均离不开信息系统 的支持 ,对计算机信息系 统安全可靠运行 的依赖性越来越强。但在为企 业带来提高工作效率和管理水平 、增强竞争能 力等益处 的同时,也为企业带来 了安全风险。 安全风险与信息化水平的提高同步增长 ,导致 生产事故或影响电力企业正常业务运作的恶性 事故时有发生。电力已被国家确立为重点信息 安全领域 ,如何 管理信 息安全 ,实 现安全 的 “ 预控、在控 、可控、能控”显得十分重要。 1 信 息安全 管理体 系建设依据 电网企业在上世纪九十年代通过引入 I S O 9 0 0 1 系列质量管理标准,建立企业质量管理体 系和提高质量管理水平 。同样也可以通过引入 信息安全管理标准来建立信息安全管理体系 , 从而提高信息安全水平。 企业建设信息安全管理体系 ( I n f o r m a ti o n S e - c u r i t y M a n a g e m e n t S y s t e m ,简称 I S M S ) 首先要选好 依据。 目前有 I S O 1 5 4 0 8 ( C o m r n o n C r i t e ri a ) 、F I P S 1 4 0 、 C O B I T 、I S O I E C 1 3 3 3 5 ( G MIS ) 、 I S O I E C 2 7 0 0 1 、I S O I E C 2 7 0 0 2 ( 1 7 7 9 9 ) 等标准。经过分析 比较 ,认为采用 I S O I E C 2 7 0 0 1 、2 7 0 0 2比较合 适 ,并进行相关配套实施和认证 。 ( 1 ) 从调研情况看 ,管理体系采用 I S O I E C 2 7 0 0 1 、2 7 0 0 2 的较多 ,通用性较好 。 ( 2 ) 基于安全风 险管理理念 ,强调安全与 成本平衡,在风险控制的合理成本和因风险可 能导致的最小化损失之间平衡 。 ( 3 ) I S O I E C 2 7 0 0 1同 I S O 9 0 0 1 ( 质量管理体 系) 和 I S O 1 4 0 0 1 ( 环境管理体系) 等 国际知名管 理体系标准具有相同风格 ,使信息安全管理体 系更容易和其他的管理体系相协调 。 ( 4 ) 遵循过程方法和 “ 计 划一实施一检查 一 改 进 ( P D C A ) ” 持 续 改进 模 型 ( 如 图 1所 示 ) ,符合安全是 相对 的和动态 的这个特点 , 需要不断的评估和改进 。以该标准建立的体系 有利于建成一个长效机制。 图 I 应用于 I S M S过程 的 P D C A模 型 维普资讯 http:/ 4 8 浙 江 电 力 2 0 0 8年第 4期 I S O I E C 2 7 0 0 1 : 2 0 0 5 ( 信息技术一安全技术 信息安全管理体系一要求 ,从组织的整体 业务风险的角度 ,详细说明了建立、实施 、运 行 、监视、评 审、保持和改进文件化 的 I S M S 要求,规定了为适应不同组织及其下属部门的 需 要 而定 制 的安 全控制 措施 的实施 要求 。I S O I E C 2 7 0 0 2 ( 信息技术一安全技术一信息安全管 理实施细则 ,包括 1 1 个安全控制要项 、3 9 个控制 目标 、1 3 3 项控制措施 ,给负责开发的 人员作为参考文档使用 ,作为组织 的安全标准 和有效 的安全 管理实施 指南 。 2 信 息安全管理体 系的若干重要环节 可 通过 I S O I E C 2 7 0 0 1 标 准 所 规 定 的 一 系 列 步 骤来 建 立 I S M S 。但 标 准 仅 仅 提 供 一 些原 则性 的建 议 ,如何将 这些原则 性 的建议 与各个 组织单位 自身的实际情况相结合 ,构架起符合 组 织 自身状 况 的 I S M S ,是 非 常 有 挑 战 性 的 。 从实际工作中看,重要资产识别、风险评估、 体系文件编制是影 响 I S M S质量的重要环节 , 必须重点 把握 。 2 1 重要 资产识 别 标准 对信息 资产 的定义 与传统 的理解 有差 异 ,包括 硬件 、软件 、服务 、数据 和文 档 、人 力 资 源五 大 类 。所 谓 资产 识 别 就 是 识 别 I S MS 控制范围内的信息资产 以及这些资产 的所有 者 ,形成 信息资产清单、 重要信息资产清 单。关键是如何能客观地评定资产的价值以 反应资产对业务运营的重要性 ,这就必须结合 自身需求来制定一个定量的定价规则 。 对资产 的赋值不仅要考虑资产本 身的价 值 ,还要考虑资产的安全属性损害时对业务运 营的负面影响程度。因此必须多方面对资产价 值 进行分 析 。资 产赋 值 的过程 就是 对资 产在 自 身价值、信息分类 、保密性 、完整性 、可用性 和法规合同符合性上的达成程度进行分析,并 在此基础上得出综合结果的过程。按照资产 自 身的价值赋值结果 、信息分类 的赋值结果,和 资产在 c ( 保密性) 、I ( 完整性) 、A ( 可用性) 、 L ( 法规合同符合性) 上 的赋值等级结果 ,经过 综合评定得出资产的重要性等级。将资产重要 性划分为 5 级 ,级别越高表示资产重要性程度 越高。资产重要性等级划分原则见表 1 。 