上一篇文章是关于风险评估实施的安全标准。看到有人留言,怀疑我冒充小师妹。我认为没有必要冒充。我视其为兄弟,不吝赐教。我身边的一个朋友常说“做人最重要的是快乐”。我有这个态度。在学习的同时可以学到自己感兴趣的东西并输出一些东西,可以和大家交流,互相帮助,开心就好。讲标准本身的目的就是为了普及标准,让大家一看就懂,但是由于本人水平有限,内容难免有些不尽如人意。今天要和大家聊的是信息安全管理体系的标准《GB/T 31496-2015 信息技术 安全技术信息安全管理体系实施指南》。一、标准简介本标准实际上是国际标准ISO/IEC27003:2010的中文译本,并没有太大改动。主要用于指导信息安全管理的过程,将信息资产的风险控制在组织可接受的水平内。在安全范围内。本标准与其他8项标准共同构成信息安全管理体系标准族(简称ISMS标准族),具体如下:通常,ISMS的实施作为一个单独的项目进行。既然是一个项目,大家应该都知道,一个项目的启动,需要在前期进行详细的策划、协调和相关领导的审批。这是第一阶段,剩下的阶段我们以后再详细说。无论是大型组织还是小型企业,在做ISMS项目时都可以参照这个标准来执行。提及此标准时,建议将其与ISMS标准系列的其他几个标准一起使用。2、ISMS的实施阶段从项目实施的角度来看,它包括五个阶段:当然,每个阶段都会涉及到相关文件的输出。不管是什么项目,都应该如此。下面会讲到每个阶段需要做什么,需要输出什么样的文件(一个项目要输出的文件真的很多)。(1)获得领导对ISMS项目的认可现阶段是让领导了解实施ISMS项目的必要性和可以带来的好处,通过创建业务案例和制定初步项目计划获得领导的认可。总的来说,这个阶段要做的事情分为三个步骤,如下图所示:1.明确组织发展ISMS的优先级。通俗地说,就是让领导知道为什么要做这个ISMS项目,对公司有好处。它带来了什么价值。阐述的时候,***把这些问题搞清楚就差不多了。风险管理——ISMS如何更好地管理信息安全风险?效率——ISMS如何改进信息安全管理?业务优势——ISMS如何为组织创造竞争优势?2、初步制定ISMS的范围和作用(1)ISMS范围的初步制定ISMS范围的确定实际上与上述三个问题有关,一般从以下八个因素考虑:a)关键业务领域和组织领域:什么是关键业务领域和关键组织领域?组织哪些领域提供这项业务,重点是什么?第三方关系及其协议是什么?有外包服务吗?b)敏感或有价值的信息:哪些信息对组织至关重要?如果某些信息泄露给未授权方,可能会产生什么后果(例如,竞争优势丧失、品牌或声誉受损、法律诉讼等)?c)要求信息安全措施的相关法律:哪些法律适用于组织的风险处理或信息安全?该组织是否属于必须向外部报告财务的全球公共组织?d)与信息安全相关的合同或组织协议:数据存储的要求是什么,包括保留期限?是否存在任何隐私或质量问题?相关合同要求(例如,服务水平协议-SLA)?e)指定特定信息安全控制的行业要求:哪些行业特定要求适用于组织?f)威胁环境:需要什么类型的保护,需要解决什么问题?有哪些威胁?需要保护的具体信息类别是什么?需要保护的具体信息活动类型有哪些?g)竞争动态:信息安全的最低市场要求是什么?提供竞争优势?h)业务连续性要求:关键业务流程是什么?对于每个关键业务流程,组织可以容忍中断多长时间?如果回答了这些问题,那么ISMS的范围将被初步确定。之后,需要输出一份初步的ISMS范围文件,包括:组织管理者对信息安全管理的指令概述,以及ISMS范围内的区域如何与其他管理体系相互作用的描述以及对组织施加的义务由外部各方组织。信息安全管理业务目标列表(对先前问题的回答)关键业务流程、系统、信息资产、组织结构和将应用ISMS的地理位置列表现有管理系统、法规、合规性和组织目标之间的关系业务、组织(2)初步制定ISMS范围内的角色和职责根据企业的规模,角色和职责的划分可能会有所不同,因为对于稍微小一点的企业来说,没有一个人一个人-岗位条件,一般是一人身兼数职,但如CISO、CIMO等负责整个信息安全管理的角色还是需要设置的,然后其他岗位的设置根据员工的角色和职责进行分配工作内容所需的技能。