【正文】 業(yè)的不同部分、不同方面定義不同的 ISMS，例如，可以為公司與合作商的特定貿(mào)易關(guān)系定義一個信息安全管理系統(tǒng)。 (4) 能夠向政府及行業(yè)主管部門證明企業(yè)對相關(guān)法律法規(guī)的符合性。 信息安全管理的實施要點 100 1. 加強(qiáng)審計管理 對信息系統(tǒng)中的所有資源 (包括服務(wù)、文件、數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、安全設(shè)備等 )進(jìn)行安全審計，記錄所有發(fā)生的事件，以提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。 加強(qiáng)思想教育和安全業(yè)務(wù)培訓(xùn)，不斷提高員工的思想素質(zhì)和技術(shù)水平。 111 BS 7799是世界上影響最深、最具代表性的信息安全管理體系標(biāo)準(zhǔn)，分為兩個部分，即信息安全管理實施細(xì)則 (BS 77991)和信息安全管理體系規(guī)范 (BS 77992)。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1乍見翻疑夢，相悲各問年。 23:17:0823:17:0823:173/8/2023 11:17:08 PM 1成功就是日復(fù)一日那一點點小小努力的積累。 下午 11時 17分 8秒 下午 11時 17分 23:17: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 下午 11時 17分 :17March 8, 2023 1業(yè)余生活要有意義，不要越軌。 :17:0823:17:08March 8, 2023 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 11時 17分 :17March 8, 2023 1少年十五二十時，步行奪得胡馬騎。 下午 11時 17分 8秒 下午 11時 17分 23:17: 沒有失敗，只有暫時停止成功！。 23:17:0823:17:0823:173/8/2023 11:17:08 PM 1以我獨沈久，愧君相見頻。 110 信息系統(tǒng)的主要安全因素包括資產(chǎn)、威脅、脆弱性、意外事件影響、風(fēng)險和保護(hù)措施等，這些因素之間相互影響而存在。 在人事審查和錄用，崗位和職員范圍的確定，人事檔案管理，工作評價，人員的提升、調(diào)動、免職等方面要有具體的管理措施。 99 要有效地保護(hù)信息系統(tǒng)的安全，涉及到信息系統(tǒng)研制單位、信息化應(yīng)用工程建設(shè)單位、乃至國家有關(guān)主管部門共同實施的大問題，需要在立法、行政、技術(shù)三方面采取綜合措施。 (2) 定期監(jiān)督審核能加強(qiáng)系統(tǒng)的安全性，減少系統(tǒng)故障和潛在的風(fēng)險隱患，節(jié)約資源。 信息安全管理體系可以定義在組織的整個信息系統(tǒng)中，也可以是信息系統(tǒng)的某些部分， 95 或者是一個特定的信息系統(tǒng)，包括處理、存儲和傳輸數(shù)據(jù)所用到的相應(yīng)的資產(chǎn)、系統(tǒng)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)與技術(shù)等。因為信息安全是一個動態(tài)的系統(tǒng)工程，組織應(yīng)實時地對選擇的控制目標(biāo)和控制措施進(jìn)行驗證和調(diào)整，以應(yīng)對不斷變化的情況，使信息資產(chǎn)得到有效的、經(jīng)濟(jì)的、合理的保護(hù)。 風(fēng)險評估主要對 ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價，然后資產(chǎn)所受的威脅、脆弱性及威脅發(fā)生后對組織的影響進(jìn)行評估， 90 同時對已存在的或規(guī)劃中的安全措施進(jìn)行鑒定，用以識別目前面臨的風(fēng)險及風(fēng)險等級。 