淺析信息安全體系如何建立

陳賀 宮俊峰

[摘 要] 信息安全體系建設已日漸受到企業的重視。筆者根據多年信息安全體系建設及系統運維經驗，從信息安全體系建設理論依據、信息安全體系建設過程、信息安全體系建設的決定因素及意義等方面，對企業信息安全體系建立問題加以討論。

[關鍵詞] ISMS； PDCA； 風險評估； 資產識別； 信息； 安全； 建立； 體系

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038

[中圖分類號] F270.7； TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2014）01- 0074- 03

1 信息安全體系的重要性

隨著信息技術不斷發展，信息系統已經成為一種不可缺少的信息交換工具，企業對于信息資源的依賴程度也越來越大。然而，由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性等特點，再加上本身存在技術弱點和人為的疏忽，導致信息系統容易受到計算機病毒、黑客或惡意軟件的入侵，致使信息被破壞或竊取，使得信息系統比傳統的實物資產顯得更加脆弱。在這種大環境下，企業必須加強信息安全管理能力。但企業不單面臨著信息安全方面問題，同時還面臨經營合規方面的問題、系統可用性問題以及業務可持續問題等越來越多的問題。因此，要求我們探索建立一套完善的體系，來有效地保障信息系統的全面安全。

2 信息安全體系建設理論依據

信息安全管理體系（Information Security Management System， ISMS）是企業整體管理體系的一個部分，是企業在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業務風險的認識，ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動，并且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

在建設信息安全管理體系的方法上，ISO 27001標準為我們提供了指導性建議，即基于PDCA 的持續改進的管理模式。PDCA是一種通用的管理模式，適用于任何管理活動，體現了一種持續改進、維持平衡的思想，但具體到ISMS建立及認證項目上，就顯得不夠明確和細致，組織必須還要有一套切實可行的方法論，以符合項目過程實施的要求。在這方面，ISMS 實施及認證項目可以借鑒很多成熟的管理體系實施方法，比如IS0 9001，ISO/IEC 2700l， ISO/TS 16949 等，大致上說，這些管理體系都遵循所謂的PROC過程方法。

PROC 過程模型 （Preparation-Realization-Operation-Certification）是對PDCA 管理模式的一種細化，它更富有針對性和實效性，并且更貼近認證審核自身的特點。PROC模型如圖1所示。

3 信息安全體系建設過程

根據以往經驗，整個信息安全管理體系建設項目可劃分成5個階段，如果每項內容的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設總體目標，最終通過ISO/IEC 27001認證。

調研階段： 對業務范圍內所有制度包括內部的管理規定或內控相關規定，對公司目前的管理狀況進行系統、全面的了解和分析。通過技術人員人工檢查和軟件檢測等方式對組織內部分關鍵網絡、服務器等設備進行抽樣漏洞掃描，并形成《漏洞掃描風險評估報告》。

資產識別與風險評估階段： 針對組織內部人員的實際情況，進行信息安全基礎知識的普及和培訓工作，讓每位員工對信息安全體系建設活動有充分的理解和認識。對內部所有相關信息安全資產進行全面梳理，并且按照ISO/IEC 27001相關的信息資產識別和風險評估的要求，完成《信息資產清單》、《信息資產風險評估表》和《風險評估報告》。

設計策劃階段：通過分組現場討論、領導訪談等多種方式對各業務部門涉及的信息安全相關內容進行細致研究和討論。針對現有信息安全問題和潛在信息安全風險建立有效的防范和檢查機制，并且形成有持續改進功能的信息安全監督審核管理制度，最終形成嚴格遵守ISO/IEC 27001認證審核標準的、符合組織業務發展需要的《信息安全管理體系文件》。體系對文件控制、記錄控制、內部審核管理、管理評審、糾正預防措施控制、信息安全交流管理、信息資產管理、人力資源安全管理、物理環境安全、通信與操作管理（包括：筆記本電腦管理、變更管理、補丁管理、第三方服務管理、防范病毒及惡意軟件管理、機房管理規定、介質管理規定、軟件管理規定、數據備份管理、系統監控管理規定、電子郵件管理規定、設備管理規定）、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務持續性控制、符合性相關程序進行全面界定和要求。

實施階段：項目小組要組織相關資源，依據風險評估結果選擇控制措施，為實施有效的風險處理做好計劃，管理者需要正式發布ISMS 體系并要求開始實施，通過普遍的培訓活動來推廣執行。 ISMS 建立起來（體系文件正式發布實施） 之后，要通過一定時間的試運行來檢驗其有效性和穩定性。在此階段，應該培訓專門人員，建立起內部審查機制，通過內部審計、管理評審和模擬認證，來檢查己建立的ISMS是否符合ISO/IEC 27001標準以及企業規范的要求。

認證階段：經過一定時間運行，ISMS 達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

4 信息安全體系建立的意義

通過建立信息安全管理體系，我們對信息安全事件及風險有了較為清楚的認識，同時掌握了一些規避和處理信息安全風險的方法，更重要的是我們重新梳理了組織內信息安全體系范圍，明確了信息安全系統中人員相關職責，對維護范圍內的各信息系統進行了全面的風險評估，并且通過風險評估涉及的內容確定了具體的控制目標和控制方式，引入了持續改進的戴明環管理思想，保證了體系運轉的有效性。具體效果如下：