举例说明一个完整的ISMS项目中的角色和职责:(图片来自标准)3.创建业务案例和项目计划前两步完成后,就可以开始创建业务案例和项目计划了。这两件事是领导同意执行项目的关键,一定要做好;项目计划包括上述五个阶段的相关活动,也就是我们今天要说的大致内容。实施ISMS的业务案例需要涵盖以下主题:目的和具体目标;组织利益;初始ISMS范围,包括受影响的业务流程;实现ISMS目标的关键过程和因素;高级项目概述;初步实施计划;明确的角色和职责;所需资源(技术和人力);实施方面的考虑,包括现有的信息安全;具有关键里程碑的时间表;预期成本(重要);关键成功因素;组织效益的量化。4、现阶段要输出的文件(2)制定ISMS范围和方针根据初步的ISMS范围和组织内的关键信息资产,确定详细的ISMS范围和边界,制定ISMS方针。1.制定ISMS范围和边界(1)定义组织的范围和边界。组织的范围和边界已经基本确定。边界主要是为了便于组织内部的验证和识别不重叠的责任区域。需要考虑的因素是:ISMS管理论坛应由直接参与ISMS范围的管理人员组成;ISMS的管理成员应该是对所有受影响的责任领域最终负责的人(即,他们的角色通常由他们跨越的控制和职责指定));当负责管理ISMS的角色不是最高管理层时,最高发起人基本上代表信息安全的利益,并在组织的最高级别充当ISMS倡导者;需要定义范围和边界,以确保在风险评估中考虑所有相关资产,并突出显示这些边界上可能发生的风险。(2)界定信息和通信技术(ICT)的范围和边界;ICT范围和边界的定义可以通过信息系统方法(而不是基于IT技术)获得,如果信息系统的业务过程也包含在ISMS范围内,那么还要考虑所有相关的ICT要素,包括:所有存储、处理或传输关键信息、资产和ISMS范围内对这些组织部分至关重要的其他要素的组织部分。需要考虑的因素有:社会和文化环境;适用于组织的法律、法规和合同要求;关键职责的可验证性;技术限制(例如,可用带宽和服务可用性等)。考虑到上述考虑,ICT边界应包括以下描述(如适用):组织负责管理的通信基础设施,包括不同技术的使用(例如无线、有线或数据/语音网络);组织边界和控制范围内的软件;网络、应用程序或生产系统所需的ICT硬件;与ICT硬件、网络和软件相关的角色和职责。(3)物理范围和边界的定义物理是指属于ISMS的各个部门内的建筑物、场所或设施,这是不言而喻的。(4)整合各个范围和边界通过整合各个范围和边界(上面提到的三个)得到ISMS的范围和边界,例如可以选择数据中心或办公室等物理位置,列出一些关键流程(例如移动访问中央信息系统);这些关键过程中的每一个都涉及一些外部域,数据中心可以将这些外部域变成范围内域。(通俗点说,这种融合就像建立关系,你认识我,我认识小二,通过我,你和小二认识,我们三个人在同一个朋友圈。)2。制定ISMS政策并获得领导批准在定义ISMS政策时,应考虑以下方面:根据组织要求和信息安全优先级建立ISMS目标;建立一般关注点和行动指南以实现ISMS目标;考虑组织的信息安全要求、法律、法规或条例以及合同义务;组织内风险管理的背景;建立评估风险的标准并定义风险评估结构;阐明最高管理层对ISMS的责任;获得管理层的批准。3、现阶段需输出的文件(3)信息安全需求分析识别信息资产,了解ISNS范围内这些信息资产的信息安全状况。我们在分析信息安全时,首先需要收集的信息包括:正确的基础数据;识别并记录实施ISMS的条件;提供清晰且易于理解的组织设施;考虑组织的特殊情况和地位;所需的信息保护级别;在提议的实施范围内,确定部分或全部企业所需的信息编辑。