信息安全管理体系建设研究.docx

信息安全管理体系建设研究摘要：随着信息化的迅速发展，信息化技术在企业中的应用日益普及，但在信息化技术的应用在极大的提高了企业工作效率和效益的同时，也带来了信息化安全的困扰，信息系统多、分布广、结构复杂、新技术应用多等原因导致信息安全建设成为企业面临的难题和挑战。本文通过对企业信息安全现状存在的问题进行分析，引入了ISO/IEC 27000系列标准与信息安全等级保护系列标准，进一步分析出企业基于ISO/IEC 27001信息安全管理体系的过程，并简要分析建设过程的难点以及如何融合信息安全等级保护系列标准以减少其难度。关键词：信息安全；管理；体系；ISMS；建设前言我们身处信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为企业赖以生存的重要资产，其价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给企业带来直接的经济损失，并导致企业的声誉和公众形象受到损害，使企业丧失市场机会和竞争力，甚至威胁企业的生存。因此，企业必须解决信息安全问题，有效保护信息资产。而如何建设高级别的信息安全保障能力是众多企业迫切需要解决的问题。企业现状分析近些年来，随着信息化的急速发展，国内多次暴露的信息安全事件泄密、系统遭受入侵等安全事件都在刺激着中国国内企业对信息安全的建设。在信息安全建设上投入了大量的人力物力，但对于信息安全建设过程中往往存在以下问题：企业一般会跟随市场或听从个别厂家的建议，对自身的实际需求以及整体、长远的信息安全规划缺乏考虑。企业会更注重于IT基础设施的安全建设，对于业务、应用以及信息化数据考虑较少，因此对业务的安全保障和业务促进作用有限。安全建设方案大多是各自独立设计和制定，不能保证整体的兼容性、互操作性以及最终目标的一致性。购买和部署大量安全终端，但不能有效的整合并利用。出现以上问题主要原因：企业投入信息安全建设时缺乏有效的方法把握全局性的信息安全建设；安全建设与企业实际情况匹配度低；安全建设缺乏科学规划；缺乏有效测量手段促进安全保障能力的提升。因此本文旨在通过研究相关权威标准，探讨如何建立一套适合企业自身发展需求的信息安全管理体系（ISMS, Information Security Management System）。标准介绍目前，国内比较权威的信息安全标准主要是ISO/IEC 27000系列标准和信息安全等级保护标准。下面将简单介绍这两个标准。ISO/IEC 27000系列标准ISO/IEC 27000系列标准是国际化组织为信息安全管理体系制定的一套标准，27000系列共包含10个标准。ISO/IEC 27001作为组织建立ISMS的基本标准，是ISO/IEC27000系列标准中的核心。ISO/IEC27002是最佳实践的集合，前身分别为BS7799-2和BS779-l，是英国标准协会(BSI)于1995年颁布的针对信息安全管理制定的标准。BS7799最初由英国贸工部(DTI)立项，经业界、政府和商业机构共同倡导，旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。ISO/IEC 27001类似于ISO9000系列中的ISO9001，强调ISMS的构建和基于PDCA模型的不断循环和改善，如图1。安全模型主要建立在风险管理的基础上，通过风险分析的方法，使信息风险发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建过程就是宏观上指导整个项目实施的过程。图1ISO/IEC 27002则给出了11类需要进行控制的部分：安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制，以及133项控制细则。信息安全等级保护信息安全等级保护制度是国家为了提高信息安全保障能力和水平、维护国家安全、社会稳定和公共利益、保障和促进信息化健康发展的一项基本制度，最早起源于1994年我国国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》在1999年9月13日由国家质量技术监督局发布，2001年1月1日起实施。GB17859吸取了TCSEC分等级保护的基本思想，根据我国信息安全的需要进行了改进和完善，把安全等级精简为更具可操作性的五个等级。其中《信息系统安全等级保护实施指南》同样包含PDCA的思想，更多强调的是以单个的信息系统生命周期来贯穿安全管理，见图2，通过系统的定级后规划相应的信息安全等级保护水平，通过运维改进信息安全规划