小師妹聊安全標準(二)
上一篇聊的是關于風險評估實施的安全標準,看到有人留言懷疑我冒充小師妹,我覺得并沒有冒充的必要,反倒我希望各位圈友把我當成兄弟,不吝賜教。
身邊一個朋友常掛在嘴邊的一句話是“做人嘛,開心最重要”,我就是這個態度,能把自己感興趣的東西,一邊學習一邊有所輸出,并能和大家一起交流,互相幫助,開心就好。聊標準的目的本身也就是想把標準通俗化,想要大家都能一看就明白,但由于本人水平有限,內容上難免有點差強人意。
我今天想和大家聊的是關于信息安全管理體系的標準《GB/T 31496-2015 信息技術 安全技術信息安全管理體系實施指南》。
一、該標準的簡單描述
這個標準其實就是國際標準ISO/IEC 27003:2010的中文翻譯,并沒有做多少改動,主要用來指導信息安全管理的過程,將信息資產的風險控制在組織可接受的安全范圍內。
該標準同另外8個標準共同組成了信息安全管理體系標準族(簡稱ISMS標準族),如下:
通常情況下,ISMS的實施被作為一個單獨的項目來執行。既然是項目我們應該都知道,一個項目的啟動,前期都要經過詳細的計劃、統籌并要得到相關領導的批準,這是***個階段,其余幾個階段我們后面也要具體講到。無論是大型組織還是小型企業,在做ISMS項目時都可以參考該標準來執行,參考本標準時建議配合ISMS標準族的其他幾個標準一起使用。
二、ISMS的實施階段
從項目實施的角度,包括五個階段:
當然,每個階段都會涉及到相關文件的輸出,這個不管做什么項目應該都是這樣,下面將講每個階段具體需要做什么,需要輸出什么樣的文檔(一個項目要輸出的文檔是真的多)。
(一) 獲得領導對ISMS項目的批準
當前階段是要讓領導了解ISMS項目實施的必要性以及能帶來的利益,可通過創建業務案例、制定初步的項目計劃來獲得領導的批準。
總的來說,該階段要做的事情分為三步走,如下圖所示:
1. 闡明組織開發ISMS的優先級
通俗點說,就是要讓領導知道為什么要做這個ISMS項目,對公司能帶來什么價值。在闡述的時候呢,***把這幾個問題講清楚就差不多了。
- 風險管理— ISMS如何產生更好地管理信息安全風險?
- 效率— ISMS如何能改進信息安全的管理?
- 業務優勢— ISMS如何能為組織創造競爭優勢?
2. 初步制定ISMS的范圍以及角色職責
(1) 初步制定ISMS的范圍
ISMS的范圍確定其實和前面提到的三個問題相關,一般從以下8個因素來考慮:
a) 關鍵的業務域和組織域:
- 關鍵業務域和關鍵組織域是什么?
- 組織哪些域提供該業務以及關注什么?
- 有什么第三方關系及其協議?
- 是否有外包服務?
b) 敏感信息或有價值的信息:
- 什么信息對組織是至關重要的?
- 如果某些信息被泄露給未授權方,可能產生什么后果(例如,失去競爭優勢、損害品牌或名譽、引起法律訴訟等)?
c) 對信息安全測量有要求的相關法律:
- 什么法律適用于組織的風險處置或信息安全?
- 組織是否是必須對外進行財務報告的公眾性全球性組織的一部分?
d) 與信息安全有關的合同協議或組織協議:
- 對數據存儲的要求(包括保留期限)是什么?
- 是否有任何與隱私或質量有關的合同要求(例如,服務級別協議 -SLA)?
e) 規定特定信息安全控制措施的行業要求:
- 有哪些行業特定的要求適用于組織?
f) 威脅環境:
- 需要什么類型的保護,及需要應對哪些威脅?
- 需要保護的信息的特定類別是什么?
