【正文】 安全方針。 信息安全方針是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分別制定不同的信息安全方針。信息安全方針應(yīng)該簡單明了、通俗易懂，并形成書面文件，分發(fā)給組織內(nèi)所有成員。同時要對所有相關(guān)員工進(jìn)行培訓(xùn)，必要時對負(fù)特殊責(zé)任的人員進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正根植于所有員工的意識及行為中。 除了要有一個總體的安全方針，在總體方針的框架內(nèi)，組織要根據(jù)風(fēng)險評估的結(jié)果，制定更加具體的安全方針與措施，明確規(guī)定具體的控制規(guī)則。 89 (2) 確定 ISMS的范圍。 組織要根據(jù)組織的特性、地理位置、部門、需要保護(hù)系統(tǒng)資產(chǎn)和技術(shù)等來對 ISMS范圍進(jìn)行界定。在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼? (3) 進(jìn)行信息安全風(fēng)險評估。 風(fēng)險評估主要對 ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價，然后資產(chǎn)所受的威脅、脆弱性及威脅發(fā)生后對組織的影響進(jìn)行評估， 90 同時對已存在的或規(guī)劃中的安全措施進(jìn)行鑒定，用以識別目前面臨的風(fēng)險及風(fēng)險等級。信息安全風(fēng)險評估的復(fù)雜度取決于風(fēng)險的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評估措施應(yīng)該與信息資產(chǎn)風(fēng)險的保護(hù)需求相一致。 要注意的是， ISMS的成功建立與實施，及它對組織的價值很大程度上取決于風(fēng)險評估的質(zhì)量。 (4) 進(jìn)行信息安全風(fēng)險管理。 根據(jù)信息安全方針、所要求的安全程度和風(fēng)險評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險管理， 91 管理風(fēng)險包括識別所需的安全措施，通過降低、避免、轉(zhuǎn)移將風(fēng)險降為可接受的水平。風(fēng)險會隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。 (5) 選擇控制目標(biāo)與控制措施。 控制目標(biāo)與控制措施的選擇要以費用不超過風(fēng)險所造成的損失為原則。因為信息安全是一個動態(tài)的系統(tǒng)工程，組織應(yīng)實時地對選擇的控制目標(biāo)和控制措施進(jìn)行驗證和調(diào)整，以應(yīng)對不斷變化的情況，使信息資產(chǎn)得到有效的、經(jīng)濟(jì)的、合理的保護(hù)。 92 (6) 發(fā)表適用性聲明。 適用性聲明 (SoA， Statement of Application)是對組織選擇的控制目標(biāo)和控制措施的記述性文件，標(biāo)準(zhǔn)中不適用的控制措施也要在聲明中加以說明，但不能提供太過詳細(xì)、有價值的信息，防止被某些不懷好意的人所利用。發(fā)表適用性聲明，一方面是為了向組織內(nèi)的員工聲明對信息安全風(fēng)險的態(tài)度，另一方面是為了向外界 (例如潛在的商業(yè)伙伴或第三方認(rèn)證機(jī)構(gòu) )表明組織的態(tài)度和作為，表明組織已全面、系統(tǒng)地審視了信息安全系統(tǒng)，并將所有應(yīng)該得到控制的風(fēng)險控制在可被接受的范圍內(nèi)。 93 除此之外，在建立信息安全管理體系的過程中，需要按標(biāo)準(zhǔn)要求建立管理的證據(jù)，即信息安全管理體系文件，它一般包括方針、適用性聲明、方針手冊、程序文件、作業(yè)指導(dǎo)書和記錄等。 BS 77992對 ISMS文件結(jié)構(gòu)沒有統(tǒng)一的要求，但其文件內(nèi)容應(yīng)該包括以上內(nèi)容。 94 引入 BS 7799的好處 保證信息安全不是僅靠一些安全設(shè)備，或?qū)で笮畔踩?wù)公司幫助就可以達(dá)到，而是需要全面的綜合管理。引入信息安全管理體系就可以協(xié)調(diào)各個方面的信息管理，在建立業(yè)務(wù)風(fēng)險分析的基礎(chǔ)上，開發(fā)、實施、完成、評審和維護(hù)信息安全，使得管理更有成效。 信息安全管理體系可以定義在組織的整個信息系統(tǒng)中，也可以是信息系統(tǒng)的某些部分， 95 或者是一個特定的信息系統(tǒng)，包括處理、存儲和傳輸數(shù)據(jù)所用到的相應(yīng)的資產(chǎn)、系統(tǒng)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)與技術(shù)等。具體選擇哪種范圍模式，取決于組織的實際需要。一個組織可以為企業(yè)的不同部分、不同方面定義不同的 ISMS，例如，可以為公司與合作商的特定貿(mào)易關(guān)系定義一個信息安全管理系統(tǒng)。 