【正文】 綜合信息安全管理和技術(shù)手段的種方法ISMS足管理體系(MS)家族的一個成員圖2 1信息安全管理的內(nèi)容管理體系方法管理體系要求認證機構(gòu)和認證審核和審核員國際互認 第二章信息安全管理基礎(chǔ)第二節(jié) 信息安全管理實施過程PDCA模型 這是最早由美國質(zhì)量統(tǒng)計控制之父Shewhat(休哈特)提出的PDS( Plan Do See)演化而來，由美國質(zhì)量管理專家戴明改進成為PDCA模式，所以又稱為“戴明環(huán)”。 PDCA的含義如下：P(Plan)計劃；D(Design) 設(shè)計（原為Do，執(zhí)行）；C( Check) 檢查；A( Act) 修正，對總結(jié)檢查的結(jié)果進行處理，成功的經(jīng)驗加以肯定并適當推廣、標準化；失敗的教訓加以總結(jié)，未解決的問題放到下一個PDCA循環(huán)里。以上四個過程不是運行一次就結(jié)束，而是周而復始的進行，一個循環(huán)完了，解決一些問題，未解決的問題進入下一個循環(huán)，這樣階梯式上升。 一、P建立信息安全管理體系環(huán)境＆風險評估 要啟動PDCA循環(huán)，必須有“啟動器”：提供必須的資源、選擇風險管理方法、確定評審方法、文件化實踐。設(shè)計策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度，識別并評估所有的信息安全風險，為這些風險制定適當?shù)奶幚碛媱?。策劃階段的所有重要活動都要被文件化，以備將來追溯和控制更改情況。 1．確定范圍和方針 信息安全管理體系可以覆蓋組織的全部或者部分。無論足全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍，信息安全管理體系范圍文件應該涵蓋： 確立信息安全管理體系范圍和體系環(huán)境所需的過程；戰(zhàn)略性和組織化的信息安全管理環(huán)境；組織的信息安全風險管理方法；信息安全風險評價標準以及所要求的保證程度；信息資產(chǎn)識別的范圍，信息安全管理體系也可能在其他信息安全管理體系的控制范圍內(nèi)。在這種情況下，上下級控制的關(guān)系有下列兩種可能： 下級信息安全管理體系不使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制不影響下級信息安全管理體系的PDCA活動；下級信息安全管理體系使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制可以被認為是下級信息安全管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息安全管理體系的實施、檢查、措施活動，但是下級信息安全管理體系仍然有責任確認這些外部控制提供了充分的保護。安全方針是關(guān)于在一個組織內(nèi)，指導如何對信息資產(chǎn)進行管理、保護和分配的規(guī)則、指示，是組織信息安全管理體系的基本法。組織的信息安全方針，描述信息安全茌組織內(nèi)的重要性，表明管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。 23公務員網(wǎng)絡(luò)與信息安全教程 2定義風險評估的系統(tǒng)性方法 確定信息安全風險評估方法，并確定風險等級準則。評估方法應該和組織既定的信息安全管理體系范圍、信息安全需求、法律法規(guī)要求相適應，兼顧效果和效率。組織需要建立風險評估文件，解釋所選擇的風險評估方法、說明為什么該方法適合組織的安全要求和業(yè)務環(huán)境，介紹所采用的技術(shù)和工具，以及使用這些技術(shù)和工具的原因。評估文件還應該規(guī)范下列評估細節(jié)：a．