- 需要保護的信息活動的特定類型是什么?
g) 競爭動力:
- 對信息安全的最小化市場要求是什么?
- 哪些另外的信息安全控制措施可為組織提供競爭優勢?
h) 業務持續性要求:
- 關鍵業務過程是什么?
- 對每個關鍵業務過程而言,組織能夠容忍其中斷的時間是多長?
如果這些問題有了答案,那么ISMS的范圍也就初步確定了。之后還需要輸出一份初步的ISMS范圍文檔,內容包括:
- 組織的管理者對信息安全管理的指示概述,以及外部施加于組織的義務
- ISMS范圍內的區域如何與其他管理體系交互的描述
- 信息安全管理的業務目標清單(前面問題的回答)
- ISMS將被應用的關鍵業務過程、系統、信息資產、組織結構和地理位置的清單
- 現有管理體系、規章、符合性和組織目標之間的關系
- 業務、組織、位置、資產和技術等方面的特點
(2) 初步制定ISMS范圍內的角色和職責
根據企業的大小,角色和職責的劃分可能會不同,因為對于稍微小點的企業,并沒有一人一崗的條件,一般都是一個人擔任多種角色,但是例如CISO、CIMO等負責整個信息安全管理的角色還是要設置的,然后其他崗位的設置按照工作內容所需要的技能來分配員工的角色和責任。
舉個完善的ISMS項目中角色與職責的例子:(圖片來源于標準)
3. 創建業務案例和項目計劃書
在前兩步完成后,就可以開始創建業務案例和項目計劃了,這兩份東西是領導同意執行項目的關鍵,所以一定要做好;項目計劃書包含前面講到的五個階段的相關活動,就大體是我們今天講的內容。
實施ISMS的業務案例需涵蓋以下主題:
- 目的和特定目標;
- 組織的利益;
- 初步的ISMS范圍,包括受影響的業務過程;
- 實現ISMS目標的關鍵過程&因素;
- 高層級項目概要;
- 初始的實施計劃;
- 已定義的角色和責任;
- 需要的資源(包括技術和人員兩方面);
- 實施考慮事項,包括現有的信息安全;
- 帶有關鍵里程碑的時間計劃;
- 預期的成本(重要);
- 關鍵的成功因素;
- 組織利益的量化。
4. 當前階段需要輸出的文檔
(二) 制定ISMS范圍和方針策略
根據初步的ISMS范圍和組織內關鍵的信息資產來確定詳細的ISMS范圍和邊界,并制定ISMS方針策略。
1. 制定ISMS范圍和邊界
(1)定義組織的范圍和邊界
范圍前面已經差不多確定了,邊界的話主要是便于賦予組織內的可核查性,標識出相互不重疊的責任域,需要考慮的因素有:
- ISMS管理論壇應由ISMS范圍所直接涉及的管理人員組成;
- ISMS的管理成員,應是最終負責所有受影響的責任域的人員(即,他們的角色通常由其所跨越的控制措施和責任指定的);
- 在負責管理ISMS的角色不是高層管理者的情況下,高層發起人基本代表對信息安全的利益,并在組織的***層起到ISMS倡導者的作用;
- 范圍和邊界需要予以定義,以確保考慮了風險評估中所有相關的資產,確保強調了可能發生于這些邊界上的風險。
(2)定義信息通信技術(ICT)的范圍和邊界;
ICT范圍和邊界的定義可通過一種信息系統的途徑來獲得(而不是基于IT技術),如果把信息系統的業務過程也歸入ISMS范圍,那么還要考慮所有相關的ICT元素,包括:存儲、處理或傳輸關鍵信息、資產的組織的所有部分以及ISMS范圍內對這些組織部分是至關重要的其它元素,需要考慮的因素有:
- 社會與文化的環境;
- 適用于組織的法律法規、規章和合同的要求;
- 關鍵責任的可核查性;
- 技術約束(例如,可用的帶寬和服務的可用性等)。