BS 7799強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、開放性和普遍性，目的是為企業(yè)或組織提供一種高質(zhì)量、高實用性的參照。各單位以此建立自己的信息安全管理體系，可以在別人的基礎(chǔ)上根據(jù)自己的實際情況選擇引入 BS 7799的模式。 96 BS 7799可以有效地保護(hù)信息資源，保護(hù)信息化進(jìn)行健康、有序、可持續(xù)發(fā)展，目前已發(fā)展成最新的 ISO/IEC 27001:2023和 ISO/IEC 27002:2023標(biāo)準(zhǔn)。當(dāng)組織通過了它們的認(rèn)證，就相當(dāng)于通過了 ISO 9000的質(zhì)量認(rèn)證一般，表明組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。 企業(yè)或組織按照 BS 779 ISO/IEC 17799等標(biāo)準(zhǔn)建立信息安全管理體系，在前期需要有一定的投入，但若是能通過相關(guān)認(rèn)證，將會獲得有極大價值的回報，例如： 97 (1) 通過認(rèn)證能向客戶、競爭對手、投資商、供應(yīng)商等展示在其行業(yè)中的領(lǐng)導(dǎo)地位。 (2) 定期監(jiān)督審核能加強(qiáng)系統(tǒng)的安全性，減少系統(tǒng)故障和潛在的風(fēng)險隱患，節(jié)約資源。 (3) 通過認(rèn)證相當(dāng)于是一種承諾，能提高企業(yè)的信譽度，增強(qiáng)客戶購買或投資的信心。 (4) 能夠向政府及行業(yè)主管部門證明企業(yè)對相關(guān)法律法規(guī)的符合性。 (5) 可以改善企業(yè)的業(yè)績，消除不信任感，有利于拓展市場與業(yè)務(wù)。 98 (6) 獲得國際認(rèn)可的認(rèn)證證書，能得到國際上的承認(rèn)。 企業(yè)引入信息安全管理標(biāo)準(zhǔn)體系的關(guān)鍵在于企業(yè)的重視程度和制度落實的情況。在實施過程中一定要注意， BS 7799里所描述的所有控制措施不可能適合企業(yè)內(nèi)的每一種情況。因此，需要根據(jù)功能要求和企業(yè)自身的實際情況進(jìn)行一步開發(fā)適合企業(yè)本身需要的控制目標(biāo)與控制措施，就像依據(jù) ISO 9000標(biāo)準(zhǔn)開發(fā)質(zhì)量手冊和程序文件一樣。 99 要有效地保護(hù)信息系統(tǒng)的安全，涉及到信息系統(tǒng)研制單位、信息化應(yīng)用工程建設(shè)單位、乃至國家有關(guān)主管部門共同實施的大問題，需要在立法、行政、技術(shù)三方面采取綜合措施。 在這里，著重介紹有關(guān)管理工作方面的信息安全實施要點。 信息安全管理的實施要點 100 1. 加強(qiáng)審計管理 對信息系統(tǒng)中的所有資源 (包括服務(wù)、文件、數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、安全設(shè)備等 )進(jìn)行安全審計，記錄所有發(fā)生的事件，以提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。它的目標(biāo)是通過數(shù)據(jù)挖掘和數(shù)據(jù)倉庫等技術(shù)，實現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對網(wǎng)絡(luò)設(shè)備、終端、數(shù)據(jù)資源等進(jìn)行監(jiān)控和管理，在必要時通過多種途徑向管理員發(fā)出警告或自動采取措施，并且能夠?qū)v史審計數(shù)據(jù)進(jìn)行分析、處理和追蹤。其作用主要有以下幾個方面： 101 對潛在的攻擊者起到震懾和警告的作用。 對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)。 為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。 為系統(tǒng)管理員提供系統(tǒng)的統(tǒng)計日志，使系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)和加強(qiáng)的地方。 為了支持審計工作，要求數(shù)據(jù)庫管理系統(tǒng)具有高可靠性和高完整性，在審計數(shù)據(jù)的獲取、傳輸、存儲過程中都應(yīng)該注意安全問題。 102 2. 加強(qiáng)行政管理 對于企業(yè)的組織機(jī)構(gòu)，無論哪一個級別的信息系統(tǒng)，都要有相應(yīng)級別負(fù)責(zé)信息安全的專門管理機(jī)構(gòu)，其規(guī)模與層次視系統(tǒng)大小而定。加強(qiáng)行政管理工作，要求管理機(jī)構(gòu)要把以下幾點做到位，而不流于形式： 制定、審查和確定安全措施。 確定安全措施的方針政策、策略和原則。 