保持和改进信息安全管理体系

在获得了信息安全管理体系的评审之后,组织机构可以暂时放松并庆祝一下。但是,不要以为从此就可以高枕无忧,对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示说:保持和改进信息安全管理体系,维护ISMS认证证书的有效性,需要组织证明其尽职尽责。

保持和改进相关的内容非常简短,它反映了ISO 27001条款的简单需求,即PDCA中的A,相关条款列出了从前面C监控和评审活动中学习到的所有东西的要求,它们需要得到实施。它也和ISO 27002有密切关联,包括持续改进、纠正措施、预防措施,它描述了这项活动的目的和它一定要成为组织信息安全管理体系日常管理工作中的必不可少的一部分。

管理评审

这里也和管理评审有关系,管理评审应该导致“采取适当的纠正和预防措施”,以及随时随地推进可能影响ISMS的变革,和改进的建议。

需要注意的是纠正性和预防性措施应基于风险评估的结果区分优先级别。

分析和评估风险对任何组织都是必需的核心竞争力,对实现和维护ISO 27001标准认可的认证非常重要。标准的最后语句也指出:“对非符合项的预防措施通常要比纠正行动更具成本效益。”它总结了标准基于风险的,具有成本效益的,常识性的方法。

绩效评估

信息安全管理体系的认证审核内容当然也会包括此“行动”(PDCA之A)步骤,以考察组织对方法论的理解和执行情况。正式版的ISO 27004专门用于指导对信息安全管理的绩效评估。这一标准提供各类组织如何衡量和报告他们的信息安全管理体系的有效性的方法。它涵盖ISO 27001中定义的信息安全管理流程和ISO 27002中定义的安全控制。

为了便于评估信息安全管理体系的有效性的,ISO 27004提供用于开发和使用的测量和评估指南和建议,包括信息安全管理体系策略和目标,以及ISO27001中特别指定的安全控制。
ISO 27004标准也适用于实施信息安全管理体系的各类规模的组织。

这些衡量应该允许信息安全活动得到有针对性的评估、各个阶段的信息安全活动达到得的各项水准得到监控,各类不同的组织也可以得到相应的参照值,并进行信息安全有效性的评比。

美国国家标准技术研究所NIST也有发布相关的信息安全绩效评估指南,编号文档:SP800-55。它是开发信息安全管理体系的衡量和矩阵的指南。

补充之话

信息安全管理体系是一个动态的不断循环改进的过程,信息安全管理者需要注意不断改进工作,并保持工作记录,以证明在不断维持和改进信息安全管理体系。简单说,就是要按科学的方式工作,并且“秀”出来。很多从信息安全技术转至管理岗位的人员,对文档和记录的注重度不够,这就会在后续审计工作时遇到麻烦,需引起警惕。

昆明亭长朗然科技有限公司以帮助提升客户职员的信息安全意识为己任,创作了大量的知识内容,同时,针对管理层,我们也设计和制作了相关的安全管理知识课程,欢迎有兴趣的信息安全管理负责人员联系我们,共同研究和探讨安全管理治理话题。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

实施和运作信息安全管理体系

依照ISO27001的指导思想,部署信息安全管理体系ISMS的第一阶段,包括完成适用性声明SoA。SoA必须识别出控制目标和选定的控制措施,以及选定它们的原因,它又同时回应到风险评估和风险应对计划。标准还要求识别出目前已实施的控制,以及识别出信息安全管理体系日常运作中涉及到的绝大多数控制。昆明亭长朗然科技有限公司信息安全管理专员董志军对此表示,很多安全人员以为信息安全就是安装各种安全系统,然而安装安全系统也需要有指导纲领,也需要有方法论。

差距分析

下一步的关键是进行差距分析。差距分析的目的是确定风险评估进程中识别出的控制和SoA中记录的控制,以及实际部署的控制之间的差距。在大多数组织中,实际上拥有的控制措施和它们所需要的并不一致,这种情况并非罕见。这种不一致并非仅仅包含说组织缺乏相应的控制措施,而且也包含已有的控制措施没有得到恰当正确的操作,或者一些控制根本没有必要。差距分析需要同时对信息安全管理体系和流程管理方面进行评估,同时还要对已经实施的技术控制进行评估,最好是由独立于被评估领域之外的专家进行。

差距分析使本组织能够将风险处置计划的第二也是最重要的部分放在一起,“管理信息安全风险的管理行动、资源、责任和优先级别”是一套详细的行动计划,运用它们,可使组织切实实施其信息安全管理体系。如前所述,风险处理计划是联接信息安全管理体系PDCA循环的四个阶段的关键文件,并确保一切需要做的得到了贯彻执行。

部署实施

信息安全管理体系的设计和实施的剩余第二阶段包括以下五项活动:

  1. 实施风险处理计划和SOA中确定的控制;
  2. 定义如何衡量和评估所有控制的有效性;
  3. 实施信息安全意识,教育和培训和宣传活动方案。从高处看,信息安全管理体系的成功,离不开人们的行为。有效的信息安全是技术、人员和流程三大要素的紧密配合,少了任何一项,都不足够。
  4. 管理信息安全管理体系,所有的联锁控制和程序必须继续工作,新的威胁需要得到识别、评估和进行必要的处理。人员需要招募和训练,要监督他们的绩效表现,以及按照业务不断变化的需求开发他们的技能。ISMS的有效性必须加以管理,长期的持续改进必须得到计划和领导;
  5. 实施事件检测和响应程序,它连接到ISO27002的信息安全事件管理。它包含两项控制目标和五项控制措施。开发和实施信息安全事件管理流程合乎标准的要求,并且经常开始于信息安全管理体系项目的启动。

总结与补充

信息安全人员要注意站在全局角度看安全控制系统,这样才能走出狭窄封闭的小圈子。大的图景在心中,在部署落实控制措施时心中有数,对控管目标和总体方向有适当的把握,就不会走偏,也不会钻牛角尖。要补充强调的是,信息安全管理是人员、技术和流程的有效结合,很多事情仅靠技术解决不行,可能成本过高、难被理解、易被突破或存在争议,这时需要更多使用流程和人员方面的控制措施和手段进行弥补。

管理层需要确保有广泛而充分的安全意识和培训计划,以让所有人员对信息安全的认知满足最低的标准,同时不断引导新入职人员,并且保持所有人员对最新安全威胁、风险和防范措施的认知刷新。在这方面,昆明亭长朗然科技有限公司专注于帮助安全管理人员强化针对全员的信息安全意识宣教活动。我们有大量的方案和素材,可供选择使用。欢迎有兴趣和需求的安全人员联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机/微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898