通過以上考慮,ICT邊界應包括以下事宜的描述(在適用時):
- 組織負責管理的通信基礎設施,其中包括采用各種不同的技術(例如無線網絡、有線網絡或數據/語音網絡);
- 組織使用和控制的組織邊界內的軟件;
- 網絡、應用或生產系統所需要的ICT硬件;
- 有關ICT硬件、網絡和軟件的角色和責任。
(3)定義物理范圍和邊界
物理指的是屬于ISMS的各部門內的建筑物、位置或設施,這個應該不用多講。
(4)集成每一個范圍和邊界
通過集成每一個范圍和邊界(前面講了三個)來獲得ISMS的范圍和邊界,例如,可以選擇諸如數據中心或辦公室的物理位置,并列出一些關鍵過程(比如移動訪問一個中心信息系統);其中每一個關鍵過程均涉及一些之外的域,而該數據中心就可使這些之外的域成為范圍之內的域。(通俗的說,這個集成就好比拉關系,你認識我,我又認識小二,通過我,你和小二就認識了,我們三個就在一個朋友圈里了。)
2. 制定ISMS方針策略和獲得領導批準
在定義ISMS方針策略時,應考慮以下方面:
- 基于組織的要求和信息安全優先級,建立ISMS目標;
- 為達到ISMS目標,建立一般性的關注和動作指南;
- 考慮組織的信息安全要求、法律法規或規章,以及合同義務;
- 組織內風險管理語境;
- 建立評價風險和定義風險評估結構的準則;
- 闡明高層管理者對ISMS的責任;
- 獲得管理者的批準。
3. 當前階段需要輸出的文檔
(三) 信息安全要求分析
對信息資產進行標識,了解在ISNS范圍內這些信息資產的信息安全狀況。我們在信息安全分析時,要先收集的信息包括:
- 正確的基本數據;
- 標識實施ISMS的條件并形成文件;
- 提供一份清晰并已很好理解的組織設施;
- 考慮組織的特殊情況和狀態;
- 標識所期望的信息保護水平;
- 在所提議的實施范圍內,確定企業部分或企業全部所需的信息編輯。
在這個階段,我們需要分為三步來完成,如下圖:
1. 定義ISMS過程的信息安全要求
在定義ISMS過程的信息安全要求時,要圍繞信息的重要程度來定義,一般需要做的工作有:
- 初步標識重要的信息資產以及當前的信息安全保護;
- 標識組織的愿景,并確定所標識的愿景對未來信息處理要求的影響;
- 分析信息處理、系統應用、通信網絡、活動場所和IT資源等的當前形式;
- 標識所有的基本要求(例如,法律法規和規章的要求、合同義務、組織要求、行業標準、客戶和供應商協議和保險條件等);
- 標識信息安全了解的程度,并由此針對每一個運行和管理單位,導出相應的培訓和教育要求。
2. 標識ISMS范圍內的資產
這個應該是最簡單的一步了吧,有哪些資產梳理出來就好,記得做好分類。
在ISMS項目中,有一些關鍵的過程也需要寫清楚,一般包括的內容有:
- 過程的唯一名稱;
- 過程描述及其所關聯的活動(創建、存儲、傳輸和刪除);
- 過程對組織的至關重要性(關鍵的、重要的和支持性的);
- 過程責任人(組織部門);
- 提供輸入的過程以及這一過程的輸出;
- 支持過程的IT應用;
- 信息分類(保密性、完整性、可用性、訪問控制、不可否認性,和/或對組織有用的其他重要特性,例如,信息可能保存的時間)。
3. 進行信息安全評估
根據我們前面兩步得出的內容,將現有的信息安全水平與我們***階段制定的組織目標進行比較,來執行信息安全評估。信息安全評估的基本目的是以策略和指南形式,為管理體系提供支撐,參與信息安全評估的人員應該由了解當前環境、條件,并了解信息安全相關事物的人進行評估活動,(這一步主要就是對梳理出來的屬于ISMS內的信息資產做脆弱性分析,關于脆弱性分析,可參考上一篇風險評估的文章)