組織實施安全措施并協(xié)調(diào)、監(jiān)督、檢查安全措施執(zhí)行情況。 103 安全管理機(jī)構(gòu)的人員應(yīng)該包括領(lǐng)導(dǎo)和專業(yè)人員，按不同任務(wù)進(jìn)行分工以確立各自的責(zé)任，一類人員負(fù)責(zé)確定安全措施，包括方針政策、策略的制定，并協(xié)調(diào)和監(jiān)督檢查安全措施的實施，另一類人員是分工具體管理系統(tǒng)的安全工作。 104 3. 加強(qiáng)人事管理 信息安全威脅大多來自人的因素，因為計算機(jī)是由人來制造和使用，而人是受社會的影響，所以為了私利，就有可能鋌而走險。許多安全威脅來自內(nèi)部人員，他們可能是無意間造成錯誤，也可能是內(nèi)外勾結(jié)蓄意破壞系統(tǒng)，竊取機(jī)密或敏感信息，造成重大的損失。因此，在信息安全管理工作，除了“防外”還要“安內(nèi)”，即需要對內(nèi)部人員，尤其是涉密員工加強(qiáng)人事管理，例如： 在人事審查和錄用，崗位和職員范圍的確定，人事檔案管理，工作評價，人員的提升、調(diào)動、免職等方面要有具體的管理措施。 105 加強(qiáng)思想教育和安全業(yè)務(wù)培訓(xùn)，不斷提高員工的思想素質(zhì)和技術(shù)水平。 只有這些人員具備了一定的職業(yè)道德和技術(shù)能力，才能把信息安全建立在牢固的基礎(chǔ)上。 106 4. 加強(qiáng)安全管理 在健全管理機(jī)構(gòu)和人事管理制度后，具體的工作就是安全管理。要確立安全管理的原則和相應(yīng)的規(guī)章制度。安全管理主要基于以下原則： 多人負(fù)責(zé)制：從事每一項與安全有關(guān)的活動，都必須要有兩人或多人在場。 任期有限原則：任何人不能長期擔(dān)任與安全有關(guān)的固定職務(wù)，應(yīng)不定期地循環(huán)任職。 職責(zé)分離原則：通過分配不同的任務(wù)給不同職位的人以及在多個人之間針對某個特定的安全操作過程分配相關(guān)的特權(quán)， 107 不能將各種不同的職責(zé)合并，如秘密資料傳送與接收、操作與存儲保密介質(zhì)、系統(tǒng)管理與安全管理等工作職責(zé)應(yīng)該由不同的人員負(fù)責(zé)。 108 信息安全管理是信息安全保障體系建設(shè)的重要組成部分，對于保護(hù)信息資源、降低信息系統(tǒng)安全風(fēng)險、指導(dǎo)信息安全體系建設(shè)具有重要作用，是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險、相互協(xié)調(diào)的活動，有效的信息安全管理要盡量做到在有限的成本下，保證系統(tǒng)中的信息安全。 本 章 小 結(jié) 109 近年來信息安全管理在國際上有了很大的發(fā)展，我國信息安全管理雖然起步較晚，但我國政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識到了信息與信息安全的重要性，已開始出臺一系列相關(guān)政策策略，直接指導(dǎo)、推進(jìn)信息安全的應(yīng)用和發(fā)展。經(jīng)過幾年的發(fā)展，取得了一定的成績，但仍面臨巨大的考驗。 在我國，信息安全管理是對一個組織機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實施符合安全等級責(zé)任要求的管理，在實施信息安全管理過程中，需要遵循一定的原則。 110 信息系統(tǒng)的主要安全因素包括資產(chǎn)、威脅、脆弱性、意外事件影響、風(fēng)險和保護(hù)措施等，這些因素之間相互影響而存在。 信息安全管理模型是從信息系統(tǒng)的安全需求出發(fā)，以信息安全管理相關(guān)標(biāo)準(zhǔn)為指導(dǎo)，結(jié)合組織的信息系統(tǒng)安全建設(shè)情況，引入合乎要求的信息安全等級保護(hù)的技術(shù)控制措施和管理控制規(guī)范與方法，在信息安全保障體系基礎(chǔ)上建立信息安全管理體系。 111 BS 7799是世界上影響最深、最具代表性的信息安全管理體系標(biāo)準(zhǔn)，分為兩個部分，即信息安全管理實施細(xì)則 (BS 77991)和信息安全管理體系規(guī)范 (BS 77992)。 BS 7799可以有效地保護(hù)信息資源，保護(hù)信息化進(jìn)行健康、有序、可持續(xù)發(fā)展，目前已發(fā)展成最新的 ISO/IEC 27001:2023和ISO/IEC 27002:2023標(biāo)準(zhǔn)。 企業(yè)或組織具體選擇 ISMS的范圍模式，取決于組織的實際需要，一個組織可以為企業(yè)的不同部分、不同方面定義不同的 ISMS，并且關(guān)鍵在于企業(yè)的重視程度和制度落實的情況。 112 要有效地保護(hù)信息系統(tǒng)的安全，涉及到信息系統(tǒng)研制單位、信息化應(yīng)用工程建設(shè)單位、乃至國家有關(guān)主管部門共同實施的大問題，需要在立法、行政、技術(shù)三方面采取綜合措施，要加強(qiáng)審計管理、行政管理、人事管理和安全管理等工作。