信息安全方針是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分別制定不同的信息安全方針。當(dāng)然，標(biāo)準(zhǔn)中的控制目標(biāo)、控制措施的要求并非信息安全管理的全部，一個組織可以根據(jù)需要額外考慮另外的控制目標(biāo)和控制措施。《信息技術(shù) — 安全技術(shù) — 信息安全管理體系要求》(GB/T 22080— 2023) SP 800 系列不僅支撐美國信息安全方面的法律法規(guī)，而且對 FIPS 標(biāo)準(zhǔn)也提供了支撐。它對計算機(jī)安全進(jìn)行了概括性描述，以幫助讀者理解計算機(jī)安全需求，并制定出一種選擇適當(dāng)安全控制的良好方法。SP 80026《 IT系統(tǒng)安全自我評估指南》 SP 800系列主要關(guān)注計算機(jī)安全領(lǐng)域的一些熱點研究， 73 介紹信息技術(shù)實驗室 (ITL， Information Tech. Lab.)在計算機(jī)安全方面的指導(dǎo)方針、研究成果以及與工業(yè)界、政府、科研機(jī)構(gòu)的協(xié)作情況等。ISO/IEC 13335— 1:1996《 IT安全的概念與模型》； ISO/IEC 27004:2023《信息技術(shù) — 安全技術(shù) — 信息安全管理測量與指標(biāo)》； 2023年 7月，為了和 27000系列保護(hù)統(tǒng)一， ISO將ISO/IEC 17799:2023正式更改編號為 ISO/IEC 27002:2023。ISO/IEC 27001:2023基本上與 BS 77992一致，但做了以下修改： BS 77991:1999與 BS 77992:1999是一對配套的標(biāo)準(zhǔn)，其中BS 77991:1999對如何建立并實施符合 BS 77992:1999標(biāo)準(zhǔn)要求的信息安全管理體系提供了最佳的應(yīng)用建議。信息安全保障體系則是保障信息安全管理各環(huán)節(jié)、各對象正常運作的基礎(chǔ)，在信息安全保障過程中，要實施信息安全工程。保護(hù)措施可為：訪問控制機(jī)制、防病毒軟件、加密、數(shù)字簽名、防火墻、監(jiān)控和分析工具、備用電源以及信息備份等。 51 (5) 安全風(fēng)險。操作錯誤和疏忽類型的威脅 (例如數(shù)據(jù)文件的誤刪除、誤存和誤改、磁盤誤操作等 )。自然威脅有地震、雷擊、洪水、火災(zāi)、靜電、鼠害和電力故障等。 主要包括： 45 ⑩ 管理與技術(shù)并重原則。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不利的社會影響。 ③ 全員參與原則。 (8) 保證維護(hù)支持。在一個有效的信息安全管理體系中，通過完善信息安全管理結(jié)構(gòu)，綜合應(yīng)用信息安全管理策略和信息安全技術(shù)產(chǎn)品，才有可能建立起一個真正意義上的信息安全保障體系。 36 報告將事故性質(zhì)確定為一起因列控中心設(shè)備存在嚴(yán)重設(shè)計缺陷、上道使用審查把關(guān)不嚴(yán)、雷擊導(dǎo)致設(shè)備故障后應(yīng)急處置不力等因素造成的責(zé)任事故。 33 另一起事故是 2023年 7月 23日，甬溫線浙江省溫州市境內(nèi)，由北京南站開往福州站的 D301次列車與杭州站開往福州南站的 D3115次列車發(fā)生動車組列車追尾事故，造成 40人死亡、172人受傷，中斷行車 32小時 35分，直接經(jīng)濟(jì)損失 萬元。 當(dāng)今組織的信息系統(tǒng)面臨著計算機(jī)欺詐、刺探情報、陰謀破壞、火災(zāi)、水災(zāi)等大范圍威脅， 30 又面臨著計算機(jī)病毒、計算機(jī)攻擊和黑客非法入侵等破壞，而且隨著信息技術(shù)的發(fā)展和信息應(yīng)用的深入，各種威脅變得越來越錯綜復(fù)雜，各種信息安全事故層出不窮。 (4) 信息安全風(fēng)險評估工作已經(jīng)得到重視和開展。 2023年 7月，國務(wù)院信息化領(lǐng)導(dǎo)小組第三次會議上專題討論并通過了《關(guān)于加強(qiáng)信息安全保障工作的意見》，同年 9月，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 (2023[27]號文件 )。 17 我國作為發(fā)展中國家，工業(yè)化處于中期發(fā)展階段，只有通過發(fā)展信息化帶動工業(yè)化，并實現(xiàn)二者之間的有效融合，把中國工業(yè)化提高到廣泛采用信息智能工具的水準(zhǔn)上來，才能加快我國工業(yè)化進(jìn)程，提高我國產(chǎn)業(yè)的國際競爭力，更好地參與國際經(jīng)濟(jì)競爭。用戶數(shù)據(jù)大規(guī)模集中泄露對中國互聯(lián)網(wǎng)的信息安全漏洞敲響了警鐘。在垃圾郵件和惡意黑客面前， iPad和所有其他無線平板電腦買家可能變得相當(dāng)脆弱。由于計算機(jī)的開放性和標(biāo)準(zhǔn)化等結(jié)構(gòu)特點，使計算機(jī)信息具有高度共享和易于擴(kuò)散等特性，從而導(dǎo)致計算機(jī)信息在處理、存儲、傳輸和應(yīng)用過程中很容易被泄露、竊取、篡改和破壞，或者受到計算機(jī)病毒的感染。只有將有效的安全管理從始至終貫徹落實到信息安全建設(shè)的各個方面，信息安全的有效性和長期性才能得到保障。但是僅僅依靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進(jìn)、數(shù)量足夠多的信息安全產(chǎn)品，如防火墻、防病毒、入侵檢測、漏洞掃描等，仍然無法避免一些安全事件的發(fā)生。 信息安全管理涉及信息安全的各個方面，包括制定信息安全政策、風(fēng)險評估、控制目標(biāo)和方式選擇、制定規(guī)范的操作流程、對人員進(jìn)行安全意識培訓(xùn)等一系列工作。 2023年 7月，一臺可能儲存有 軍人個人信息的臺式電腦在退伍軍人事務(wù)部的分包商優(yōu)利公司的一處辦公室內(nèi)被盜，電腦中存有退伍軍人的個人姓名、住址、社會安全號碼、出生日期、投保的保險公司及有關(guān)索賠信息等。我國目前的網(wǎng)絡(luò)安全現(xiàn)狀令人擔(dān)憂，有些單位和組織根本沒有意識到網(wǎng)絡(luò)安全的重要性，即使是對外宣稱采用了安全防范措施的單位，實際上也有許多安全隱患。報告同時指出，目前發(fā)達(dá)國家政府普遍在加強(qiáng)網(wǎng)絡(luò)安全管理，如美國政府出臺《加強(qiáng)網(wǎng)絡(luò)安全法案》等相關(guān)網(wǎng)絡(luò)安全法律文件，推進(jìn)網(wǎng)絡(luò)安全立法，并推出“完美公民”計劃，擬建立全美聯(lián)網(wǎng)監(jiān)控體系以對抗網(wǎng)絡(luò)犯罪； 14 歐盟正式發(fā)布《歐洲數(shù)字化議程》五年規(guī)劃，提出增強(qiáng)網(wǎng)絡(luò)安全相關(guān)舉措；瑞典政府?dāng)M設(shè)國家信息技術(shù)安全中心，以應(yīng)對網(wǎng)絡(luò)攻擊及處理信息技術(shù)案件；日本政府批準(zhǔn)制定“保護(hù)國民信息安全戰(zhàn)略”，加大監(jiān)管力度，構(gòu)筑安全網(wǎng)絡(luò)社會；新加坡信息通信發(fā)展管理局通過制定新準(zhǔn)則、加強(qiáng)信息分析能力以及提高公民網(wǎng)絡(luò)安全意識來加強(qiáng)新加坡網(wǎng)絡(luò)安全；澳大利亞啟動國家計算機(jī)應(yīng)急響應(yīng)官方機(jī)構(gòu)CERT Australia，支持政府打擊網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義威脅。 