在这个阶段,我们需要将其分为三个步骤,如下图所示:1.定义ISMS过程的信息安全需求在定义ISMS过程的信息安全需求时,应该围绕ISMS过程的重要性来定义信息。:初步识别重要信息资产和当前信息安全保护措施;识别组织的愿景,并确定所识别的愿景对未来信息处理要求的影响;分析信息处理、系统应用、通信网络、活动场所和IT资源等现状;确定所有基本要求(例如,法律法规要求、合同义务、组织要求、行业标准、客户和供应商协议、保险条件等);衍生出相应的培训和教育要求的运营和管理单位。2.识别ISMS范围内的资产。这应该是最简单的步骤。把资产整理一下就好了,记得分类。在一个ISMS项目中,一些关键过程也需要写清楚,一般包括:过程的唯一名称;过程及其相关活动(创建、存储、传输和删除)的描述;重要性(关键、重要和支持);流程负责人(组织单位);从这个过程中提供输入和输出的过程;支持流程的IT应用程序;信息分类(机密性、完整性、可用性、访问控制、不可否认性和/或对组织有用的其他重要属性(例如,信息可以保存多长时间))。3、进行信息安全评估根据前两步得到的内容,将现有的信息安全水平与我们在第一阶段制定的组织目标进行比较,进行信息安全评估。信息安全评估的基本目的是以政策和指南的形式为管理体系提供支持。参与信息安全评估的人员应由了解当前环境、条件和信息安全相关事项的人员进行评估活动,(这一步主要是对整理出来的属于ISMS的信息资产进行脆弱性分析。对于漏洞分析,请参考之前关于风险评估的文章。)一个成功的信息安全评估应该采取以下措施:确定并列出相关的组织标准;确定已知的控制要求,这些要求通常来自政策、法律法规要求、合同义务、过去审计的结果或过去执行的风险评估的结果;粗略估算。4、现阶段要输出的文件(4)风险评估与策划风险处置本阶段相当于一个风险管理过程。详见ISO/IEC27005:2008InformationSecurityRiskManagement,这里也分为三个步骤实施:1.风险评估风险评估的方法这里不再赘述,这一步的目的是为了获得风险评估的结果。2、选择控制目标和控制措施这一步是根据风险评估的结果进行风险处理,选择合适的控制措施,制定风险处理方案。在降低风险的情况下,管理各风险与所选择的控制目标和控制措施之间的关系,有利于ISMS实施的设计。可以添加到描述风险与所选风险处理之间关系的列表中。当控制可能包含一些敏感信息时,生成的信息可用作资产定义期间创建ISMS的一部分。3、获得领导授权相当于经过前面四个阶段的工作,将获得的数据和形成的文件交给领导,说明ISMS项目中可能存在的风险,领导接受剩余后签署授权决定风险文件。4、现阶段需要输出的文件(5)设计ISMS经过前面四个阶段的实施,最后就是设计ISMS项目实施方案。在设计ISMS时,考虑四个方面:组织安全、ICT安全、物理安全和ISMS特定事项(包括监视;测量;内部ISMS审核;培训和意识;安全事件管理;管理评审;ISMS改进)。1.组织信息安全设计组织信息安全:包括行政管理的信息安全,包括风险处置的组织运行责任。组织安全应该形成一组活动,这些活动会产生策略、目标、过程和程序,以解决和改进与组织需求和风险相关的信息安全。(1)设计信息安全的最终组织结构为ISMS设计的组织结构应反映ISMS实施和运行的活动,并强调活动的实施方法,如监视和记录方法,作为ISMS运行的一部分。具体的组织架构在第一阶段的角色职责制定中已经提到,不再赘述。(2)设计ISMS文件框架ISMS文件框架主要包括ISMS记录和文件。ISMS记录包括:建立一个框架来描述ISMS归档原则、ISMS文件结构、涉及的角色、数据格式和向管理者报告的渠道;设计文件要求;设计记录要求。ISMS文件应包括管理者决策的记录;为确保相关措施可追溯至管理者的决策和策略,记录的结果可重现,还必须对ISMS文件进行管理,管理手段为:建立ISMS文件管理管理程序;在发布之前获得文件的正式批准;确保确定文件的变更和当前修订状态;保护和控制文档作为组织的信息资产。