資訊保安管理體系建設論文
資訊保安管理體系建設論文
資訊保安管理體系是組織在整體或特定範圍內建立資訊保安方針和目標,以及完成這些目標所用方法的體系。下面是關於資訊保安管理體系建設論文的內容,歡迎閱讀!
摘要:近年來,隨著行業一體化“數字菸草”構建要求提高,行業的資訊化建設程序全面加速,資訊化已融入到企業基礎管理、生產製造、管理創新等諸多業務環節,資訊化與工業化已逐步走向深度融合之路。伴隨著兩化融合的發展,資訊保安問題日益嚴重,逐漸成為影響業務執行、制約企業發展的重要因素之一。因此,企業在開展資訊化建設的同時,必須注重資訊保安保障工作。然而保證企業資訊保安不能單純利用技術手段,必須“技術”與“管理”並重才能保障企業資訊保安。筆者針對企業資訊保安現狀,依據國家、行業相關標準,闡述對企業資訊保安管理體系建設的理解和看法。
關鍵詞:資訊化;資訊保安;安全管理
1、企業資訊保安現狀
近幾年,隨著行業資訊化建設逐步深入,伴隨著OA辦公自動化、ERP、捲菸生產經營決策管理和MES生產製造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對資訊系統的依賴程度越來越高,企業也逐步認識到資訊保安的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了菸草行業資訊保安保障體系建設指南和各類資訊保安制度,並透過這幾年資訊保安檢查工作,促進企業的資訊保安水平得到了進一步提高。
由於企業資訊保安意識不斷提高,企業不斷加大資訊保安方面的投入,如建立標準化的機房、購買與部署各類資訊保安軟體和裝置等。但是木馬、病毒、垃圾郵件、間諜軟體、惡意軟體、殭屍網路等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自於企業內部的資訊保安威脅,安全形勢不容樂觀。企業的資訊保安已不僅僅是技術問題,還需要藉助管理手段來保障。企業如果不能正確樹立資訊風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮資訊保安技術的作用,無法把企業的各項資訊保安措施落到實處,企業的資訊保安也就無從談起。只有切實發揮管理作用,企業的資訊安全才能得到有效保障。
2、企業資訊保安體系架構
在談到資訊保安時,大多數剛接觸的人都比較疑惑,都說保障資訊保安十分重要,那到底什麼是資訊保安呢?下面就簡單介紹一下資訊保安的概念以及企業的資訊保安體系架構。
2.1資訊。對企業來說,資訊是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。
2.2資訊保安。主要是指防止資訊洩露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。
2.3企業資訊保安體系架構。在保障企業資訊保安過程中,資訊保安技術是保障資訊保安的重要手段。透過上文對企業資訊保安現狀的分析,不難看出企業資訊保安體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。
2.3.1資訊保安技術體系作用。主要是指透過部署資訊保安產品,合理制定安全策略,實現防止資訊洩露、被篡改、被損壞等安全目標。資訊保安產品主要是指實現資訊保安的工具平臺,如防火牆類產品、防攻擊類產品、防毒軟體類產品和密碼類產品等,而資訊保安技術則是指實現資訊保安產品的技術基礎。
2.3.2資訊保安管理體系作用。完善資訊保安組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮資訊保安技術體系作用,確保資訊保安相關保護措施有效執行。透過上文簡單介紹,對資訊保安以及資訊安全系統有了大概瞭解。可以看出單純藉助技術或管理無法保障企業資訊保安,因此,建立企業資訊保安管理體系的重要性也就不言而喻。
3、資訊保安管理體系概念
3.1資訊保安管理。運用技術、管理手段,做好資訊保安工作整體規劃、組織、協調與控制,確保實現資訊保安目標。
3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標並實現這些目標的體系。
3.3資訊保安管理體系(ISMS)。在一定組織範圍內建立、完成資訊保安方針和目標,採取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。
3.4建立資訊保安管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、執行、監視、評審、保持和改進資訊保安。
3.5資訊保安管理體系涉及的要素。
3.5.1資訊保安組織機構。明確職責分工,確保資訊保安工作組織與落實。
3.5.2資訊保安管理體系檔案。編制資訊保安管理體系的方針、過程、程式和其他必需的檔案等。
3.5.3資源。提供體系運轉所需的資金、裝置與人員等。
