信息安全管理與管理體系 科飛管理咨詢有限公司 吳昌倫 王毅剛目前我國的信息安全管理主要依靠傳統的管理方法和手段來實現，傳統的管理模式缺乏現代的系統管理思想，而技術手段又有其局限性。保護信息安全，國際公認的、最有效的方式是采用系統的方法（管理技術）。目前國際性標準ISO/IEC 17799就是這樣一套系統的信息安全管理方法。本欄目特別邀請出版了信息安全管理概論BS7799理解與實施、BS7799和ISO/IEC17799信息安全管理體系及其認證認可相關知識問答兩書的科飛管理咨詢有限公司的顧問專家，闡述運用相關國際標準實施信息安全管理體系應該注意的問題。組織的信息資產和其他資產一樣對組織具有重要作用，組織為了保證這些信息資產的安全，需要付出持續的努力。在采取行動之前，需要首先理解信息安全的目標。明確信息安全管理目標為了保障組織信息資產的安全，為了更好的理解和便于操作，信息安全管理目標通常被分解為保持組織信息資產及其所支持業務流程的三個性質：保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。保密性 保障信息只有被授權使用的人可以訪問。完整性 保護信息及其處理方法的準確性和完整性。可用性 保障授權使用人在需要時可以獲取信息和使用相關的資產。各類組織，無論其規模和性質，其信息安全管理行為的目的都是為了保障組織的信息資產及其所支持業務流程的保密性、完整性和可用性。如果把組織的信息安全管理行為作為一個過程(一組將輸入轉化為輸出的相互關聯或相互作用的活動，見ISO 9000:2000質量管理體系基礎和術語)來看待，其輸入應該是組織和其他相關方對組織信息安全管理的要求和期望，而輸出應該是令組織和相關方滿意的信息安全狀態（見圖1）。圖1：信息安全管理過程作用示意圖組織不僅需要達到滿意的信息安全狀態，而且要持續地保持這種狀態。這要求組織建立保持機制，保證組織能夠不斷的識別并適應自身情況和環境的變化。應用系統方法解決系統問題實踐證明，信息安全是個復雜的系統問題，必須以系統的方法來解決。建立管理體系(建立方針和目標并實現這些目標的體系，見ISO 9000:2000質量管理體系基礎和術語)是系統解決復雜問題的有效方法。正如同為了保證質量管理的有效性、充分性和適宜性，組織需要建立質量管理體系(QMS)；為了保證信息安全管理的有效性、充分性和適宜性，組織需要建立信息安全管理體系(ISMS)。從系統管理的觀點來看, 一個體系(系統)必須具有自組織、自學習、自適應、自修復、自生長的能力和功能才可以保證其持續有效性。信息安全管理體系通過不斷地識別組織和相關方的信息安全要求，不斷地識別外界環境和組織自身的變化，不斷地學習采用新的管理理念和技術手段，不斷地調整自己的目標、方針、程序和過程等，才可以實現持續的安全。下面結合國際著名的信息安全管理體系標準BS 7799-2:2002信息安全管理體系規范討論信息安全管理體系的作用。理解“過程模型”的作用BS 7799-2:2002標準的總要求是“組織應在其整體商業活動和風險范圍內，建立、實施、保持并持續改進一個文件化的信息安全管理體系”。為了滿足這個總要求， BS 7799-2:2002采用的過程模式如圖2所示，也就是將過程分解為“計劃-實施-檢查-措施”四個階段，通過四個階段周而復始的循環，使體系得到保持和改進。這個過程模式不僅可以像圖2那樣用于信息安全管理體系的整體過程，同樣可以應用于體系所涵蓋的任何其他過程及其子過程，例如信息安全風險評估或者商務持續性計劃的安排等過程。圖2：PDCA過程模式策劃階段 要保證信息安全管理體系的范圍和環境得到建立，信息安全風險合理評估并針對風險制定了可行、有效的風險處理計劃。實施階段 就是執行策劃階段的決定和方案，配備相應的資源，進行必要的培訓，保持策劃的信息安全管理文件，在組織內形成適當的風險和安全文化，獲得所有相關方的支持。檢查階段 目的是確認控制方法按既定的目的行之有效，發現改進的機會，認識到糾正措施只是必需的。BS 7799-2:2002附錄B中提供了幾個檢查的實例，包括：例行檢查、自查程序、向其他人學習、審核和管理評審等。很多計算機系統可以做到自動審核，聯動響應機制幾乎可以做到即時審核、即時響應。