安全管理

信息安全的管理责任

admin

“一把手责任制”不仅在国内很流行,在整个国际也是如此。对此,昆明亭长朗然科技有限公司信息安全管理咨询委员会主任董志军表示:一次安全生产事故可能导致从安全员到部门领导到单位最高领导的系列人员受惩戒。惩戒往往会令有些人觉得不服,尤其是意外的不可控的灾难,因为最高领导可能在这方面是外行,甚至已经在保障安全方面尽职尽责了。相对于国内在追究责任方面的“一刀切”,国际方面显得更为科学,如果领导层的工作做的很到位,完全可以免责;反之,如果一线人员工作很到位,警示了领导相关的安全隐患,但领导不作为,那一线人员则可以免责。

在信息安全领域,实施ISO 27001认可的ISMS是影响整个组织的事情。范围和政策声明的清晰划分是得到明确要求了的。对范围内的例外情况需要记录下辩护的理由,而政策应适用于整个组织。

该标准还明确表示,ISMS的设计应以满足组织的需要,并应以满足并不断满足这些需要的方式进行实施和管理。

管理指导

本标准要求管理层应“必要传达给组织符合信息安全目标与遵守信息安全政策的重要性。”这些要求在ISMS标准的后续版本越来越得到加强,因为事实越来越清楚地表明:没有这些管理方面的支持和指导,设计并建立ISMS是很难的。

ISMS的战略性质,在标准4.1章节中有明确的规定要求,它声明“组织应建立、实施、运作、监督、审查、维持和改善一个可记录的ISMS,以应对该组织在整体商业活动环境中所面临的风险。”组织针对风险处理的总体方针设定应同本标准的风险评估策略相一致。

管理层的责任是非常重要的,第5条全专门设置了详细的规定,要求管理层“应当提供其承诺的建立、实施、运作、监督、审查、维持和改进ISMS的证据。”

提供管理层承诺的证据

ISO 27001认证审核员希望看到表明这一条款的要求得到了满足的证据。通常的做法是通过和首席执行官或其他对整体业务负责的执行人员进行面谈,以及审查记录 (这些记录如会议记录,议程表等,其中就包含管理层对政策进行了辩论、达成了一致协议、进行了检查和并且测定了改进目标)。至关重要的是,管理层必须决定 可接受风险的准则和水平,这是一个关键步骤,没有它的话,从整个ISMS的制定到部署控制所依据的风险评估过程不能得到进行。

管理相关的控制措施

附录A特定指出管理参与的一些控制措施。它们的详细编号如下:

* A.5.1.1 信息安全策略文档,必需得到管理层的批准
* A.6.1.1 对信息安全的管理承诺; 管理部门必须通过“指明方向,明确承诺,明确任务,以及承担信息安全责任”来积极地支持。承诺的主要表现包括:信息安全政策,建立和扩展ISO 27001项目组,协调信息安全的活动,以及分配信息安全的责任。
* A.6.1.4 授权信息处理设施的流程;其中一定要有一个管理程序,以授权新的信息处理设施
* A.8.2.1 管理责任;这项控制规定管理层 “应要求员工,承包商和第三方用户遵守和应用组织既定的安全政策和程序。”
* A.10.1.3 职责分离;在考虑责任的分配时必须考虑这项重要的要求
* A.11.2.4 进行用户访问权限审查;这个控制要求管理层应当使用正式的程序定期审查用户的访问权限
* A.15.1.2 对信息安全策略和标准的遵从;这项控制明确从各个管理层级延伸管理职责,要求管理人员“确保在其责任区内的所有安全程序得到正确地执行,以实现对安全政策和标准的遵从。”

管理评审的要求

除了控制要求,标准在第7条(ISMS的管理审查)中提到,“管理层应该在计划的时间间隔内,审查组织的ISMS,以确保其持续活动的适宜性,充分性和有效性。”这一节清楚地界定了所需的(至少每年一次的)输入审查过程;以及包括从所有组织的监督和审查活动中得到的产出。 管理审查的输出应形成文件,并应得到贯彻执行,它应带来稳定和持续不断的ISMS改善。一个经过ISO 27001认证的ISMS在认证有效期内将定期得到审查,这些审查将集中考察组织和它的管理层如何推动了持续改进的过程。

