王雁

摘 要 隨著信息時(shí)代的快速發(fā)展，業(yè)務(wù)需求驅(qū)使企業(yè)開展信息安全管理工作，建立信息安全管理體系，降低信息安全風(fēng)險(xiǎn)，確保信息安全目標(biāo)。根據(jù)《ISO/IEC 27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求》，信息安全就是保護(hù)企業(yè)信息，確保保密性、完整性、可用性保持在適當(dāng)水平。企業(yè)通過識(shí)別信息資產(chǎn)，根據(jù)保密性、完整性、可用性三性影響因素定義重大信息資產(chǎn)評(píng)定規(guī)則，通過風(fēng)險(xiǎn)評(píng)估準(zhǔn)則評(píng)定企業(yè)信息安全風(fēng)險(xiǎn)等級(jí)。根據(jù)信息安全管理體系ISO27001風(fēng)險(xiǎn)等級(jí)，選擇合適的控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的范圍，保持公司商務(wù)持續(xù)性發(fā)展，為企業(yè)正常運(yùn)營保駕護(hù)航。

關(guān)鍵詞 信息安全 管理體系 風(fēng)險(xiǎn)評(píng)估

一、引言

為提高企業(yè)的信息安全管理水平，保障企業(yè)的生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動(dòng)，防止由于人員的流失、信息系統(tǒng)故障、數(shù)據(jù)的丟失、設(shè)備運(yùn)行的間斷、敏感信息的泄密導(dǎo)致的業(yè)務(wù)中斷或安全事故，企業(yè)迫切需要依據(jù)《ISO/IEC 27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)要求，建立了文件化的信息安全管理體系。信息安全管理體系是企業(yè)實(shí)施信息安全管理工作的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針，實(shí)現(xiàn)企業(yè)信息安全管理工作的有效運(yùn)行和持續(xù)改進(jìn)。

二、信息安全管理體系認(rèn)證范圍全面

企業(yè)信息安全管理體系認(rèn)證范圍的確定，主要考慮到企業(yè)的實(shí)際業(yè)務(wù)特點(diǎn)和資源的合理利用，在全公司范圍內(nèi)建立信息安全管理體系，如相關(guān)方包括政府、監(jiān)管單位、認(rèn)證單位、客戶、供應(yīng)商、管理層、內(nèi)部部門及員工等。建立與服務(wù)客戶、安全服務(wù)廠商、上級(jí)監(jiān)管單位、外部安全咨詢專家等外部組織的聯(lián)系，以便跟蹤行業(yè)趨勢，學(xué)習(xí)各類先進(jìn)的信息安全技術(shù)和管理手段。各相關(guān)方的信息安全要求和期望均應(yīng)及時(shí)識(shí)別，并在實(shí)際業(yè)務(wù)開展時(shí)應(yīng)遵照執(zhí)行，有利于公司全面的提高公司信息安全管理水平，保障業(yè)務(wù)穩(wěn)定發(fā)展的需求。

三、信息安全管理體系認(rèn)證管理流程梳理

企業(yè)依據(jù)《ISO/IEC 27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求，需考慮行業(yè)的特點(diǎn)，根據(jù)企業(yè)主要業(yè)務(wù)流程所產(chǎn)生的信息流及其依賴的計(jì)算環(huán)境進(jìn)行安全要求的確定。對企業(yè)現(xiàn)行業(yè)務(wù)流程進(jìn)行全面的了解，按照標(biāo)準(zhǔn)評(píng)估企業(yè)的信息安全體系，識(shí)別各業(yè)務(wù)流程采取的管理流程和管理職責(zé)。對照標(biāo)準(zhǔn)要求，尋找改進(jìn)的機(jī)會(huì)，根據(jù)信息安全管理體系的風(fēng)險(xiǎn)評(píng)估方法論、國家標(biāo)準(zhǔn)，制定科學(xué)、有效、適用的風(fēng)險(xiǎn)評(píng)估方法。

四、信息安全管理體系認(rèn)證資產(chǎn)保護(hù)

信息安全管理體系包括信息安全風(fēng)險(xiǎn)的來源識(shí)別、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)跟蹤驗(yàn)證以及信息安全管理體系各流程的落地跟蹤，還需要對由于外部組織訪問而帶來的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，則通過信息安全管理體系ISO27001審核認(rèn)證過程來確保安全目標(biāo)達(dá)成，因此信息安全管理體系認(rèn)證每個(gè)過程具有指導(dǎo)性作用。

