大多数钢铁企业的信息安全管理仍然存在很多问题,需要认真面对。
对策——建立ISMS
四、 对策——建立ISMS
三零卫士通过在钢铁企业建设信息安全管理体系来全面降低其信息安全风险。
信息安全管理体系(ISMS:Information Security Management System),它是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统。其依据是信息安全管理体系标准——ISO27001,ISO27001清晰地定义了ISMS是什么样子的,并对企业主要安全管理过程进行了详细地描述。
我们通过对钢铁企业信息系统的信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全管理、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事故管理、业务连续性、符合性(ISO27002要求的各个控制域)11个方面的处置,来建立钢铁企业信息安全管理体系。
ISMS建设分为五个阶段:准备阶段、风险评估阶段、实施阶段、运行阶段和持续改进阶段。
1. 准备阶段
本阶段应该确定以下内容:从组织的业务出发并通过与钢铁企业沟通明确ISMS项目的实施范围、业务流程所依赖的信息系统、项目实施框架、明确信息安全所涉及到的人员、部门和职能并确定双方在项目中的工作责任和范围(项目组内应设立领导小组、筹备小组、风险评估组、文件编写组、控制措施实施组、内审组和培训组等)、松紧适度的合理的项目日程规划并应获得钢铁企业审批。此外,在准备阶段对相关人员应进行标准内容的培训和辅导。
本阶段应该达到以下效果:得到钢铁企业高层的实际支持与承诺、双方项目组人员分工明确、项目组人员对ISMS以及项目将要涉及到的与之相关的工作有较为清晰的认知,以保证在以下的项目实施过程中能够进行积极、有效地配合。
2. 风险评估阶段
在准备阶段工作的基础上,根据ISO27001标准的要求,对钢铁企业目前的信息安全现状进行风险评估,通过风险评估,确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前钢铁企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。
1. 系统调研
在调研的过程中,调研人员应明确要调研的目标并控制好调研时间与引导好调研内容。针对不同调研对象,应有不同调研侧重点。针对高管的调研应注重法规、方针、制度等方面的调研;针对中层管理者的调研应注重管理活动、流程运转等方面的调研,由于中层是衔接高层和运维人员的重要环节,大多数重要流程都要从他们这里走,因此,往往要重点对其进行调研;针对运维人员的调研应注重技术细节和具体运作方面的调研。另外,要结合调研进程定期进行内部例会交流、整合调研成果。
2. 差距分析
差距分析是实施ISMS的重要环节,咨询公司以此深入了解目前的信息系统与标准的差距在哪里,为今后采取相应的风险控制措施提供决策参考。
差距分析是将钢铁企业既有的业务流程、资产、信息系统、各类标准作业程序、安全防范措施等与ISO27002里面所规定的ISMS管控项目做比较,了解目前的信息系统与ISO27002所设定的安全信息系统之间有多大差距,以作为后续风险评估与适用性声明参考之用。
差距分析要对调研结果进行综合分析,编写差距分析报告,列出差异之处并计划实际资源投放,为下一步的工作做好铺垫。最好将差距分析报告交给钢铁企业评审,通过后进行下一步工作。
3. 风险评估
风险评估是从信息安全的角度来为钢铁企业IT环境进行合理划分,找出技术上的不足、管理上的缺陷,为今后的方案设计和具体实施提供基础。
在风险评估之前,项目组应该结合钢铁企业的业务特点、组织架构和项目目的、目标、范围、时间、成本、质量等多重因素根据项目自身特点量体裁衣地确定风险评估的方法。
首先,应识别出关键信息资产并对其资产价值进行评估,结合前面的工作成果确认脆弱点和威胁并加以分析,然后根据资产值、脆弱性值以及威胁值来推算出风险值的大小(其中风险值的计算应充分考虑到钢铁企业信息安全的完整性、保密性、可用性的要求并据此选择算法),输出风险评估报告,然后咨询公司和钢铁企业协商决定风险控制方法(减少、接受、规避或者转移风险),并将相应文档提交给企业审阅,如果有和实际情况、企业需求不符的地方则对分析方法或过程等进行相应调整以最终符合实际情况并得到企业认同、批准和授权。最后,编写适用性声明。适用性声明是对适用于钢铁企业的控制目标和控制措施的评述,相当于一个控制目标与方式清单,并在其中阐述选择与不选择的理由。
3. 实施阶段
实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。
ISMS体系文件由四级文件构成:方针性文件、规定性文件、程序性文件、记录性文件。结合钢铁企业目前已有的管理制度和文件,编写符合标准要求的控制文件。同时,将已有的操作规程、规范文件,整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施。最终将形成一整套符合钢铁企业信息安全管理现状的、可实施的、文件化的信息安全管理体系。
建立ISMS体系文件的关键成功要素有:体系文件符合业务运作和安全控制的实际情况;具有可操作性,可以实现事事有人做、人人有事做、做事有考评、结果有奖惩而不能仅成为文件摆设;文件之间协调一致、不矛盾;文件应该具有编写、审核、修订、批准和实施的周期过程;依据法律法规和标准;参考现有的策略、制度和规范。
4. 运行阶段
运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对钢铁企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式,评审钢铁企业信息安全管理体系运行的符合性。通过内审,发现体系存在的问题。通过管理评审,找到改善信息安全管理体系运行状况的方法。
在ISMS正式运行前,应对体系进行试运行。结合信息系统的实际情况、钢铁企业实际需要、项目特点等确定试运行的时间。在ISMS试运行之前,应与钢铁企业高管进行充分沟通,得到必要的支持以及明确要做的具体工作,同时要进行ISMS的推广培训以减少体系运行的阻力。在体系试运行过程中,审核员应对ISMS进行评审,并应保持跟钢铁企业中层管理者的充分交流,发现有问题的地方,进行相应的调整以确保ISMS的建立。
5. 持续改进阶段
项目的完成只是钢铁企业ISMS建立和完善的一个首要步骤。
要通过内审与管理评审等持续改进活动,使钢铁企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对钢铁企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。如果项目条件允许,那么制作一个全面而均衡的测量体系则会为ISMS的绩效管理提供较准确的评测尺度以确保持续而有效的改进ISMS。
网友评论