总结

不管怎么说,信息安全不仅是技术人员和每个人员的事情,更是管理层的工作要务,管理层必须要积极参与,在信息安全管理工作中,作出承诺,做好指导,并全力参与必要的管理控制措施。首先,如果管理人员不知道自己做什么,那就请信息安全专业人员明确告知。其次,在坚持不懈地勤勤恳恳工作之时,切记保持工作记录。虽说恶性信息安全事件发生时,管理层相关领导必须被紧急追究责任,但是在之后,必定会有更为细致的申辩环节,如果申辩的好,可以免责,至少内心无愧,或者能减轻不少惩罚。

作为信息安全管理咨询服务与培训专员,我们积极助力我们的客户成功建立信息安全管理体系,也积极保护我们的客户免受由于安全管理工作不慎而带来的灾难,这是一种信息安全方面的大爱,于公于私都是有利于世界的。针对中高阶管理层,昆明亭长朗然科技有限公司创作了一个课时的管理层信息安全课程,其中包括个人安全意识和安全管理入门,欢迎有兴趣的管理人员、安全人员、培训人员等等联系我们,进行作品的预览和采购使用。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

浅晰信息安全管理系统的文档要求和记录控制

admin

设计和实施管理系统的关键原因之一是使组织能够认识自己的现状,在能力成熟度模型方面,它被称为一个“混沌”的组织。“混沌”组织没有一个固定的程序,或流程,结果很大程度上取决于人们的表现,而人们却花了很多时间在“消防救火”上,比如不停地修复软件错误和解决突发事件。对此,昆明亭长朗然科技有限公司信息安全管理学院的院长董志军表示:如何走出“混沌”的困境呢?在缺乏“法治”文化环境的亚洲国家,尤其需要注意逐渐建立并完善可执行的工作流程。那些不具执行力的,或者只是为了走走过场或者秀一秀的,就最好不要浪费人力物力去弄了。如何是“可执行”呢?很简单,对比管理流程与执行结果(记录文件)。

ISO 9001:2000是一个众所周知的获得广泛实施的质量保证或业务流程管理系统。如果该组织没有和ISO 9001认证管理体系兼容的文件控制体系,组织则应当获得ISO 27001的4.3条中涵盖的关于文档控制和记录问题的指导手册。

文档控制要求
ISO27001明确要求管理制度要记录在案。控制A.10.1.1明确要求的安全程序要被记录、维护、并提供给所有需要它们的用户。
其他在附件A中有明确的文件要求的包括:
* A.7.1.3可接受的资产使用
* A.8.1.1记录在案的人力资源安全的角色和责任
* A.11.1.1访问控制策略
* A.15.1.1鉴别适用的法律法规

许多其他的控制需要“正式”程序或者“明确”的沟通,而这些可以在技术上不被记录而实现,期望是所有的流程和程序都被记录。

ISMS文件的内容
文件必须是完整的、全面的、符合标准的要求并且适应每个组织不同的需求。符合要求的ISMS将有充分的记录。ISO 27001描述了ISMS所需的最小的文档体系,表明该组织保持了足够的记录,用以证明其遵守规定与标准。这些文件包括:
* 信息安全政策,ISMS的适用范围声明,风险评估,各种控制目标和适用性声明。总之,这些构成了ISMS的政策手册。
* 组织和它的管理层在ISMS的指定范围内采取的行动的证据(包括董事会会议和指导委员会会议的记录,以及其它的特别报告)。该标准规定,应记录管理层的决定,这样所有的行动都应追溯到这些决定和政策,任何已记录的结果应可以重复记录。
* 一个管理架构说明(包括指导委员会等等)。这和组织结构图可能是有相关的,非常有用。
* 风险处置计划和实施每一个指定的控制措施的基础文件程序(其中应包括责任和需要采取的行动)。一个程序描述包括,谁必须做什么,在什么条件下,或什么时候 以及如何做。这些程序将是政策手册的一部分,本身可以是纸张或电子的。标准还规定,选择的控制之间的关系,风险评估的结果和风险处理过程,以及ISMS的 政策和目标,都应该得到展示。
* 有关ISMS的管理和审查的治理流程应包括责任和必要的行动。
并不是所有组织都要实现一个同样复杂的文件结构。标准指出“由于组织的不同,ISMS文档深度可以有所不同,这些不同包括组织规模和活动的类型;安全需求和被管理系统的范围和复杂度。

