◆孫 琳 于 洋

（北京市南水北調信息中心 北京 100195）

論信息安全管理體系的構建

◆孫 琳 于 洋

（北京市南水北調信息中心 北京 100195）

隨著信息技術應用范圍的不斷擴大，公眾對于信息安全的關注日益增加，而構建完善的信息安全管理系統(tǒng)已經成為當務之急。本文將針對信息安全管理的構建進行研究，分析其框架構成，在此基礎上理清構建思路和實施保障等問題，為信息安全管理體系的進一步完善提供可行的理論支持。

信息安全；管理體系；構建優(yōu)化

0 引言

信息安全管理框架的構成需要遵循一定的流程，不同組織環(huán)節(jié)需要針對自身情況，構建起與相關業(yè)務相適應的信息框架，以保障其穩(wěn)定性和安全性。在信息傳輸過程中，需要以ISMS框架為基礎，并構建與之相匹配的文件、文檔管理模式，對信息安全框架內出現(xiàn)的各種風險隱患、安全事件等做出詳細記錄，構建起信息反饋制度，完善其反饋流程。

1 信息安全管理體系框架的構成

1.1 定義信息安全政策

由于組織規(guī)模不同，在信息安全政策的制定上也有一定差異。如果組織規(guī)模有限，則單一安全政策就能滿足其管理需求，并在內部各部門通用。如果規(guī)模組織較大，則需要根據(jù)不同部門實際情況執(zhí)行差異化安全政策。如果組織屬于集團化管理模式，則需要制定政策叢書，以此適應不同管理部門、分支機構的信息安全需求。但是無論的何種形式的安全政策，都需要體現(xiàn)出簡潔性、邏輯性和執(zhí)行性，能夠直奔主題不受中間環(huán)節(jié)干擾，構建起以安全政策為核心的信息管理框架。在實施過程當中，需要將安全政策作為主導方針，并形成書面格式下發(fā)給工作人員，針對相關人員進行政策指導培訓，對于信息安全負責人員則需要進行強化培訓，從而使組織人員對安全方針有全面把握。

1.2 定義ISMS范圍

在組織內部界定ISMS框架范圍，其范圍界定主要以組織現(xiàn)有結構為依據(jù)，并根據(jù)實際情況進行調整。只有建立起覆蓋層面完善的ISMS構架范圍，才能將信息安全管理落實到位。因此，在安全定義環(huán)節(jié)，需要將信息安全環(huán)境進行領域劃分，從而使不同領域具備與之相適應的安全管理規(guī)范。

1.3 實施信息安全評估

在信息安全評價中，其流程取決于風險敏感系數(shù)，因此在評價方式的選擇上需要與信息風險監(jiān)測相一致，具體實施方式有三種：

（1）對基本風險進行評估。根據(jù)風險標準對組織內信息風險進行評價，在評價標準中，列舉了常見信息風險及其管理要點，這些要點針對一般性信息安全評價具有較高的適應性。但是不同組織需要根據(jù)自身信息管理特點靈活調整。如果安全等級所設置的條件過高，那么常規(guī)監(jiān)管措施、實施成本也將相對增加，同時影響常規(guī)操作效率。但是，如果評估標準過低，又會影響信息安全管制力度。此外，還會造成信息安全與調度方面出現(xiàn)問題。因此，在信息系統(tǒng)做出升級、調整、優(yōu)化的同時，難以實現(xiàn)信息安全的預期要求。

（2）風險細化評估。也就是首先對信息內容做出細化歸納，并對其進行賦值，其后根據(jù)信息類型進行風險分析。信息風險細化分解能夠降低信息系統(tǒng)的脆弱性，并根據(jù)既有風險為未來信息安全框架的構架提供支持。組織內部的信息安全評價越完善，其安全需求方向也會更清晰。與風險基本評價模式相比，風險的細化評價將更有利于節(jié)約時間成本和人力物力，必要時可以引入外部技術支持以保證評價結構的科學性和客觀性。

（3）細化風險與基本風險評價相融合。首先以一般信息安全評價對體系內的信息風險進行發(fā)掘和篩選，從而確定核心信息的安全性。其后將信息體系之內的數(shù)據(jù)進行劃分，一類為常規(guī)信息，一類為特殊信息，兩者要區(qū)分對待。對于特殊信息的安全評價需要制定相應的、有針對性的方法，而一般信息則可以采用常規(guī)安全評價模式。兩者相結合能夠實現(xiàn)組織資源應用效率的最大化，但是其中也有一些缺陷存在。如果對于關鍵性信息的風險把握不足、判斷失誤，則會造成評估結構失真，對組織信息安全造成嚴重影響，信息安全將難以得到保障。在信息安全評價時，需要將多種后果進行綜合考察，尤其是針對ISMS范圍之內的信息做出科學評價，對于風險威脅以及系統(tǒng)脆弱性進行綜合評價，對既有安全監(jiān)管措施做出鑒定。