信息安全管理體系內(nèi)資產(chǎn)的估價，包括所用的價值尺度信息；b．威脅及薄弱點的識別；c．可能利用薄弱點的威脅的評估，以及此類事故可能造成的影響；d．以風險評估結(jié)果為基礎(chǔ)的風險計算，以及剩余風險的識別。 3．識別風險 識別信息安全管理體系控制范圍內(nèi)的信息資產(chǎn)；識別對這些資產(chǎn)的威脅；識別可能被威脅利用的薄弱點；識別保密性、完整性和可用性丟失對這些資產(chǎn)的潛在影響。 4．評估風險 根據(jù)資產(chǎn)保密性、完整性或可用性丟失的潛在影響，評估由于安全失?。‵ailure）可能引起的商業(yè)影響；根據(jù)與資產(chǎn)相關(guān)的主要威脅、薄弱點及其影響，以及目前實施的控制，評估此類失敗發(fā)生的現(xiàn)實可能性；根據(jù)既定的風險等級準則，確定風險等級。 5．識別并評價風險處理的方汝 對于所識別的信息安全風險，組織需要加以分析，區(qū)別對待。如果風險滿足組織的風險接受方針和準則，那么就有意的、客觀的接受風險；對于不可接受的風險組織可以考慮避免風險或者將轉(zhuǎn)移風險；對于不可避免也不可轉(zhuǎn)移的風險應該采取適當?shù)陌踩刂?，將其降低到可接受的水平? 6．為風險的處理選擇控制目標與控制方式 選擇并文件化控制目標和控制方式，以將風險降低到可接受的等級。BS 77992：2002附錄A提供了可供選擇的控制目標與控制方式。不可能總是以可接受的費用將風險降低到可接受的等級，那么需要確定是增加額外的控制，還是接受高風險。在設(shè)定可接受的風險等級時，控制的強度和費用應該與事故的潛在費用相比較。這個階段還應該策劃安全破壞或者違背的探測機制，進而安排預防、制止、限制和恢復控制。在形式上，組織可以通過設(shè)計風險處理計劃來完成步驟5和6。風險處理計劃是組織針對所識別的每一項不可接受風險建立的詳細處理方案和實施時間表，是組織安全風險和控制措施的接口性文檔。風險處理計劃不僅可以指導后續(xù)的信息安全管理活動，還可以作為與高層管理者、上級領(lǐng)導機構(gòu)、合作伙伴或者員工進行信息安全事宜溝通的橋梁。這個計劃至少應該為每一個信息妄全風險闡明以下內(nèi)容：組 24 第二章信息安全管理基礎(chǔ)織所選擇的處理方法；已經(jīng)到位的控制；建議采取的額外措施；建議的控制的實施時間框架。 7．獲得最高管理者的授權(quán)批準 剩余風險( Residual Risks)的建議應該獲得批準，開始實施和運作信息安全管理體系需要獲得最高管理者的授權(quán)。 二、D實施并運行 PDCA循環(huán)中這個階段的任務是以適當?shù)膬?yōu)先權(quán)進行管理運作，執(zhí)行所選擇的控制，以管理策劃階段所識別的信息安全風險。對于那些被評估認為是可接受的風險，不需要采取進一步的措施。對于不可接受風險，需要實施所選擇的控制，這應該與策劃活動中準備的風險處理計劃同步進行。計劃的成功實施需要有一個有效的管理系統(tǒng)，其中要規(guī)定所選擇方法、分配職責和職責分離，并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動。 在不可接受的風險被降低或轉(zhuǎn)移之后，還會有一部分剩余風險。應對這部分風險進行控制，確保不期望的影響和破壞被快速識別并得到適當管理。本階段還需要分配適當?shù)馁Y源（人員、時間和資金）運行信息安全管理體系以及所有的安全控制。這包括將所有已實施控制的文件化，以及信息安全管理體系文件的積極維護。 提高信息安全意識的目的就是產(chǎn)生適當?shù)娘L險和安全文化，保證意識和控制活動的同步．還必須安排針對信息安全意識的培訓，并檢查意識培訓的效果，以確保其持續(xù)有效和實時性。