4資訊保安管理體系機構設定以及作用
在建立企業的資訊保安管理體系之前,如果沒有設定相應的資訊保安組織機構,那麼建立體系所需要的資源(資金、人員等)就無法得到保障,企業的'資訊保安制度和策略也就無法貫徹落實,企業的資訊保安管理體系就形同虛設起不到任何作用。因此,企業在建立資訊保安管理體系前必須建立健全資訊保安組織機構,機構設定可以根據職責分為三個層次。
4.1資訊保安決策機構。資訊保安決策機構處於安全組織機構的第一個層次,是本單位資訊保安工作的最高管理機構。應以單位主要領導負責,對資訊保安規劃、資訊保安策略和資訊保安建設方案等進行審批,併為企業資訊保安工作提供各類必要資源。
4.2管理機構。處於安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常資訊保安的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的資訊化部門承擔。
4.3執行機構。處於資訊保安組織機構的第三個層次,在管理機構的領導下,負責保證資訊保安技術體系的有效執行及日常維護,透過具體技術手段落實安全策略,消除安全風險,以及發生安全事件後的具體響應和處理,執行機構人員可以由資訊中心技術人員與各部門專職或兼職資訊保安員組成。
5資訊保安管理體系的建立
ISO/IEC27001:200x標準的“建立ISMS”章節中,已明確了資訊保安管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的資訊保安管理體系,並形成相應的體系檔案。
5.1建立的步驟。
(1)結合企業實際,明確體系邊界與範圍,並編制體系範圍檔案。
(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針檔案。
(3)確定風險評估方法。
(4)識別資訊保安風險,主要包括資訊保安資產、責任、威脅以及造成的後果等。
(5)進行安全風險分析評價,編制評估報告,確定資訊保安資產保護清單。
(6)明確安全保護措施,編制風險處理計劃。
(7)制定工作目標、措施。
(8)管理者稽核、批准所有殘餘風險。
(9)經管理層授權實施和執行安全體系。
(10)準備適用性宣告。
5.2資訊保安管理體系涉及的檔案。
檔案作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和資訊保安需要。在實際工作中,企業員工應按照檔案要求嚴格執行。
5.2.1體系檔案型別主要涉及方針、程式與記錄三類。方針類主要是指管理體系方針與資訊保安方針,涵蓋硬體、網路、軟體、訪問控制等;程式類主要是指“過程檔案”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程式檔案結果,常以是表格形式出現。至於適用性宣告檔案,企業應結合自身情況,參照ISO/IEC27001:200x標準的附錄A,有選擇性地作出宣告,並形成宣告檔案。
5.2.2體系必須具備的檔案。主要包括方針、風險評估、處理、檔案控制、記錄控制、內部稽核、糾正與預防、控制措施有效性測量、管理評審與適用性宣告等。
5.2.3任意性檔案。企業可以針對自身業務、管理與資訊系統等情況,制定自己獨有的資訊方針、程式類檔案。
5.2.4檔案的符合性。檔案必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系檔案協調一致,避免衝突,同時在文字描述準確且無二義。
6體系實施與執行
主要包括策略控制措施、過程和程式,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、執行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際執行情況,監控與評審執行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部稽核、管理評審等環節,並根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
從上文不難看出,資訊保安管理體系建設的四個主要環節就是建立、實施和執行、監視和評審以及保持和改進幾個部分。但是,這不是資訊保安管理體系建設的全部。實際上資訊保安管理體系建設最核心和最關鍵的部分,就是把建立(P規劃)、實施和執行(D實施)、監視和評審(C檢查)以及保持和改進(A處置)四個重要環節形成PDCA的動態閉環的管理流程,這種管理方法就是PDCA迴圈,也稱“戴明環”。只有按照P-D-C-A的順序持續迴圈,體系才能高效運轉與不斷完善,資訊保安管理水平才能不斷提升。
同時資訊保安管理也必須結合企業實際,不斷嘗試與使用新的資訊保安技術,做到與時俱進,才能符合企業實際情況和發展需要,不會隨著時間的推移與現實嚴重脫節,慢慢失去作用。