建立信息安全管理体系首先要建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,并从信息系统本身出发,通过建立资产清单,进行风险分析,需求分析和选择安全控制等步骤,建立安全体系并提出安全解决方案。
信息安全管理框架的搭建须按适当的程序进行。组织首先应根据自身的业务特质,组织特征,资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。
11.3.1信息安全方针
信息安全政策本质上来说是描述组织具有哪些重要的信息资产,并说明这些信息资产如何被保护一个计划,其目的就是对组织中成员阐明如何使用组织中的信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应承担的责任,详细描述对员工的安全意识与技能的要求,列出被组织禁止的行为。
信息安全政策通过为组织中的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资产保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则及安全程序的必要基础。建立信息安全政策,就设置了组织的信息安全基础,可以使员工了解与自己相关的信息安全保护责任,强调系统安全对组织业务目标的实现,业务活动持续运营的重要性。
信息安全政策可以分为两个层次:一个是信息安全方针;另一个是具体的信息安全策略。
所谓信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理,保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺,提出组织管理信息安全的方法,并由管理层批准。信息安全方针应当语言精练、简明、扼要、易于记忆,读起来朗朗上口,容易被员工理解和宣传。
信息安全方针必须要在ISMS实施的前期制定出来,表明最高管理层的承诺,指导ISMS的所有实施工作,信息安全策略的制定要在风险评估工作完全后,对换组织的安全现状有明确的了解的基础上有针对性编写,用于指导风险的管理与安全控制措施的选择。信息安全方针与信息安全策略制定完成后,可以汇编成册,作为《信息安全管理手册》,采用适当的方法传达给每一个员工,并在组织范围内做广泛,深入的宣传教育与培训。
适当的时候,《信息安全管理手册》也要覆盖到相关客户,合作伙伴,签约供应商,使他们了解组织对信息安全的声明与要求。为确保安全方针与策略的适宜性与有效性,应定期对其进行评审(一般在管理评审时进行),必要时对信息安全方针与策略进行更新、修订,以适应环境的变化。
11.3.2风险评估实施
组织在信息安全管理体系的PDCA过程中,策划阶段的主要任务就是进行风险评估,识别组织所面临的风险大小,为信息安全风险管理提供依据。
风险评估首先要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面临的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。信息安全风险评估的复杂程度将取决于业务信息和系统的性质,使用信息的组织业务目标,所采用的系统环境以及受保护资产的敏感程度。所采用的评估措施应该与组织对信息资产风险的保护需求相一致,组织需要将直接后果和潜在后果一并考虑。
风险评估的具体步骤如下:
1.现状调查
对组织的业务运作流程,安全管理机构,资产情况,信息网络拓扑结构,安全控制情况,法律法规适用和执行情况,组织安全意识与企业安全文化状况进行调查,为风险评估与控制选择做好铺垫。
2.风险识别
在ISMS的范围内,列出与信息有关的资产,并对每一项资产进行估价,识别这些资产面临的威胁,及威胁发生的可能性与潜在影响,识别可能被威胁利用的脆弱性及被利用的难易程度。
3.风险评估
风险评估的内容主要有:评估由于安全故障带来的业务损害,要考虑资产失去机密性,完整性和可用性的潜在后果;评估与这些资产相关的主要威胁,脆弱点和影响造成此类事故发生的现实可能性和组织现有的控制措施;对风险的大小进行测量并确定优先控制等级;风险评估结果的评审与批准。
识别和评估组织资产面临的风险的目的是为了选择和验证合适的安全控制措施,这是制定信息安全管理体系过程中的重要一步。