(3)设计信息安全方针和政策信息安全方针和政策记录了组织的战略定位和整个组织的相关信息安全目标,是基于信息和知识制定的。在政策和战略中,还需要指出如果不遵循政策和政策的后果,同时强调影响组织解决问题的法律法规,拟议的政策和政策应在组织的相关人员之间进行沟通。政策要简明扼要,使相关人员能够理解政策的目的。此外,政策需要充分强调需要哪些目标来强调一组相关的监管和组织目标。对于大型和复杂的组织(例如,具有大量不同的操作域),可能有必要制定一个总体策略和操作适应的基本策略。(四)制定信息安全标准和程序。这些标准和规程基于对整个组织信息安全的强调,旨在为组织的信息安全工作提供合规性参考。制定信息安全标准和规程,成立小型编辑组,安排部分组织代表或专家参与,根据风险结果对现有信息安全标准和规程进行审查和修订评估。2.设计ICT安全和物理信息安全ICT安全:不仅是信息系统和网络,还有运营要求;物理信息安全:关于访问控制、不可否认性、信息资产的物理保护以及存储或保留什么的所有方面,还涉及保护手段本身的安全控制。设计ICT安全和物理信息安全是ISMS项目计划的一部分。在实施之前,应建立以下文件:[解释控制措施:为解决问题而采取的措施]首先,ICT安全和物理安全的概念设计(考虑因素是:控制目标的规范,工作量和资金的分配,时间ICT安全、物理安全和组织安全整合后的时间表、可选措施);实际设计(考虑的因素是:针对每个ICT域、物理域和组织域,设计所选的每个控制措施,实例化每个控制措施,提供相应的控制程序及其培训课程以提高安全意识和信息,在工作场所,提供协助和实施控制措施)。3.设计ISMS特定的信息安全(1)管理评审的策划ISMS活动的管理评审应从ISMS规范和业务案例开发的最早阶段开始,并继续对ISMS运行进行定期评审。为了计划审查,必须评估所涉及的角色,并向领导层提供有关审查过程的必要性和目的的足够数据。管理评审应基于ISMS测量结果和ISMS运行期间收集的其他信息。ISMS的管理活动使用此信息来确定ISMS的成熟度和有效性。同时,管理评审还应包括对风险评估方法和结果的评审,按计划的时间间隔进行,考虑到环境的所有变化,如组织和技术变化。内部ISMS审核应在执行管理评审之前进行计划。ISMS内部审核包括:控制目标、控制措施、ISMS过程和程序,看它们是否得到有效实施和保持。(2)设计信息安全意识、培训和教育方案。对于在ISMS项目中具有明确角色和职责的每个人,根据不同的角色进行相关技能的教育和培训,以确保他们能够执行所需的操作,并为实现ISMS目的做出贡献。信息安全意识培训和教育计划来源于安全培训和教育记录。应定期审查这些记录,以确保所有人员都接受了所需的培训,建议指定专人负责。也可设立信息安全培训小组,负责培训记录、培训资料的制作、管理和培训。培训内容应包括:信息安全的风险和威胁;基本信息安全术语;安全事件的明确定义:关于如何识别安全事件、如何处理和报告安全事件的指南;标准和程序;组织内与信息安全相关的职责和报告渠道;关于如何促进信息安全改进的指南;信息安全事件和报告指南;去哪里获取更多信息。4.生成最终的ISMS项目计划将我们上述各个阶段获得的文件和数据正式编制成详细的实施计划,并将每个阶段可能用到的实施工具和方法,也纳入项目计划中。当ISMS项目涉及组织内的许多不同角色时,需要将这些活动明确分配给相关责任方,并在项目早期和整个组织内进行沟通。***,最重要的是要保证每个负责项目的人都能分配到足够的资源。5、本阶段需要输出的文件汇总。这个安全管理项目应该算是一个比较庞大和复杂的项目。项目要想做好,首先要有优秀的顶层设计和良好的统筹规划(包括完善的组织架构),当然领导的全力支持也尤为重要。