1.4 信息安全管理

在實施風險轉嫁之前，首先需要對采取一定措施，盡量減少風險影響。一些風險是可以規(guī)避的，例如利用技術優(yōu)化、調整操作程序等技術手段就可以實現(xiàn)。一般情況下，只有在風險確定不可回避、無法降低的情況下，才會考慮風險轉嫁問題。通常來說，風險轉嫁應用在低概率風險事件中，尤其是能夠對組織整體運行構成重大影響風險，會考慮采取風險轉嫁模式。組織出于技術條件限制或者經濟條件制約，需要慎重選擇這一安全管理模式。

1.5 確定管理目標及管制措施

在信息安全管理措施的制定中，核心原則在于成本必須低于風險損失。但是還需要注意到，有些特殊的風險后果并不是在經濟控制范圍之內，如商譽損失。信息安全始終處于動態(tài)管理體系下，管理人員需要根據(jù)管理目標、實施措施等對其進行動態(tài)調整和檢驗，從而使其與動態(tài)發(fā)展需求相匹配，進一步發(fā)揮信息安全管理的重要作用。

1.6 信息安全適用性申明

該申明能夠有效記錄信息風險的管控目標，并針對不同信息風險類型制定相應的管理對策。該申明的準備能夠明確組織人員對于信息安全、風險防御的態(tài)度，而最為明顯的作用則在于對外部環(huán)境出示其信息安全態(tài)度和行為，從而使外界環(huán)境對其信息系統(tǒng)的安全性、穩(wěn)定性、防御性有更全面的認識，將框架之內的防線管理控制在最低限度范圍。

2 信息安全管理體系構架的實現(xiàn)

2.1 建立ISMS管理框架

信息安全管理體系的構建，首先需要具備完善的ISMS框架。在具體操作過程中，需要兼顧多方因素。譬如落實框架的成本，其中包括培訓成本和報告成本，盡量協(xié)調原有工作慣性與管理框架的沖突，實現(xiàn)部門之間的協(xié)調合作等。

2.2 建立ISMS文檔并實現(xiàn)規(guī)范化管理ISMS框架的構建與實施，需要有相關文檔、文件為基礎。譬如在ISMS框架內，需要對文檔內容、框架等進行梳理和總結，其中包括了信息政策、管理目標以及申明措施等。明確ISMS框架的管制流程，明確具體操作過程，其中包括了IT服務、系統(tǒng)監(jiān)管、管理人員配置、用戶終端管理、相關人員責任等多種事項。文檔存儲形式較為多樣，但是需要對其類型和等級進行嚴格區(qū)分。同時還需要以未來信息認證、信息系統(tǒng)升級為目標，構建起適于第三方進行訪問的文檔類型。信息管理人員需要對文檔實施嚴細化管理，結合業(yè)務范圍變化，對文檔信息進行修訂和歸納，如果一些文檔已經與信息安全政策產生沖突，或者不再具備相應效能，則需要對其進行及時清理。處于知識產權考慮，還可以將文檔進行確定，其后保留。

2.3 安全事件記錄、回饋

在ISMS框架當中，需要對可能威脅信息安全的事件作出詳細記錄。該記錄能夠為組織制定安全政策、采取信息安全措施等提供必要依據(jù)。在事件記錄中需要調理清晰，能夠準確反映管理人員的具體活動和措施。對于安全記錄需要拓展保存，以書面或者電子文檔形式進行儲存，以便日后查詢或者作為補充材料使用。國家信息安全部已經出臺了信息安全管理標準，但是這些標準多數(shù)屬于原則性建議。而將這些建議結合自身情況進行落實，從而構建起與組織發(fā)展相適應的ISMS框架才是當務之急，同時也是工作的重點和難點。在信息安全管理體系的構建中，需要體現(xiàn)以人為本的管理理念，因為管理理念、信息素養(yǎng)、管理水平、管理決策都會對信息安全造成決定性影響，而這些因素的主導核心在于“人”，這就需要組織重視信息管理人員的專業(yè)素質，強化其安全管理意識，在信息安全框架的構建中體現(xiàn)出便捷化、精準化、安全化、靈活化的特點。

3 結語

ISMS信息安全管理體現(xiàn)出目標疊加的典型特點，是基于信息技術不斷發(fā)展完善之上的，呈現(xiàn)出動態(tài)化、閉環(huán)式管理特征。信息安全管理體系的構建，需要從安全評價、信息風險防御、監(jiān)督監(jiān)管、信息反饋等多個層面進行，需要建立起從上而下的監(jiān)督監(jiān)管體制，否則，信息安全管理體系將流于形式化，難以起到真正的控制管理目的。

[1]徐東華，封化民.信息安全管理的概念與內容體系探究[J].現(xiàn)代情報，2013.

[2]成芳.信息安全管理體系標準（ISO27001）對我們的幫助[J].中國標準化，2014.

[3]程秀權.信息安全管理體系建設研究[J].電信網(wǎng)技術，2013.