如有必要應對相關(guān)方事實有針對性的安全培訓，以支持組織的意識程序，保證所有相關(guān)方能按照要求完成安全任務。本階段還應該實施并保持策劃了的探測和響應機制。 三、C監(jiān)視并評審 檢查階段： 又叫學習階段，是PDCA循環(huán)的關(guān)鍵階段，是信息安全管理體系要分析運行效果，尋求改進機會的階段。如果發(fā)現(xiàn)一個控制措施不合理、不充分，就要采取糾正措施，以防止信息系統(tǒng)處于不可接受風險狀態(tài)。組織應該通過多種方式檢查信息安全管理體系是否運行良好，并對其業(yè)績進行監(jiān)視，可能包括下列管理過程： (1)執(zhí)行程序和其他控制以快速檢測處理結(jié)果中的錯誤；快速識別安全體系中失敗的和成功的破壞；能使管理者確認人工或自動執(zhí)行的安全活動達到預期的結(jié)果；按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施；接受其他組織和組織自身的安全經(jīng)驗。 (2)常規(guī)評審信息安全管理體系的有效性；收集安全審核的結(jié)果、事故、以及來自所有股東和其他相關(guān)方的建議和反饋，定期對信息安全管理體系有效性進行評審。 25公務員網(wǎng)絡(luò)與信息安全教程 (3)評審剩余風險和可接受風險的等級；注意組織、技術(shù)、商業(yè)目標和過程的內(nèi)部變化，以及已識別的威脅和社會風尚的外部變化，定期評審剩余風險和可接受風險等級的合理性。 (4)審核是執(zhí)行管理程序、以確定規(guī)定的安全程序是否適當、是否符合標準、以及是否按照預期的目的進行工作。審核的就是按照規(guī)定的周期（最多不超過一年）檢查信息安全管理體系的所有方面是否行之有效。審核的依據(jù)包括BS 77992:2002標準和組織所發(fā)布的信息安全管理程序，應該進行充分的審核策劃，以便審核任務能在審核期間內(nèi)按部就班的展開。 信息安全方針仍然是業(yè)務要求的正確反映；正在遵循文件化的程序（信息安全管理體系范圍內(nèi)），并且能夠滿足其期望的目標；有適當?shù)募夹g(shù)控制（例如防火墻、實物訪問控制），被正確的配置，且行之有效；剩余風險已被正確評估，并且是組織管理可以接受的；前期審核和評審所認同的措施已經(jīng)被實施；審核會包括對文件和記錄的抽樣檢查，以及口頭審核管理者和員工。正式評審：為確保范圍保持充分性，以及信息安全管理體系過程的持續(xù)改進得到識別和實施，組織應定期對信息安全管理體系進行正式的評審（最少一年評審一次）。記錄并報眚能影響信息安全管理體系有效性或業(yè)績的所有活動、事件。 四、A改進 經(jīng)過了策劃、實施、檢查之后，組織在措施階段必須對所策劃的方案予以結(jié)論，是應該繼續(xù)執(zhí)行，還是應該放棄重新進行新的策劃？當然該循環(huán)給管理體系帶來明顯的業(yè)績提升，組織可以考慮是否將成果擴大到其他的部門或領(lǐng)域，這就開始了新一輪的PDCA循環(huán)。在這個過程中組織可能持續(xù)的進行以下操作： 測量信息安全管理體系滿足安全方針和目標方面的業(yè)績。識別信息安全管理體系的改進，并有效實施。采取適當?shù)募m正和預防措施。溝通結(jié)果及活動，并與所有相關(guān)方磋商，必要時修訂信息安全管理體系，確保修訂達到預期的目標。在這個階段需要注意的是，很多看起來單純的、孤立的事件，如果不及時處理就可能對整個組織產(chǎn)生影響，所采取的措施不僅具有直接的效果，還可能帶來深遠的影響。組織需要把措施放在信息安全管理體系持續(xù)改進的大背景下，以長遠的眼光來打算，確保措施不僅致力于眼前的問題，還要杜絕類似事故再發(fā)生或者降低其在發(fā)生的可能性。 不符合、糾正措施和預防措施是本階段的重要概念。 