一個成功的信息安全評估,應采取以下措施:
- 標識和列出相關的組織標準;
- 標識已知的控制要求,這些控制要求一般出現在策略、法律法規和規章的要求、合同義務、過去審核的發現或過去執行的風險評估的發現;
- 針對組織信息安全水平,做出當前要求的粗略估算。
4. 當前階段需要輸出的文檔
(四) 風險評估和規劃風險處置
這一階段相當于是一個風險管理的過程,具體可參考ISO/IEC 27005:2008 信息安全風險管理,在這里同樣分為三步來執行:
1. 風險評估
在這里風險評估的方法就不再講了,這一步目的是要得出風險評估的結果。
2. 選擇控制目標與控制措施
這一步是根據風險評估的結果來進行風險處置,選擇適當的控制措施,制定風險處置計劃。在風險降低的情況下,管理每一個風險與已選擇的控制目標和控制措施之間的關系,有利于設計ISMS的實施。可以添加到描述風險與所選擇的風險處置措施之間關系的列表中。當控制措施中可能包含有部分敏感信息的時候,可將生成的信息作為在定義資產期間創建ISMS的一部分。
3. 獲得領導授權
相當于經過前面四個階段的工作,把得出的數據和形成的文件交給領導看,說明在ISMS項目中可能會出現的風險,在領導接受殘余風險后,簽署授權決定文件。
4. 當前階段需要輸出的文檔
(五)設計ISMS
經過前面四個階段的執行,最終就是設計ISMS項目實施計劃。在設計ISMS時,要從組織安全、ICT安全、物理安全以及ISMS特定事項(包括監視;測量;內部的ISMS審核;培訓和意識;安全事件管理;管理評審;ISMS改進)等四方面考慮。
1.設計組織的信息安全
組織的信息安全:包括行政管理方面的信息安全,包括風險處置的組織運行責任。組織安全宜形成一個活動集,該活動集為處理和改善與組織需求和風險有關的信息安全,產生相應的方針策略、目標、過程和規程。
(1)設計信息安全的最終組織結構
為ISMS所設計的組織結構,要反映ISMS實施和運行的活動,并強調活動實施方法,例如監視和記錄方法,作為ISMS運行的一部分。
具體的組織結構在***階段中的制定角色和職責中已經講過,不再復述。
(2)設計ISMS的文件框架
ISMS的文件框架主要包含ISMS記錄和文件。ISMS記錄包括:建立一個框架,描述ISMS的建檔原則、ISMS文件結構、所涉及的角色、數據格式,以及向管理者報告的途徑;設計文件要求;設計記錄要求。
ISMS文件應包括管理者決定的記錄;確保相關措施可追蹤到管理者的決定和策略,并且所記錄的結果是可再現的,對ISMS文件還必須進行管理,管理手段是:
- 建立ISMS文件管理的行政管理規程;
- 文件發布前得到正式批準;
- 確保文件的更改和現行修訂狀態得到識別;
- 把文件作為組織的信息資產進行保護和控制。
(3)設計信息安全方針策略
信息安全方針策略記錄了組織的戰略定位,以及整個組織相關的信息安全目標,是基于信息和知識而擬定的。在方針策略中,還必須指出,如果不遵守該方針策略的后果,同時強調影響組織解決問題的法律和法規,擬定的方針策略要在組織有關人員之間進行溝通。
方針策略應該簡明扼要,以使有關人員能理解該方針策略的意圖。另外,方針策略要充分地凸現需要什么目標,以便強調相關的一組規章和組織目標,對于大型和復雜的組織(例如,擁有大量不同的運行域),可能有必要擬定一個總方針策略和一些運作上經改編的基礎性方針策略。
(4)制定信息安全標準和規程