记录控制
标准关于记录控制的要求对那些已经实施ISO 9001的人们来讲非常相似。因为4.3.3条规定,记录的保留是为了提供证据表明ISMS的符合标准的要求。在正常的期限中,组织也有法律法规监管所要 求的其它记录需要保存。这些记录是为了展示ISMS的有效性,这些记录必需得到良好控制,记录的内容要真实、准确、清晰和易于识别和检索;这就意味着,特 别是对电子记录,即使硬件和软件已经升级,对它们的访问必须得到保留。

附件A文件控制
附件A中有进一步的ISMS文档相关的控制要求。它们也是很重要的,这些控制包括:
* A.7.2.1分类指导原则,它处理保密分级
* A.7.2.2处理信息的标签,其中涉及不同保密级别的信息和信息媒介如何被标记
* A.15.1.3保护记录,其中涉及保存组织文件
* A.15.1.4数据保护和个人隐私信息。

文件层级
按照一般管理体系的惯例,通常是由四个层次构成的,不过也有小型组织将第二层和第三层综合一起以简化文档管理的:

第一级–安全政策手册
它是管理架构的摘要,其中包括了信息安全方针政策和控制措施目标,以及适用性声明中所提及已实施的控制措施。

第二级–各类程序文件
程序用来实施所要求的控制措施,描述由谁,做什么,在什么条件下或什么时候,以及如何做等的安全流程。

第三级–具体的作业指导书、检查清单等
解释特殊工作和活动的细节,以及如何完成特定的工作。包括详细的工作指导书、表单、流程图、服务标准和系统手册等。

第四级–记录文件
实施各项流程的执行记录成果,以符合上述1、2和3等级文件要求的客观证据。

补充与剖析

在实际工作中,我们可以看到:有很多专业人员不喜欢弄文档,也不喜欢受流程的“束缚”。他们觉得制作PPT、工作报告和作业记录是文职人员干的,其实这种想法非常错误。程序文件用来指导工作,文件记录是工作的输出内容之一,也是关键的证明物。因此,记录文件应该是信息安全管理工作的重要组成部分,不仅专业人员应该注意调整自己的认识,管理人员也应该特别注意文档体系和记录控制,不能仅仅交由熟练Office办公软件的下属去弄。

“混沌”的组织缺乏制度化的管理文件,也缺乏制度化管理的输出记录。“成熟”的组织也没有多么高强,只是在不断地创建和更新制度文件,并严格地执行。人是容易忘记很多事情的,也容易流失或扯皮。如果组织在信息安全管理方面有了文档记录,就相当于人类在漫长的进化过程中有了文字片的历史记录,因此可以不断促进文明向前发展。

昆明亭长朗然科技有限公司认识到制度化、流程化对于信息安全管理的重要性,因此,我们在针对全员的信息安全意识培训课程内容中特别强调安全政策标准、规范流程等的重要性,也会讲解各种安全控管措施的精要内涵,以便受众可以理解并认可相关的管控精神。我们深信,只有用户认可了信息安全要求,他们才会认真遵守。我们有大量的安全意识宣教素材内容,并不断进行开发创作中,欢迎有兴趣的客户联系我们,预览作品或进行业务合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898