（1） 制定了信息安全方針和多層次的安全策略，為各項信息安全管理活動提供指引和支持。

（2） 通過信息風險評估挖掘了組織真實的信息安全需求。

加強了人員安全意識，建立了以預防為主的信息安全理念。

（3） 根據信息安全發展趨勢，建立了動態管理和持續改進的思想。

5 決定體系建立的重要因素

5.1 加強人員安全意識是推動體系實施的重要保障

信息安全體系在一個企業的成功建立并運行，需要整個企業從上到下的全體成員都有安全意識，并具備信息安全體系相關理論基礎，才能保障信息安全體系各項活動內容順利開展。為保證信息安全體系相關任務的執行人員能夠盡職盡責，組織要確定體系內人員的職責；給予相關人員適當的培訓，必要時，需要為特定任務招聘有經驗的人員；評估培訓效果。組織必須確保相關人員能夠意識到其所進行的信息安全活動的重要性，并且清楚各自在實現ISMS 目標過程中參與的方式。

ISMS 培訓工作應該分層次、分階段、循序漸進地進行。借助培訓，組織一方面可以向一般員工宣貫安全策略、提升其安全意識；另一方面，也可以向特定人員傳遞專業技能（例如風險評估方法、策略制定方法、安全操作技術等）。此外，面向管理人員的培訓，能夠提升組織整體的信息安全管理水平。通常來講，組織應該考慮實施的培訓內容包括：

（1） 信息安全意識培訓。在ISMS實施伊始或最終運行階段，組織可以為所有人員提供信息安全意識培訓，目的在于讓所有與ISMS 相關的人員都了解信息安全管理基本要領，理解信息安全策略，知道信息安全問題所在，掌握應對和解決問題的方法和途徑。

（2） 信息安全管理基礎培訓。在ISMS準備階段，組織可以向ISMS項目實施相關人員 （例如風險評估小組人員、各部門代表等）提供1SO/IEC 27001基礎培訓，通過短期學習，幫助大家掌握ISO/IEC 27001標準的精髓，理解自身角色和責任，從而在ISMS項目實施過程中起到應有的作用。

（3） ISMS實施培訓。組織可以向ISMS項目的核心人員提供ISMS實施方法的培訓，包括風險評估方法、策略制定方法等，目的在于協作配合，共同推動ISMS項目有序且順利地進行。

（4） 信息安全綜合技能培訓。為了讓ISMS能夠長期穩定地運行下去，組織可以為相關人員提供信息安全操作技能的培訓，目的在于提高其運營ISMS的技術能力，掌握處理問題的思路和方法。

5.2 建立符合企業需求的ISMS，保障體系順利落地

（1） 根據業務需求明確ISMS范圍。范圍的界定要從組織的業務出發，通過分析業務流程（尤其是核心業務），找到與此相關的人員、部門和職能，然后確定業務流程所依賴的信息系統和場所環境，最終從邏輯上和物理上對ISMS 的范圍予以明確。需要注意的是，組織確定的ISMS 范圍，必須是適合內外部客戶所需的，且包含了與所有對信息安全具有影響的合作伙伴、供貨商和客戶的接觸關系。為此，組織應該通過合同、服務水平協議 （SLA）、諒解備忘錄等方式來說明其在與合作伙伴、供貨商以及客戶接觸時實施了信息安全管理。

（2） 利用客觀風險評估工具。風險評估應盡可能采用客觀的風險評估工具，保證評估的準確、翔實。有效利用各種工具，可以幫助評估者更準確更全面地采集和分析數據，提升工作的自動化水平，并且最大程度上減少人為失誤。當然，風險評估工具并不局限于完全技術性的產品，事實上很多評估工具都是評估者經驗積累的成果，如調查問卷、掃描工具、風險評估軟件等。

（3） 構建合理的ISMS文件體系。文件首先應該符合業務運作和安全控制的實際情況，應該具有可操作性；不同層次的文件之間應該保持緊密關系并且協調一致，不能存在相互矛盾的地方；編寫ISMS文件時，除了依據標準和相關法律法規之外，組織還應該充分考慮現行的策略、程序、制度和規范，有所繼承，有所修正。

6 結 論

企業的生存和發展，有賴于企業各項業務、管理活動的健康有序的進行，而信息化是企業一切業務、管理活動所依賴的基礎。信息系統是否能夠穩定、可靠、有效運作，直接關系到企業各項業務活動是否能夠持續。因此，我們要對信息系統的保密性、完整性、可控性、可用性等提出全面具體的要求，建立持續改進的信息安全體系運行機制。在信息安全體系的全面應用過程中，必須重點關注以下重要事項：安全策略、目標和活動應該反映業務目標；實施信息安全的方法應該與組織的文化保持一致；來自高級管理層的明確的支持和承諾；向所有管理者和員工有效地推廣安全意識；提供適當的培訓和教育。

主要參考文獻

[1] 王斌君. 信息安全管理體系[M]. 北京：高等教育出版社，2008.

[2] 謝宗曉. 信息安全管理體系應用手冊[M]. 北京：中國標準出版社，2008.

[3] 魏軍. 信息安全管理體系審核指南[M]. 北京：中國標準出版社，2012.