這個標準和規程是基于強調整個組織的信息安全,為的是給組織的信息安全工作提供合規性參考。制定信息安全標準和規程應成立一個小規模的編輯組,安排一些組織代表或專家加入,根據風險評估的結果對現有的信息安全標準和規程加以評審和修訂。
2. 設計ICT安全和物理信息安全
ICT安全:不僅涉及信息系統和網絡,還涉及運行要求;
物理信息安全:涉及訪問控制、不可否認性、信息資產的物理保護和存儲或保管什么等所有方面,也涉及本身保護手段的安全控制措施。
設計ICT安全和物理信息安全作為ISMS項目計劃的一部分,在執行前要建立如下文檔:
【解釋一下控制措施:就是為了解決問題而采取的措施】
- 首先,要進行ICT安全和物理安全的概念設計(考慮因素有:控制目標的規格說明、工作量和資金的分配、時間進度、集成了ICT安全、物理安全和組織安全后的可選措施);
- 其次,像系統開發一樣進行ICT安全和物理安全的實際設計(考慮的因素有:針對各ICT域、物理域和組織域,設計所選擇的每一個控制措施、實例化每一個控制措施、為促進安全意識的控制及其培訓課程,供給相應的規程和信息、在工作場所上,供給該控制措施的援助和實施)。
3. 設計ISMS特定的信息安全
(1)管理評審的計劃
ISMS活動的管理評審應該在ISMS規格說明和業務案例開發的最早階段開始,并持續不斷地進行ISMS運行的定期評審。為了規劃評審,必須對涉及的角色進行評估,并向領導提供有關評審過程的必要性及目的的充分數據。
管理評審應該基于ISMS測量的結果和在ISMS運行期間收集的其他信息。這些信息被ISMS的管理活動使用,以決定ISMS的成熟程度和有效性,同時管理評審也應包括對風險評估的方法和結果的評審,按計劃的時間間隔進行,考慮到環境中的所有變化,諸如組織和技術的變化。
在執行管理評審之前,要規劃好內部的ISMS審核。內部的ISMS審核包括:控制目標、控制措施以及ISMS的的過程和規程,看它們是否得到有效地實施和維護。
(2)設計信息安全意識、培訓和教育方案。
對參與ISMS項目中有明確角色和職責的每一個人員,根據不同的角色進行相關技能的教育和培訓,以確保他們有能力執行所需要的操作,為ISMS目的實現做出貢獻。
信息安全意識培訓和教育方案要從安全培訓和教育的記錄得以產生。這些記錄宜定期評審,以確保所有人員都接受過其所需要的培訓,建議安排專人負責。也可建立一個信息安全培訓組,負責創建和管理培訓記錄、培訓教材以及進行培訓事宜。
培訓的內容應包含:
- 有關信息安全的風險和威脅;
- 信息安全的基本術語;
- 安全事件的清晰定義:關于可如何標識安全事件、宜如何處理和報告安全事件的指南;
- 組織的信息安全方針策略、標準和規程;
- 組織內與信息安全有關的責任和匯報渠道;
- 如何輔助信息安全改進的指南;
- 信息安全事件和報告的指南;
- 從何處獲得更多信息。
4. 產生最終的ISMS項目計劃
將我們前面所講的所有階段,得出的文件、數據,正式的編入一份詳細的實施計劃中去,把每個階段有可能用到的實施工具和方法,也一同編入項目計劃中。當ISMS項目涉及組織內很多不同的角色時,要把這些活動清晰地指派給有關責任方,要在項目初期且在整個組織內進行溝通。
***,最重要的是保證每個負責該項目的人員都能分配到足夠的資源。
5. 當前階段需要輸出的文檔
總結
這個安全管理的項目做起來應該算是一個比較大、比較復雜的項目了,想要項目做得好,首先要有優秀的頂層設計,還要做好統籌規劃(包括完善的組織結構),當然,領導的全力支持也是特別重要的。
