信息安全管理體系(ISMS)是針對(duì)任何類型的組織用于建立���、實(shí)施����、運(yùn)行、監(jiān)控���、審核��、維護(hù)和改進(jìn)信息安全的一個(gè)政策�、程序�、指南以及相關(guān)資源的框架。ISMS已經(jīng)成為被國(guó)際標(biāo)準(zhǔn)化組織認(rèn)可的國(guó)際標(biāo)準(zhǔn)��、ISO/ IEC27000系列標(biāo)準(zhǔn)定義了信息安全管理體系(ISMS)的要求��,奠定了信息安全管理體系的認(rèn)證基礎(chǔ)。標(biāo)準(zhǔn)解釋的了整體計(jì)劃 – 執(zhí)行 – 檢查 – 行動(dòng)(PDCA)的方法,并為其實(shí)施提供了詳細(xì)的指導(dǎo)���。
ISO/IEC27001標(biāo)準(zhǔn)介紹定義了整個(gè)信息安全管理體系的范圍和使用的詞匯�,并提供包括標(biāo)準(zhǔn)的出版物的目錄����。ISO/ IEC 27001對(duì)那些尋求獨(dú)立ISMS認(rèn)證的機(jī)構(gòu)來(lái)說(shuō)是一套正式的規(guī)范,ISO / IEC 27002包含一個(gè)組織用于應(yīng)對(duì)信息安全風(fēng)險(xiǎn)被結(jié)構(gòu)化的建議控制��,ISO/ IEC2700X出版物為特定行業(yè)和情況管理信息安全提供指導(dǎo)�����。ISO/ IEC27002是由ISO/ IEC17799演變而來(lái),ISO/ IEC17799是由英國(guó)標(biāo)準(zhǔn)BS7799演化而來(lái)�����,BS7799是信息安全管理方面的最佳實(shí)踐���。ISO27001新版標(biāo)準(zhǔn)在2013年底正式頒布��。
對(duì)于一個(gè)組織來(lái)說(shuō),比較切實(shí)可行的第一步是建立信息安全管理框架���。
按照英國(guó)國(guó)家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實(shí)踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》,可以幫助在組織中建立一個(gè)初步的、易于實(shí)施和維護(hù)的管理框架�,在框架內(nèi)通過(guò)安全管理標(biāo)準(zhǔn)�,提供組織在信息安全管理的各環(huán)節(jié)上一個(gè)最佳的實(shí)踐指導(dǎo)���。
制定組織信息安全計(jì)劃
安全組織建設(shè)計(jì)劃
在一個(gè)組織內(nèi)實(shí)施信息安全的第一步����,是根據(jù)企業(yè)目標(biāo)及安全方針,建立信息安全指導(dǎo)委員會(huì)���。委員會(huì)要由組織高層領(lǐng)導(dǎo)掛帥,各職能部分相關(guān)負(fù)責(zé)人參加�,定期召開(kāi)會(huì)議�,對(duì)組織內(nèi)的信息安全問(wèn)題進(jìn)行討論并作為決策���,目的是為組織的信息安全提供指導(dǎo)與支持���。
信息安全指導(dǎo)委員會(huì)的主要職能有:審批信息安全方針、政策���,分配信息安全管理職責(zé)����;確認(rèn)風(fēng)險(xiǎn)評(píng)估���,審批信息安全預(yù)算計(jì)劃及設(shè)施的購(gòu)置;評(píng)審與監(jiān)測(cè)信息安全措施的實(shí)施及安全事故的處理;對(duì)與信息安全管理有關(guān)的重大更改事項(xiàng)進(jìn)行決策,協(xié)調(diào)信息安全管理隊(duì)伍與各部門(mén)之間的關(guān)系���。
其次是建立一支專業(yè)��、高效的信息安全管理的隊(duì)伍,一般由信息安全主管為核心�����,并由信息安全日常管理、信息安全技術(shù)操作兩方面的人員組成����。在“911”事件以后��,為了加強(qiáng)對(duì)安全的統(tǒng)一管理�����,在美國(guó)有一種把安全保衛(wèi)部門(mén)與信息安全部門(mén)合并的趨勢(shì)�,許多大公司設(shè)置一個(gè)首席安全官(Chief Security Officer)職位����,負(fù)責(zé)包括信息安全在內(nèi)的所有安全事宜����。由于首席安全官在組織的整體安全管理中有著舉足輕重的作用,這就對(duì)首席安全官的管理素質(zhì)��、職業(yè)技能提出了全新的挑戰(zhàn)�。
安全預(yù)算計(jì)劃
一般來(lái)說(shuō),沒(méi)有特別的需要,為信息安全的投入不應(yīng)超過(guò)信息化建設(shè)總投資額的15%�����,過(guò)高的安全成本將使安全失去意義��。
由于網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具唾手可得,再加上組織對(duì)信息化的依賴性越來(lái)越強(qiáng),這在某種程度上造成信息安全的信息防御的成本越來(lái)越高�����,而攻擊的成本則越來(lái)越低��。所以安全預(yù)算計(jì)劃是一項(xiàng)具有挑戰(zhàn)性的工作���,要采用“適度防范”的原則,把有限的資金用在刀刃上。
在制訂預(yù)算計(jì)劃時(shí)考慮以下幾點(diǎn):
◆ 首先,不應(yīng)把部署所有安全產(chǎn)品與技術(shù)作為目標(biāo)�,因?yàn)槟承╋L(fēng)險(xiǎn)可能并不存在��,某些風(fēng)險(xiǎn)組織可以容忍和接受�。
◆ 其次����,沒(méi)有必要去為追求信息安全的零風(fēng)險(xiǎn),加固所有的安全弱點(diǎn)�����,這些弱點(diǎn)可能因?yàn)槌杀尽⒅R(shí)�、文化�����、法律等方面的因素�,沒(méi)有人能利用它們���。
◆ 第三���,沒(méi)有必要無(wú)限制地提高安全保護(hù)措施的強(qiáng)度�����,只需要將相應(yīng)的風(fēng)險(xiǎn)降到可接受的程度即可���。
◆ 對(duì)安全保護(hù)措施的選擇還要考慮到成本和技術(shù)等因素的限制����。
客服咨詢
158-0008-7775 
