信息安全管理体系研究.doc

信息安全管理体系研究 摘要：随着信息技术的不断应用信息安全管理已经逐渐成为各企业或各机构管理体系的重要组成部分了解信息安全对企业发展的重要性制定科学合理的方案构建完善的信息安全管理体系是当前企业发展中需要解决的问题之一 关键词：信息;管理体系;安全 一、概述 信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作保持信息的保密性、完整性和可用性其中保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产因此做好信息安全管理体系的研究对于提升信息的安全性具有现实意义 二、信息安全管理体系 2.1信息安全管理体系介绍根据网络安全相关统计表明网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上因此解决网络信息的安全问题除从技术层面进行改进外还应加强网络信息的安全管理力度信息安全管理体系的建设是一项长期的、系统的、复杂的工程在建设信息安全管理体系时应对整个网络系统的各个环节进行综合考虑、规划和构架并根据各个要素的变化情况对管理体系进行必要的调整任何环节存在安全缺陷都可能会影响整个体系的安全 2.2信息安全管理体系的功能信息安全管理是指导企业对于信息安全风险相互协调的活动这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等企业要实现对信息资产进行安全、高效、动态的管理就需要建立科学、完善、标准的信息安全管理体系因此一个有效的信息安全管理体系应该具备以下功能：对企业的重要信息资产进行全面的保护维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件当信息系统受到非法入侵时能使相关的业务损失降到最低并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制以应对新的安全威胁 三、信息安全管理体系的构建 3.1信息安全管理框架的建立 信息安全管理框架是建设信息安全管理体系的基础和参照依据企业应根据自身的生产情况或经营情况搭建适合企业自身发展的信息安全管理框架并在具体的业务开展中对各安全管理制度进行实施并建立各种与信息安全管理构架相一致的文件或文档记录信息安全管理体系实施过程中出现的安全事件和异常状况为后期建立严格的反馈制度提供参考 3.1.1信息安全管理策略企业应制定信息安全管理策略为企业的信息安全管理提供方向和依据对于企业来说不仅要建立总体的安全策略还应在此基础上根据风险评估结果制定更加详细、具体、具有可行性的安全方针对各部门及各职员的职责进行明确的划分和控制如访问控制策略、桌面清理策略、屏幕清除策略等 3.1.2范围划分企业应根据企业自身的特性结合企业所在的地理位置、资产和技术等对信息安全管理体系的范围进行科学界定一般来说企业信息安全管理体系包括的项目主要有信息系统、信息资产、信息技术、实物场所等 3.1.3风险评估企业需要对风险评估和管理方案进行科学选择在选择时应根据企业自身的实际情况进行规范评估对目前所面临的信息安全风险和风险等级进行准确识别企业的信息资产是风险评估的主要对象评估时应考虑的因素有资产所受到的威胁、薄弱点及受到攻击后对企业的影响风险评估的方法有多种但无论选择种评估工具其最终的评估结果是一致的 3.1.4风险管理企业应根据信息安全策略和所要求的安全程度对要管理的风险内容进行识别风险管理主要是风险控制企业可采取一定的安全措施将风险降低到企业可接受的水平除降低风险外还可通过转移风险、规避风险的方法维护企业信息资产的安全对于信息资产来说风险并不是一成不变的当企业发生变化、过程发生更改、技术进行革新或新风险出现后原有的风险就会随之发生变化这种变化也是对风险进行管理的重要参考 3.1.5控制方式的选择风险评估后企业应从已有的安全技术中寻求有效的控制方法降低已识别的风险控制方式还可包括一些额外的控制如企业新增加的控制方式或其他法律法规所要求的控制方式 3.1.6适用性声明信息安全适用性声明主要是对企业内风险管理目标、针对每种风险所采取的控制措施等内容改进记录这种记录的主要目的是企业向内部员工表明信息安全管理的重要性同时也是企业向外部表明企业对信息安全及风险的态度和作为 3.2管理构架的实施信息安全管理体系(ISMS)框架的构建只是建设信息安全管理体系的第一步而框架的实施才是构建ISMS的重要步骤在实施ISMS过程中应对管理体系、实施的具体费用、企业职工的工作习惯、不同部门之间的合作等各个要素进行综合考虑企业可按照既定目标和实施方式对信息的安全性进行有效控制这种有效性主要通过两方面指标体现一是控制活动执行的严格性;二是活动的结果与既定目标的一致性 3.3信息安全管理的文档化在信息安全管理体系的建设和实施过程中应建立相关的文件和文档对ISMS管理范围、管理框架、控制方式、具体操作过程等进行记录备案在对文档进行管理时可根据文档的类型和重要性对其等级划分并根据企业业务和规模的变化对文档进行定期的修正和补充;而对于一些不再具有参考价值的文档可定期进行废弃处理 四、总结 随着信息时代的到来信息在企业发展中的作用越来越强大并且已经成为企业的一种重要资产对于企业信息资产来说做好信息的安全管理工作对于企业的发展具有重要意义在建立信息安全管理体系时应对管理框架、管理范围、管理方式等内容进行科学选择并做好相关的文档记录为后期信息安全管