18 經(jīng)過幾年的發(fā)展，我國信息安全管理的成績可以總結(jié)為以下幾點： (1) 初步建成了國家信息安全組織保障體系。 23 (2) 制定了一系列必需的信息安全管理法律法規(guī)。同時在 2023年和 2023年分別發(fā)布了 2項關(guān)于風(fēng)險評估的標(biāo)準(zhǔn)：《信息安全風(fēng)險評估規(guī)范》 (GB/T 20984— 2023)、《信息安全風(fēng)險管理指南》 (GB/Z 24364—2023)。管理上的缺陷往往是造成事故的最重要的因素，應(yīng)該引起我們的高度重視。當(dāng)溫州南站列控中心采集驅(qū)動單元采集電路電源回路中保險管 F2遭雷擊熔斷后，采集數(shù)據(jù)不再更新，錯誤地控制軌道電路發(fā)碼及信號顯示，使行車處于不安全狀態(tài)。與 20多年前大型計算機(jī)要受到嚴(yán)密看守，由技術(shù)專家管理的情況相比，今天計算機(jī)技術(shù)已唾手可得，無處不在。 (3) 實施風(fēng)險管理。 (11) 人員安全管理等。按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)系的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實現(xiàn)安全保障目標(biāo)的有效性的效率。任何實體 (例如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng) )僅享有該實體需要完成其任務(wù)所必需的權(quán)限，不應(yīng)享有任何多余權(quán)限。對信息系統(tǒng)安全實行自保護(hù)和國家監(jiān)管相結(jié)合。硬件資產(chǎn) (例如各種計算機(jī)設(shè)備、通信設(shè)施、存儲媒介等 )。人員。 49 50 (3) 脆弱性。另外，由于保護(hù)措施的局限性，信息系統(tǒng)總會面臨或多或少的殘留風(fēng)險，組織或機(jī)構(gòu)應(yīng)考慮對殘留風(fēng)險的接受程度。信息安全管理模型如圖 53所示。英國標(biāo)準(zhǔn)協(xié)會 (BSI)最早于 1995年發(fā)布了《信息安全管理實施細(xì)則》 (BS 77991:1995)，它為信息安全提供了一套全面綜合最佳實踐經(jīng)驗的控制措施，其目的是將信息系統(tǒng)用于工業(yè)和商業(yè)用途時，為確定實施控制措施的范圍提供一個參考依據(jù)，并且能夠讓各種規(guī)模的組織所采用。 61 2023年 6月， ISO/IEC 17799:2023升級為 ISO/IEC 17799:2023，主要增加了“信息安全事件管理”這一安全控制區(qū)域。一個明確定義的風(fēng)險分析方法。截止 2023年 6月，包括上面提到的 ISO/IEC 27001和 ISO/IEC 27002，共發(fā)布了以下 9項標(biāo)準(zhǔn)： ISO/IEC 27011:2023《信息技術(shù) — 安全技術(shù) — 電信機(jī)構(gòu)基于 ISO/IEC 27002的信息安全管理指南》； ISO/IEC 13335— 4:2023《安全措施的選擇》； NIST SP 800系列成為了指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。SP 80053《聯(lián)邦信息系統(tǒng)推薦安全控制》 75 SP 800系列技術(shù)指南可以劃分為 17個族類型，包括訪問控制、審計 可核查性、意識 培訓(xùn)、認(rèn)證認(rèn)可 安全評估、配置管理、應(yīng)急規(guī)劃、標(biāo)識 鑒別、事件響應(yīng)、維護(hù)、媒體保護(hù)、人員安全、物理 環(huán)境保護(hù)、規(guī)劃、風(fēng)險評估、系統(tǒng) 通信保護(hù)