論信息安全管理體系的構建

◆孫 琳 于 洋

（北京市南水北調信息中心 北京 100195）

論信息安全管理體系的構建

◆孫 琳 于 洋

（北京市南水北調信息中心 北京 100195）

隨著信息技術應用范圍的不斷擴大，公眾對于信息安全的關注日益增加，而構建完善的信息安全管理系統已經成為當務之急。本文將針對信息安全管理的構建進行研究，分析其框架構成，在此基礎上理清構建思路和實施保障等問題，為信息安全管理體系的進一步完善提供可行的理論支持。

信息安全；管理體系；構建優化

0 引言

信息安全管理框架的構成需要遵循一定的流程，不同組織環節需要針對自身情況，構建起與相關業務相適應的信息框架，以保障其穩定性和安全性。在信息傳輸過程中，需要以ISMS框架為基礎，并構建與之相匹配的文件、文檔管理模式，對信息安全框架內出現的各種風險隱患、安全事件等做出詳細記錄，構建起信息反饋制度，完善其反饋流程。

1 信息安全管理體系框架的構成

1.1 定義信息安全政策

由于組織規模不同，在信息安全政策的制定上也有一定差異。如果組織規模有限，則單一安全政策就能滿足其管理需求，并在內部各部門通用。如果規模組織較大，則需要根據不同部門實際情況執行差異化安全政策。如果組織屬于集團化管理模式，則需要制定政策叢書，以此適應不同管理部門、分支機構的信息安全需求。但是無論的何種形式的安全政策，都需要體現出簡潔性、邏輯性和執行性，能夠直奔主題不受中間環節干擾，構建起以安全政策為核心的信息管理框架。在實施過程當中，需要將安全政策作為主導方針，并形成書面格式下發給工作人員，針對相關人員進行政策指導培訓，對于信息安全負責人員則需要進行強化培訓，從而使組織人員對安全方針有全面把握。

1.2 定義ISMS范圍

在組織內部界定ISMS框架范圍，其范圍界定主要以組織現有結構為依據，并根據實際情況進行調整。只有建立起覆蓋層面完善的ISMS構架范圍，才能將信息安全管理落實到位。因此，在安全定義環節，需要將信息安全環境進行領域劃分，從而使不同領域具備與之相適應的安全管理規范。

1.3 實施信息安全評估

在信息安全評價中，其流程取決于風險敏感系數，因此在評價方式的選擇上需要與信息風險監測相一致，具體實施方式有三種：

（1）對基本風險進行評估。根據風險標準對組織內信息風險進行評價，在評價標準中，列舉了常見信息風險及其管理要點，這些要點針對一般性信息安全評價具有較高的適應性。但是不同組織需要根據自身信息管理特點靈活調整。如果安全等級所設置的條件過高，那么常規監管措施、實施成本也將相對增加，同時影響常規操作效率。但是，如果評估標準過低，又會影響信息安全管制力度。此外，還會造成信息安全與調度方面出現問題。因此，在信息系統做出升級、調整、優化的同時，難以實現信息安全的預期要求。

（2）風險細化評估。也就是首先對信息內容做出細化歸納，并對其進行賦值，其后根據信息類型進行風險分析。信息風險細化分解能夠降低信息系統的脆弱性，并根據既有風險為未來信息安全框架的構架提供支持。組織內部的信息安全評價越完善，其安全需求方向也會更清晰。與風險基本評價模式相比，風險的細化評價將更有利于節約時間成本和人力物力，必要時可以引入外部技術支持以保證評價結構的科學性和客觀性。

（3）細化風險與基本風險評價相融合。首先以一般信息安全評價對體系內的信息風險進行發掘和篩選，從而確定核心信息的安全性。其后將信息體系之內的數據進行劃分，一類為常規信息，一類為特殊信息，兩者要區分對待。對于特殊信息的安全評價需要制定相應的、有針對性的方法，而一般信息則可以采用常規安全評價模式。兩者相結合能夠實現組織資源應用效率的最大化，但是其中也有一些缺陷存在。如果對于關鍵性信息的風險把握不足、判斷失誤，則會造成評估結構失真，對組織信息安全造成嚴重影響，信息安全將難以得到保障。在信息安全評價時，需要將多種后果進行綜合考察，尤其是針對ISMS范圍之內的信息做出科學評價，對于風險威脅以及系統脆弱性進行綜合評價，對既有安全監管措施做出鑒定。