4.风险的计算方法
一般来说,BS7799种常用的风险评估的方法主要有:
(1)基本风险评估:即仅参照标准所列举的风险对组织资产进行风险评估的方法。通过标准中罗列了一些常见信息资产所面对的风险及其控制要点,组织根据这些标准的安全等级要求进行评估。
基本风险评估的优点在于:非常简单,易于执行。
缺点在于:如果组织安全等级设置不当,过高则可能使日常操作受到过分的限制,过低则可能对一些风险的控制力度不够。而且,在ISMS被更新,调整时,可能很难去评估原先的控制措施是否仍然满足现行的安全需求。
(2)详细风险评估:即先对组织的信息资产进行详细划分并赋值,再针对不同的信息资产所面临的不同的风险,详细划分对资产造成的威胁的等级和相关的脆弱性的等级,并利用这些信息来评估系统存在的风险的大小,指导下一步控制措施的选择。
详细风险评估的优点在于:对组织的安全风险了解得非常准确,有利于明确安全需求。
缺点在于:详细风险评估将花费更多的时间和精力,有时会需要专业技术知识和外部组织的协助才能获得评估结果。
(3)基本风险评估和详细风险评估结合。首先利用基本风险评估方法鉴定出在ISMS范围内存在的潜在高风险或者对组织商业运作至关重要的资产。在此基础上,将ISMS范围内的资产分为两类,对特殊对待的信息资产使用详细风险评估方法,对一般对待的信息资产使用基本风险评估方法。
两种方法结合的优点在于:可以将组织的费用和资源用于最有益的方面;缺点在于:如果在高风险的信息系统鉴别有误时,将导致不精确的结果,从而将会对组织的某些重要信息资产的保护失去效果。
11.3.3风险管理的内容
通过风险评估与此同时现状调查的结果,组织要决定在安全方针的范围内,如何对信息资产实施保护及保护到何种程度,这个阶段涉及以下几个方面的工作:
1.确定安全需求
安全需求描述了组织信息安全的目标和需求,这种目标和需求的满足可以保证组织安全,成功地实现业务目标。一般来说,企业安全需求可以从以下三个方面考虑:
(1)来自风险的安全需求。由于组织所处的环境以及信息安全处理设施都存在一定的脆弱性。信息资产的脆弱点被威胁利用就产生风险,并可能对业务产生一定的影响和损害。比如:由于“黑客”入侵组织的网络而造成机密信息的泄露;
在互联网上传送的支付信息被修改;
由于系统崩溃造成的信息损失。
通过详细的风险分析,就可以确定组织所面临的各种主要风险,通过引入适当的控制,使风险降到组织可以接受的程度,就可以满足风险所提出的安全需求。
(2)来自法律、法规、合同的需求。组织所处的内外环境都要求遵守国家法律,行业法规以及组织内部的规章制度,以及与第三方签署的合同的约束。比如:
商业软件的拷贝规定:组织记录的安全保存;数据保护。
遵守法律法规的要求,是组织正常运营的基本要求,通常是一种强制性要求。组织应保证一切活动都要符合相应的法令法规的要求,以避免违法活动带来的诉讼风险。
(3)来自业务的需求。组织制定和实施信息系统,是为了支持组织的业务运营,而组织为保证业务流程、业务标准、业务目标的机密性、完整性、可用性,对信息安全提出了要求。比如:
要保证应用程序在生产过程中的计算结果是准确的;
与健康和安全标准一致;
在组织中使用电子邮件交换信息。
根据业务活动本身的特点来选择安全控制措施是一种最直接的方式,并与组织的业务特性紧密地结合在一起,所考虑的控制方式应能满足业务机密性和可持续性要求。
2.管理风险的方法
通过风险评估的结果,再加上组织的业务和法律法规对信息安全的要求因素,组织就可以得到总的安全需求,为满足总的安全需求,可以通过以下四种方法进行风险管理。
(1)接受风险。
接受风险就是决定是否在某一点接受风险,不做任何事情,不引入控制措施。当一个组织决定接受高于可接受水平的风险时,应获得管理层的批准。一般情况下,还是应该采取一定的措施来避免安全风险产生安全事故,防止由于缺乏安全控制而对正常业务运营造成损害。
如果认为风险是组织不能接受的,那么就需要考虑其他三种方法来应对某个风险或某些风险。采用避免风险的措施时,需要在业务需求与资金投入方面进行权衡。尽管有“黑客”的威胁,由于有业务的需要,组织不可避免地要使用互联网,这时可以考虑降低风险的方式,把整个组织撤离到安全场合可能会需要巨大的投入,这时可以考虑采用风险转移的方式。
