实施和运作信息安全管理体系

依照ISO27001的指导思想,部署信息安全管理体系ISMS的第一阶段,包括完成适用性声明SoA。SoA必须识别出控制目标和选定的控制措施,以及选定它们的原因,它又同时回应到风险评估和风险应对计划。标准还要求识别出目前已实施的控制,以及识别出信息安全管理体系日常运作中涉及到的绝大多数控制。昆明亭长朗然科技有限公司信息安全管理专员董志军对此表示,很多安全人员以为信息安全就是安装各种安全系统,然而安装安全系统也需要有指导纲领,也需要有方法论。

差距分析

下一步的关键是进行差距分析。差距分析的目的是确定风险评估进程中识别出的控制和SoA中记录的控制,以及实际部署的控制之间的差距。在大多数组织中,实际上拥有的控制措施和它们所需要的并不一致,这种情况并非罕见。这种不一致并非仅仅包含说组织缺乏相应的控制措施,而且也包含已有的控制措施没有得到恰当正确的操作,或者一些控制根本没有必要。差距分析需要同时对信息安全管理体系和流程管理方面进行评估,同时还要对已经实施的技术控制进行评估,最好是由独立于被评估领域之外的专家进行。

差距分析使本组织能够将风险处置计划的第二也是最重要的部分放在一起,“管理信息安全风险的管理行动、资源、责任和优先级别”是一套详细的行动计划,运用它们,可使组织切实实施其信息安全管理体系。如前所述,风险处理计划是联接信息安全管理体系PDCA循环的四个阶段的关键文件,并确保一切需要做的得到了贯彻执行。

部署实施

信息安全管理体系的设计和实施的剩余第二阶段包括以下五项活动:

  1. 实施风险处理计划和SOA中确定的控制;
  2. 定义如何衡量和评估所有控制的有效性;
  3. 实施信息安全意识,教育和培训和宣传活动方案。从高处看,信息安全管理体系的成功,离不开人们的行为。有效的信息安全是技术、人员和流程三大要素的紧密配合,少了任何一项,都不足够。
  4. 管理信息安全管理体系,所有的联锁控制和程序必须继续工作,新的威胁需要得到识别、评估和进行必要的处理。人员需要招募和训练,要监督他们的绩效表现,以及按照业务不断变化的需求开发他们的技能。ISMS的有效性必须加以管理,长期的持续改进必须得到计划和领导;
  5. 实施事件检测和响应程序,它连接到ISO27002的信息安全事件管理。它包含两项控制目标和五项控制措施。开发和实施信息安全事件管理流程合乎标准的要求,并且经常开始于信息安全管理体系项目的启动。

总结与补充

信息安全人员要注意站在全局角度看安全控制系统,这样才能走出狭窄封闭的小圈子。大的图景在心中,在部署落实控制措施时心中有数,对控管目标和总体方向有适当的把握,就不会走偏,也不会钻牛角尖。要补充强调的是,信息安全管理是人员、技术和流程的有效结合,很多事情仅靠技术解决不行,可能成本过高、难被理解、易被突破或存在争议,这时需要更多使用流程和人员方面的控制措施和手段进行弥补。

管理层需要确保有广泛而充分的安全意识和培训计划,以让所有人员对信息安全的认知满足最低的标准,同时不断引导新入职人员,并且保持所有人员对最新安全威胁、风险和防范措施的认知刷新。在这方面,昆明亭长朗然科技有限公司专注于帮助安全管理人员强化针对全员的信息安全意识宣教活动。我们有大量的方案和素材,可供选择使用。欢迎有兴趣和需求的安全人员联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机/微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

适用性声明SoA

虽然适用性声明在ISMS中是至关重要的,并且附于认可的ISMS证书。适用性声明是一项科学态度,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军补充说:针对风险评估结果,制定风险应对措施时,选择哪些控制措施,不选择哪些控制措施,控管结果可能会有差异。从科学角度讲,某些风险没有采取足够的控制措施,也是可以理解和接受的。但是总有人不明白,或者乘机捣乱,比如正好没采取控制措施的风险变成了事实。这时就不能随意说安全管理体系不行,或者安全管理者的水平不够。
从本文中,审计人员将开始确认是否有适当的控制措施部署到位和在运作之中,它的准备工作只能在风险评估计划完成,也就是风险处置计划制定完成时得到进行。
适用性声明是关于ISO 27001的附件A中的哪些控制适用于该组织,哪些不适用的声明。此外,它也可以包含来自其他来源的控制措施。

控制措施和附录A

标准中要求组织从ISO 27001的附件A中选择控制目标和控制项,这些已普遍被认为是一个组织所需要的,对这些控制的选择和排除需要有合理的解释。然而,它明确要求组织要彻底照章进行,并且表明,可以从其他的来源选择额外的控制。
ISO 27002提供了关于标准附件A中所列控制目标和部署的最佳实践。然而,一些组织可能需要做得比ISO 27002规定的要求更多,要多到何种程度,取决于其中技术和威胁的不断演进情况,毕竟ISO 27002的版本已经定稿、发布和更新。

控制

控制是安全漏洞的对策。正式的ISO 27002定义是“一种管理风险的措施,包括政策、程序、指引、实践或组织结构,它可以是一个行政的、技术的,管理的或法律的性质。”控制也用作“保障”或“对策”的代名词。
除了明知接受符合组织风险应对计划中关于风险接受准则要求的风险,以及通过合同或保险的方式转让风险之外,组织可以决定实施控制,以降低或减少风险。

残余风险

对每一项单独的风险提供全面所有的安全并不可能也不现实,但是可以通过将大多数风险控制到一个适当的水平以获得有效的安全,在这个水平管理层可接受剩余的风险。管理部门必须正式接受剩余的风险。

控制目标

从控制目标中选择控制。控制目标是一个组织企图来控制它的一些进程或资产,以及打算通过使用一些控制要达到的目的的声明。一个控制目标可能包含多项控制。
ISO 27001的附件A列出相应的控制目标,并列出要实现每项控制目标必需采用的最小控制措施。组织必须选择它的控制目标,以及选择相应的控制措施并执行,以便使它能够实现确定的目标。

安全事件响应计划

重要的是,在考虑控制时,可能出现的安全事故的检测也需要定义、考虑和计划。标准条文中要求实施控制措施以便“及时发现和响应安全事件”。实际上,在选择附录A所列的独立控制项时,应考虑包括需要搜集和保留哪些证据,控制的实施效果要得到什么样的测量。
关于实施效果的测量,要保证如下两点儿:
1.控制已得到实行,并得到有效地运作
2.如标准所要求的,每项风险都已经被降低到可接受的水平。实施控制过程中的任何错误,或执行过程中的失败,都能够被及时发现和得到及时的纠正,无论是通过自动或手动的方式,都能有效地减少或降低未来可能发生的任何风险到可接受的水平。

总之,SoA是一种科学,对于很多创新科技公司来讲,信息安全管理资源有限,要将资源用在关键的信息资产,比如核心部门和重要系统,列入到ISMS认证的范围之内,并采取尽可能全面综合的风险管控措施。