當然標準還要求組織有其他的響應安排，例如響應安全失效事件、所保護信息資產的重要更改、新威脅或薄弱點的出現等。當然每年還必須進行至少一次的管理 評審，以確保整個管理體系達到既定方針目標。措施階段 不僅需要根據檢查的結果采取糾正措施，重要的是以長遠的眼光觀察和解決問題，確保工作不僅致力于目前的問題，而且還要預防或降低類似事故再發生的可能性，這應成為持續改進循環的本質部分。BS 7799-2:2002標準還要求組織將體系的更改及時通知相關方，如需要還應該安排必要的安全培訓。策劃和實施階段一直延伸到第一次管理評審，可以認為是信息安全管理體系持續改進過程 “啟動器”。檢查和措施階段通常是進一步補充、改正、改善前面所識別并實施的安全方案。通過這樣一個閉合的環，信息安全管理體系得以自組織、自學習、自適應、自修復、自生長，也即BS 7799-2:2002所說的保持并持續改進。BS 7799-2:2002其他特征BS 7799-2:2002信息安全管理體系規范是由英國標準協會開發的信息安全管理體系標準，其對于信息安全管理體系的地位與ISO 9001質量管理體系要求之于質量管理體系類似，可以作為審核、認證和自我評價的依據。為了響應組織應該是“良好企業公民（good corporate citizens）”的呼聲，1999年世界經合組織(OECD)發布經合組織企業治理原則(OECD principles of Corporate Governance)。目前這些原則在全球范圍內得到廣泛實施，這些原則要求組織建立完善的內部控制體系。BS 7799-2:2002在前言部分說明，信息安全和信息安全管理體系應該作為組織內部控制體系的一部分，并且BS 7799-2:2002的方法可與這些原則完美結合。例如英格蘭和威爾士特許會計師協會針對經合組織企業治理原則發布的指南特恩布爾報告(Turnbull Report，1999)要求組織應該進行：（a）商業風險分析（計劃）；（b）管理響應風險的內部控制（實施）；（c）驗證有效性的管理評審（檢查）；（d）必要時采取措施（措施），這和BS 7799-2:2002的要求基本一致。為了降低管理的整體復雜程度,便于組織理解和接受,信息安全管理體系的建立和保持，應該采用和其他管理體系相同的方法。BS 7799-2:2002提倡采用過程方法建立、實施組織的信息安全管理體系，并持續改進其有效性。過程方法鼓勵組織重視下列內容的重要性： 理解(組織)業務信息安全要求，以及為信息安全建立方針和目標的需求； 在管理組織整體商業風險背景下實施和運行控制； 監控并評審信息安全管理體系的業績和有效性； 在目標測量的基礎上持續改進。BS 7799-2:2002采用了和ISO 9001、ISO 14001相類似的標準結構(其對照關系見表1)，為信息安全管理體系和質量管理體系、環境管理體系等的整合運行提供了方便的實現途徑。由此可見，依照BS7799-2:2002建立的信息安全管理體系，在模式和方法上都和其他管理體系兼容，可以很容易和其他管理體系相融合成為統一的內部綜合管理體系。BS77992:2002ISO9001:2000ISO14001:199600.10.20.3引言總則過程方法與其他管理體系相容性00.10.20.4引言總則過程方法與其他管理體系的相容性引言11.11.2范圍總則應用11.11.2范圍總則應用1范圍2引用標準2引用標準2引用標準3術語及定義3術語及定義3定義44.14.24.34.3.14.3.24.3.34.3.4信息安全管理體系總要求過程文件要求總則ISMS手冊文件控制記錄的控制44.10.24.24.2.14.2.24.2.34.2.4質量管理體系要求總要求過程模式文件要求總則質量手冊文件控制記錄的控制44.14.4.44.4.44.4.54.5.3環境管理體系要求總要求環境管理體系文件環境管理體系文件文件控制記錄55.1管理職責管理承諾55.15.5.3管理職責管理承諾內部溝通4.4.14.24.4.34.4.14.4.14.4.14.4.14.4.2組織結構和職責環境方針信息交流組織結構和職責組織結構和職責組織結構和職責組織結構和職責培訓、意識和能力5.25.2.15.2.2資源管理資源的提供培訓、意識和能力66.16.26.2.16.2.2資源