(2)转移风险。
转移风险是组织在无法避免风险时的一种可能的选择,或者是在减少风险很困难,成本很高时,组织采取的一种方法。例如,对已评估确认的价值较高,风险较大的资产进行保险,把风险转移给保险公司。
另一种转移风险的方式就是把关键业务处理过程外包给专业的第三方组织,因为他们拥有更好的设备,高水平的专业人员。
第三种转移风险的方式就是要把要保护的资产从信息处理设施的风险区转移出去,以减少对信息处理设施的安全要求。
(3)降低风险。
所谓降低风险就是通过选择控制目标与控制措施来降低评估确定的风险。需要结合下列各种措施来降低风险,达到可以接受的水平:
减轻威胁(减少威胁出现的可能性);
减少脆弱性(减轻并弥补系统脆弱性);
降低影响(把安全事件的影响降低到可接受的水平);
检测意外事件;
从意外事件中恢复;
这样就可以保证各种控制措施之间可以相互补充,相互支持。例如,技术控制与过程控制结合使用,可以使两者更有效。
(4)残余风险。
在不可接受风险被降低或转移之后,还会有残余风险,对残余风险也应该有控制措施以保证其不希望的影响或破坏及时被识别并适当管理。
3.建立风险管理策略
根据以上风险决策过程,在满足总体安全需求的前提下,制定出具体的风险管理策略,指导和管理对高风险区域的信息资产的保护,这种风险管理策略也被称为信息安全策略。
信息安全策略是在信息安全方针的基础上,根据风险评估的结果,为降低信息安全风险,保证控制措施的有效执行而制定的明确具体的信息安全实施规则。这种策略是原则性的,通用性强,并与信息安全方针一起汇编成《信息安全手册》,组织最高管理层批准后,在组织中要强制执行。
11.3.4选择控制目标和实施控制
根据信息安全方针与策略的要求,为保护信息资产,管理层需要做出决策,对某些重要风险采取降低风险的办法,需要导入合适的过程来选择相应的控制措施,通过选择和实施BS7799的控制目标与控制措施,可以有各种不同的方式来满足这些安全需求。
1.选择控制的方法
组织为特定的业务环境选择控制目标要先确定安全需求,安全需求可以通过实施一系列BS7799的控制目标与控制措施来实现,BS7799的控制目标与控制措施的实施可以保护组织免受安全问题的侵扰;通过对特定安全问题的辨认,又可进一步确定安全需求。按照BS7799-2的规定,组织应当制定适用的控制目标与控制措施,并有效地证明为什么选择这些控制,同时组织还应该指定不适用的控制目标与控制措施,并证明为什么不选择这些控制。
2.选择控制的过程
在选择控制目标与控制措施时并没有一套标准与通用的方法,选择的过程往往不是很直接,可能要涉及一系列的决策步骤,咨询过程,要和不同的业务部门和大量的关键人员进行讨论,对业务目标进行广泛地分析,最后产生的结果要很好地满足组织对业务目标,资产保护,投资预算的要求。
组织采用什么样的方法来评估安全需求和选择控制,完全由组织自己来决定,但无论采用什么样的方法、工具,都需要对前面所选控制措施的三种安全需求进行评估,对控制目标与控制措施的选择应当由安全需求来驱动,控制选择应当是基于最好地满足安全需求并考虑安全需求得不到满足的后果。
一般来说,控制的选择可以按以下过程来进行:
先考虑对基于业务与法律法规的安全需求。可以从BS7799中选择符合相关的法律要求和业务要求的控制目标与控制措施。先选择业务与法律法规方面的控制目标与措施,是因为这一方面的控制对一个组织来说往往是必需的,是强制性的。
再考虑对基于风险分析的安全需求。风险分析可以提示组织中信息资产的脆弱性与面临的威胁,通过评估风险的程度从BS7799中选择相关的控制目标与控制措施来防止威胁,弥补脆弱性,从而降低风险。
考虑组织必须关注的各种安全问题。如果以上选择的控制还不能满足控制目标与安全需求,就需要从组织信息安全问题的关注点下手,对控制做进一步的考虑与检查,以保证组织所选择的控制具有完整性与连续性。通过了解这一部分与控制相对应的安全问题,还有助于在业务,法律法规,风险评估等方面更好地选择控制。
控制目标的确定和控制措施的选择原则要考虑风险平衡与成本效益的原则,而且要考虑信息安全是一个动态的系统工程,组织应及时对选择的控制目标和控制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效,经济,合理的保护。
