IT治理信息安全管理：标准、理解与实施 (3)

　　·对ISMS持续过程改进的重要性

　　·文档和记录方面更清楚的需求

　　·风险评估和管理过程的改进

　　·对新版本使用提供指南的附录

　　新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型，按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程，特别介绍了基于PDCA模型的过程管理方法，并在附录中为解释或采用新版标准提供了指南，如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下：

　　1. 计划（PLAN）:定义信息安全管理体系的范围，鉴别和评估业务风险

　　2. 实施(DO )：实施同意的风险治理活动以及适当的控制

　　3. 检查(CHECK)：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计

　　4. 改进(ACTION)：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。　　　　

　　图2 PDCA模型应用与信息安全管理体系过程

　　新版标准较BS7799-2:1999没有引入任何新的审核和认证要求，新标准完全兼容依据BS 7799-2:1999建立、实施和保持的信息安全管理体系（ISMS）。新版标准没有增加任何控制目标和控制方式，所有的控制目标和控制方式都是来自ISO/IEC 17799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面，而且采用了不同的编号方式，将BS7799-2:1999和ISO/IEC 17799:2000结合起来了。

[page]

4 BS 7799的简单评价

　　BS 7799提供了一个组织进行有效安全管理的公共基础，反映了信息安全的"三分技术，七分管理"的原则。它全面涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解，一般的单位都可以制定，具有可操作性，推广信息安全管理标准的关键在于重视程度和制度落实方面。

　　BS 7799是对一个组织进行全面信息安全评估的基础，可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档，以及如何根据组织的需要进行安全控制，可以作为一个非正式认证方案的基础。

　　然而，BS 7799仅仅提供一些原则性的建议，如何将这些原则性的建议与各个组织单位自身的实际情况相结合，构架起符合组织自身状况的ISMS，才是真正具有挑战性的工作。BS 7799在标准里描述的所有控制方式并非都适合于每种情况，它不可能将当地系统、环境和技术限制考虑在内，也不可能适合一个组织中的每个潜在的用户，因此，这个标准还需结合实际情况进一步加以补充。

　　此外，信息安全管理建立在风险评估的基础上，而风险评估本身是一个复杂的过程，不同组织面临不同程度和不同类型的风险，风险的测度需要有效的方法支持，因此按照该标准衡量一个系统还需要一些相关技术的配合。

5 信息安全管理体系的实施

　　实施管理体系需要切实可行的计划以及管理高层的支持。对于所有的管理体系，在实施的过程中都是运用相近的工具和相同的方法来完成。因此，以下内容同样适用于其它管理体系的实施。

5.1 了解BS7799管理体系及其要求　　

　　管理层支持

　　所有员工都与决定实施BS7799管理体系有关，并要求对体系所包括的内容有一定的了解。典型的例子是：当第一次实施BS7799管理体系时，管理高层决定实施，但实际实施的职责将落在实施经理的身上，如信息中心主任。理想的情况是，实施BS7799管理体系应由见多识广的管理高层来决定，他们的支持须贯穿于整个实施管理体系的长期过程中。

　　提升对管理体系的理解

　　所有实施体系的人员应了解标准并熟练掌握，因此需要将BS7799印刷多份并分发给参与体系实施的每一个人员，所有人员从仔细阅读BS7799标准，通过召开例会学习BS7799的总体内容，并藉此进行安全意识训练。在这个阶段，还可以通过专家讲座的形式，如管理高层亲自参加一天的介绍性的培训课程，这对体系的建立是有很大的好处，同时实施经理也会受益非浅，但如果能够参加更详细培训，毫无疑问这将更有利于BS7799标准的实施。

5.2 实施体系

　　选择性的支持服务和书籍

　　当真正决定开始实施信息安全管理体系时，参与培训课程和购买书籍是必不可少的。不过目前有不少企业为了实施的有效性，会选择聘请顾问公司来帮助建立信息安全管理体系。顾问公司可以在实施的全过程和怎样建立一套最适合客户业务发展的管理体系中起到协助的作用，并为客户提供更多的增值服务。

　　员工对信息安全管理体系的培训和掌握

　　在实施的过程中，全体员工对信息安全管理体系的认识是非常重要的。如他们的日常工作是什么和对其有什么影响。故培训课程对这方面是很有帮助的，另外有不少企业还会要求开发一些符合其自己特殊需求的课程。

5.3 申请信息安全管理体系的认证

　　一量信息安全管理体系开始运行，为了确保其长期有效的运行，获得第三方认证机构的认证是必要的。

　　选择合适的认证机构

　　·选择认证机构是一个综合考虑多种因素的复杂过程，选择一个最适合和最能满足自己需要的认证机构是非常重要的一步，通常需要考虑因素如下：

　　·地域的覆盖----某些认证机构只是覆盖较小的地域，但其它的认证机构则是在全球开展其业务。

　　·行业经验----一些认证机构在各行各业都有审核人员，但某些只是在少数行业内有审核人员。

　　·获得认可机构的认可----某些认证机构是没有获得认可的，有些则获得少数认可机构的认可，有些则获得很多认可，当然获得更多认可对申请认证的企业非常重要。

　　·价格的结成和比率----某些认证机构改变正常的费用，有些则不同。应着眼于多年的总计费用，而并不只是第一年的费用。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有