1.4 信息安全管理

在實施風險轉嫁之前，首先需要對采取一定措施，盡量減少風險影響。一些風險是可以規避的，例如利用技術優化、調整操作程序等技術手段就可以實現。一般情況下，只有在風險確定不可回避、無法降低的情況下，才會考慮風險轉嫁問題。通常來說，風險轉嫁應用在低概率風險事件中，尤其是能夠對組織整體運行構成重大影響風險，會考慮采取風險轉嫁模式。組織出于技術條件限制或者經濟條件制約，需要慎重選擇這一安全管理模式。

1.5 確定管理目標及管制措施

在信息安全管理措施的制定中，核心原則在于成本必須低于風險損失。但是還需要注意到，有些特殊的風險后果并不是在經濟控制范圍之內，如商譽損失。信息安全始終處于動態管理體系下，管理人員需要根據管理目標、實施措施等對其進行動態調整和檢驗，從而使其與動態發展需求相匹配，進一步發揮信息安全管理的重要作用。

1.6 信息安全適用性申明

該申明能夠有效記錄信息風險的管控目標，并針對不同信息風險類型制定相應的管理對策。該申明的準備能夠明確組織人員對于信息安全、風險防御的態度，而最為明顯的作用則在于對外部環境出示其信息安全態度和行為，從而使外界環境對其信息系統的安全性、穩定性、防御性有更全面的認識，將框架之內的防線管理控制在最低限度范圍。

2 信息安全管理體系構架的實現

2.1 建立ISMS管理框架

信息安全管理體系的構建，首先需要具備完善的ISMS框架。在具體操作過程中，需要兼顧多方因素。譬如落實框架的成本，其中包括培訓成本和報告成本，盡量協調原有工作慣性與管理框架的沖突，實現部門之間的協調合作等。

2.2 建立ISMS文檔并實現規范化管理ISMS框架的構建與實施，需要有相關文檔、文件為基礎。譬如在ISMS框架內，需要對文檔內容、框架等進行梳理和總結，其中包括了信息政策、管理目標以及申明措施等。明確ISMS框架的管制流程，明確具體操作過程，其中包括了IT服務、系統監管、管理人員配置、用戶終端管理、相關人員責任等多種事項。文檔存儲形式較為多樣，但是需要對其類型和等級進行嚴格區分。同時還需要以未來信息認證、信息系統升級為目標，構建起適于第三方進行訪問的文檔類型。信息管理人員需要對文檔實施嚴細化管理，結合業務范圍變化，對文檔信息進行修訂和歸納，如果一些文檔已經與信息安全政策產生沖突，或者不再具備相應效能，則需要對其進行及時清理。處于知識產權考慮，還可以將文檔進行確定，其后保留。

2.3 安全事件記錄、回饋

在ISMS框架當中，需要對可能威脅信息安全的事件作出詳細記錄。該記錄能夠為組織制定安全政策、采取信息安全措施等提供必要依據。在事件記錄中需要調理清晰，能夠準確反映管理人員的具體活動和措施。對于安全記錄需要拓展保存，以書面或者電子文檔形式進行儲存，以便日后查詢或者作為補充材料使用。國家信息安全部已經出臺了信息安全管理標準，但是這些標準多數屬于原則性建議。而將這些建議結合自身情況進行落實，從而構建起與組織發展相適應的ISMS框架才是當務之急，同時也是工作的重點和難點。在信息安全管理體系的構建中，需要體現以人為本的管理理念，因為管理理念、信息素養、管理水平、管理決策都會對信息安全造成決定性影響，而這些因素的主導核心在于“人”，這就需要組織重視信息管理人員的專業素質，強化其安全管理意識，在信息安全框架的構建中體現出便捷化、精準化、安全化、靈活化的特點。

3 結語

ISMS信息安全管理體現出目標疊加的典型特點，是基于信息技術不斷發展完善之上的，呈現出動態化、閉環式管理特征。信息安全管理體系的構建，需要從安全評價、信息風險防御、監督監管、信息反饋等多個層面進行，需要建立起從上而下的監督監管體制，否則，信息安全管理體系將流于形式化，難以起到真正的控制管理目的。

[1]徐東華，封化民.信息安全管理的概念與內容體系探究[J].現代情報，2013.

[2]成芳.信息安全管理體系標準（ISO27001）對我們的幫助[J].中國標準化，2014.

[3]程秀權.信息安全管理體系建設研究[J].電信網技術，2013.