第一，在信息安全管理體系認(rèn)證中，通過建立信息安全管理組織，啟動(dòng)和控制企業(yè)信息安全工作的實(shí)施，批準(zhǔn)信息安全方針與策略，確定信息安全管理人員和職責(zé)分工，協(xié)調(diào)整個(gè)信息安全管理體系的有效運(yùn)行。

第二，信息安全管理體系標(biāo)準(zhǔn)將企業(yè)信息資產(chǎn)主要分為五大類，包括人員資產(chǎn)、電子數(shù)據(jù)、文檔資產(chǎn)、軟件資產(chǎn)和硬件資產(chǎn)。針對信息安全管理體系指出的信息安全特性信息資產(chǎn)保密性、完整性、可用性，制定評(píng)價(jià)準(zhǔn)則。其中，保密性按信息的訪問權(quán)限等級(jí)或信息的存儲(chǔ)、傳輸及處理設(shè)施/人員涉及信息的訪問權(quán)限等級(jí)來評(píng)估資產(chǎn)保密性的要求等級(jí)劃分；完整性按資產(chǎn)的準(zhǔn)確性或完整性受損而造成組織的業(yè)務(wù)持續(xù)或形象聲譽(yù)受影響的嚴(yán)重程度來評(píng)估；可用性按資產(chǎn)使用或允許中斷的時(shí)間次數(shù)來評(píng)估。通過信息資產(chǎn)三性評(píng)價(jià)，識(shí)別企業(yè)重大信息資產(chǎn)，做好生產(chǎn)運(yùn)營和信息安全相關(guān)的信息資產(chǎn)管理，做好各體系流程監(jiān)控工作。

第三，建立和維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)和實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)，確保信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果。評(píng)估信息安全風(fēng)險(xiǎn)，在信息安全管理體系范圍內(nèi)，通過信息安全風(fēng)險(xiǎn)評(píng)估流程，識(shí)別由于信息的機(jī)密性、完整性和可用性的喪失帶來的風(fēng)險(xiǎn)，評(píng)估識(shí)別的風(fēng)險(xiǎn)產(chǎn)生的潛在后果，評(píng)估識(shí)別的風(fēng)險(xiǎn)轉(zhuǎn)化為事件的可能性，將風(fēng)險(xiǎn)分析結(jié)果與定義的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較，最終確定信息資產(chǎn)風(fēng)險(xiǎn)的等級(jí)，根據(jù)風(fēng)險(xiǎn)等級(jí)確定風(fēng)險(xiǎn)處置的優(yōu)先等級(jí)。依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)論，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置方式；確定信息安全風(fēng)險(xiǎn)處置所需的各項(xiàng)控制措施，最終得到風(fēng)險(xiǎn)責(zé)任人對信息安全風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)接受的審核。

從業(yè)務(wù)需求出發(fā)，遵從風(fēng)險(xiǎn)管理的理念，注重過程管理，建立和實(shí)施信息安全管理體系，確保與信息安全相關(guān)的資源、技術(shù)、管理等因素處于受控狀態(tài)，形成文件并加以實(shí)施、保持和持續(xù)改進(jìn)，有效防范各類安全事故或人為有意的破壞事件，保證企業(yè)信息的保密性、完整性和可用性，確保各項(xiàng)業(yè)務(wù)的連續(xù)性。

在業(yè)務(wù)需求及信息安全目標(biāo)的驅(qū)動(dòng)下，企業(yè)建立信息安全管理體系及方針，本著預(yù)防為主的指導(dǎo)思想，采取各項(xiàng)主動(dòng)預(yù)防措施，建立信息安全和風(fēng)險(xiǎn)防控體系，增強(qiáng)全員的安全意識(shí)，完善應(yīng)急機(jī)制，加強(qiáng)內(nèi)部安全檢查，做到防患于未然；建立有效的信息安全風(fēng)險(xiǎn)評(píng)估和管理機(jī)制，及時(shí)采取相應(yīng)的技術(shù)及管理控制措施，控制風(fēng)險(xiǎn)，保證業(yè)務(wù)持續(xù)、穩(wěn)定、安全運(yùn)行；持續(xù)優(yōu)化信息安全管理，不斷改進(jìn)技術(shù)控制措施，逐步增強(qiáng)人員信息安全意識(shí)，規(guī)范人員行為，實(shí)現(xiàn)信息安全水平的全面提升，為企業(yè)的穩(wěn)定運(yùn)營保駕護(hù)航。

（作者單位為鄂爾多斯市源盛光電有限責(zé)任公司）