不符合：是指實施、維持并改進所要求的一個或多個管理體系要素缺乏或者失效，或者是在客觀證據(jù)基礎(chǔ)上，信息安全管理體泵符合安全方針以及達到組織安全目標的能力存在很大不確定性的情況。 糾正措施：組織應確定措施，以消除信息安全管理體系實施、運作和使用過程中不符合的原因，防止再發(fā)生。組織的糾正措施的文件化程序應該規(guī)定以下方面的要求： 26 第二章信息安全管理基礎(chǔ) 識別信息安全管理體系實施、運作過程中的不符合；確定不符合的原因；評價確保不符合不再發(fā)生的措施要求；取定并實施所需的糾正措施；記錄所采取措施的結(jié)果；評審所采取措施的有效性。預防措施：組織應確定措施，以消除潛在不符合的原因，防止其發(fā)生。預防措施應與潛在問題的影響程度相適應。預防措施的文件化程序應該規(guī)定以下方面的要求： 識別潛在不符合及其原因；確定并實施所需的預防措施；記錄所采取措施的結(jié)果；評審所采取的預防措施；識別已變化的風險，并確保對發(fā)生重大變化的風險予以關(guān)注。第三節(jié)信息安全管理標準和策略 一、信息安全管理標準 全國信息安全標準化技術(shù)委員會最新發(fā)布的《信息安全國家標準目錄》中，包括所有正式發(fā)布的信息安全國家標準信息，主要包括標準編號、名稱、對應國際標準以及標準主要范圍等信息，以便了解信息安全國家標準制修訂整體情況。共包含七大類信息安全標準：基礎(chǔ)類標準、技術(shù)與機制類標準、信息安全管理標準、信息安全測評標準、通信安全標準、密碼技術(shù)標準、保密技術(shù)標準。 我國的信息安全管理標準研制工作是從跟蹤研究國際標準起步的。我國最早發(fā)布的信息安全管理標準是CB/T 19716：2005《信息技木—信息安全管理實用規(guī)則》，該標準等同采用當時的國際標準ISO/IEC 17799：2000，以及CB/T 19715. 12005《信息技術(shù)—信息技術(shù)安全管理指南一第1部分：信息技術(shù)安全概念和模型》（等同采用ISO/IEC TR133351：1996）和CB/T 19715. 22005《信息技術(shù)一信息技術(shù)安全管理指南一第2部分：管理和規(guī)劃信息技術(shù)安全》(等同采用ISO/IEC TR133351:1996)。隨著我國信息安全保障體系建設(shè)進入了全面規(guī)劃、統(tǒng)籌發(fā)展的新時期，與國家各項信息安全保障重要工作相適應，我國的信息安全管理標準化工作也有了較大的發(fā)展，取得了較為顯著的成果。截至2014年初，我國正式發(fā)布信息安全管理相關(guān)國家標準33項，又分為管理基礎(chǔ)、管理要素、管理支撐技術(shù)、工程與服務管理和個人信息保護五個子類。例如，管理基礎(chǔ)標準CB 178591999《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級，即： 第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級； 第三級：安全標記保護級； 第四級：結(jié)構(gòu)化保護級； 第五級：訪問驗證保護級。 該標準適用于計算機信息系統(tǒng)安全保護技術(shù)銫力等級的劃分。計算機信息系統(tǒng) ．27．公務員網(wǎng)絡(luò)與信息安全教程安全保護能力隨著安全保護等級的增高，逐漸增強。 信息安全管理標準化成果主要覆蓋了以下領(lǐng)域或方面： 1)等同或修改轉(zhuǎn)化了國際信息安全管理體系標準族（即ISO/IEC 27000系列標準）中基礎(chǔ)、核心標準； 2)支撐信息安全管理體系實施的信息安全控制有關(guān)的技術(shù)標準或指南； 3)支撐國家電子政