2 2 风 险评估 风险评估是制定 I S M S过程中非 常重要 的 一 步 ,形成 信息安全风 险评估报告 、 风险 处理计划 、 信息安全适用性声 明等文档 。 要制 定一 个定量 的风 险评 估方 法 ,保证 评估 结 果 的相对客观 。风 险评 估方法涉及到威胁 识 别 、薄弱点识别 、威胁 发生可能性 、影 响程 度、安全措施有效性以及风险计算等 内容。 风险计算公式如下 : 风险值 =威胁发生可能性 X影响程度等级 现有 控制措施 有效性 赋值 通过制定风险等级划分标准来确定风险等 级 。将等级划分为五级 ,等级越 高 ,风 险越 高 ,见表 2 。应 根 据所 计 算 的风 险值 确 定 风 险 等级 ,并 对所有 风险计算 结果 进行等级 处理 。 不可接受风险的确定和处理是相对重要的 一 项 工作 ,需要综 合考 虑风 险控 制成 本 与风 险 造成 的影 响来制定 风 险 的可 接受 准则 。例 如 , 风 险等级 为 1 或 2级时是 可接 受 风 险 ,可 保持 已有 的安 全措 施 ;风 险 等级 为 35级 时是 不 可接受风险,需要采取安全措施以降低、控制 风 险 。风 险评 估小 组根 据信 息安 全风 险接 受准 则 确定风险 的可接受性 ;编制 风险处理计 划 来 规定 风 险处 理方 式 、责任 部 门和 时间进 度 ,高风险应得到优先的考虑 ,对于不可接受 风 险应根据选择 的风 险处理方式 控制残余风 险 。 2 3 体 系文件 编写各种层次 的信息安全体系文件是建立 I S M S的重要基础性工作。由于各行业都有各 自 的行业 特点 ,可 以通 过专用 文件 和通 用 文件 相 结合的方法来制定体系文件 。信息安全管理体 系是 组织 管理体 系 的一 部分 ,要 考 虑与其 它 体 系文件 的接 口,对有些文件 可直接引用或 修 订 。如可引用质量管理体系中的支持性程序文 件 : 文件控制程序 、 记录控制程序 、 内部审 核控制程序等。 根据 电网企业特点 ,为制定 整套 的 I S M S 文件 ,设计了 I S M S文件体系的层次结构 : ( 1 ) 基础管理文件 ,包括信息安全管理手 册、适用性声明 、信息安全风险评估管理 、文 维普资讯 http:/ 2 0 0 8 年第 4期 王志强 ,等:基于 I S O I E C 2 7 0 0 1 标准的信息安全管理体系建设 4 9 等级 分级原则 标识 定 义 件管理、记录管理 、人力资源管理 、信息安全 惩戒管理、法律法规识别与评估、沟通交流管 理、内部审核管理、管理评审管理、纠正措施 管理、预防措施管理等,这些文件应尽量和企 业的原有文件整合。 ( 2 ) 信息系统通用 的应用和维护文件 ,包 括信息系统开发管理、信息系统应用管理 、信 息系统维护管理、网络安全管理 、数据安全管 理、用户访问管理 、软件管理、介质管理 、信 息储存和处理管理、个人计算机管理、恶意和 可移动代码 防范管理 、电子邮件和互联 网管 理、机房管理、电源管理、综合布线管理、备 品备件管理制度等 ,这些文件应尽量和企业的 上级规定 整合 。 ( 3 ) 信息系统专用的应用和维护文件 ,包 括 客 户 服务 系 统应 用 维 护 管理 、O A系统 应 用 维护管理 、S C A D A系统应用维护管理等 ,这些 文件应 尽量 在企业 的现 有基 础上完 善 。 ( 4 ) 保密要求 的文件 ,包括保密管理 、公 文管理 、档案管理 ,这些文件应参照国家电网 公司最新 的相关规定制定 。 3 结语 I S M S在浙 江嘉 兴 电力 局 试点 取 得 了成 功 ,已于 2 0 0 6年 1 1月通 过 挪威 船 级 社 ( DN V) 认证,浙江金华、湖州 、绍兴、衢州等电力局 在 2 0 0 7年相继开展体系建设并通过认证 。通 过建立 、实施 、运行 、监视 、评审、保持和改 进文件化的 I S M S ,对企业信息资产进行 了一次 全面的摸底 ,对信息安全 的重点关注对象有了 清 醒 的认识 ,消除 了主要 的安 全 隐患 ,建立 了 驾驭信息安全的长效机制 ,为电网企业信息安 全管理提供 了示范。但安全是动态的 ,要基于 P D C A持续改进 I S M S ,将信息安全等级保护纳 入体系中,同时开展质量 、环境 、职业安全卫 生 、信息安全 “ 四标 ”的整合认证工作 ,形成 一 套有效的一体化管理体系 ,为企业争取更大 的管理效益与效率的提升。 参 考文 献 : 【 1 】 孙强 ,陈伟 ,王东红 信息安全管 理全球最佳实务 与实施指南 M】 北京 :清华 大学 出版社 ,2 0 0 4 收稿 日期 :2 o o 8 0 3 0 3 作者 简 介 :王 志强 ( 1 9 6 6 一) ,男 ,浙江 东 阳人 ,高级 工程 师,从事信息化技术和管理工作。 李建刚( 1 9 5 5一) ,男,山 东泰 安人 ,高级工程师 ,长期 从事 自动化和信息化工作 。 ( 本 文 编 辑 : 陆莹) 维普资讯 http:/
展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 论文


版权所有:www.WDFXW.net 

鲁ICP备14035066号-3