企业信息安全管理体系建设与运行方法探讨

1、 信息安全一直伴随人类社会,从未离弃 计算机时代的信息安全走势 ICT技术的发展报告 1997年，David Moschella对IT技术 发展的历史和趋势 给出了一个如左图 所示的总结和预测 从微软windows系统漏洞看国际信息安全态势 微软操作系统历年漏洞走势微软操作系统历年漏洞走势 年份漏洞数 2002171 2003345 2004311 2005417 20061090 20072437 20084129 20095028 20105897 占了OS世界市场90的微软操作系 统被发现的脆弱数(漏洞)快速增长 （见右表）; NSA认为，对美国国防部系统的成 功攻击，90%以上是利用了

2、已知的 漏洞 从我国信息安全案件走势看国内信息安全态势 年份立案数刑事案件数违法案件数 200513500150813000 200615090148014509 200718050163215001 200820085290819080 200924582230222241 201030901290830005 每年每年我国公安机关办理的各类信 息安全违法犯罪案件数，都呈现 20%左右的增速。大有。大有GDP、 CPI增速无法比拟的态势增速无法比拟的态势 企业的核心信息资产泄密的主要矛盾在哪里？ 企业42%的核心资产与人直 接相关,46%与人紧密相关; 当与人关联时,就是规范化运 作与建设的

3、问题,即就是管理 体系建设的问题,不是单纯技 术能够解决的问题 综上：魔高一尺，道高一丈，ISMS应需而来 解决信息安全问题的两种方案 产品导向型 需求导向型 ISMS是需求导向型的解决信息安全问题的方案 组织机构组织机构： 明确职责、权限 程序程序： 告诉相关人员怎么做 过程过程： 具体的执行情况，如何做的？ 比如执行人是否每周2次检查 了某个应用程序的日志？ 资源资源： 可调配、使用的人员、设备等 培训 管理管理 体系体系 组织 结构 程序 过程 资源 什么叫ISMS信息安全管理体系? Information 信息 信息是一种重要资产，对组织 的业务非常关键。 信息可以 以各种形式存在，可

4、以印刷或 写在纸上，以电子形式存储、 邮寄或使用电子手段传输，以 影片播放或对话。 Information Security信息安全 对信息的保密性、完整性和可 用性的保护，同时涉及真实性 、责任区分、防止抵赖和可靠 性等其他特性。 Information Security Management System信息安全 管理体系 是管理体系的一部分，基于 业务风险的方法，建立、实 施、运行、监控、评审、维 护和改进信息安全。 简单地说，是为了确保组织 信息的“三性”，设立的组 织机构、程序、过程和资源 。 step1如果如果 ISO/IEC27000标准历史沿革 ISO/IEC27002:200

5、5 ISO/IEC27002:2005 的主要内容 过程方法过程方法 风险方法风险方法 测量方法测量方法 俗话说“打蛇打七寸”，ISMS的“七寸” 何在？ 有人把ISMS（信息安全管理体系） 比喻成一栋大厦，有人把它比喻成一台 机器无论比喻成什么，核心的思想 就是在于说明：用正确的方法做正确的 事情。 这要求考虑： 我们以什么作为指导思想来建 设体系 我们遵循什么样的科学逻辑来 实施与运作体系 我们依靠什么力量来保证正确 的指导思想、科学的实施逻辑得以有效 落地 体系的指导思想应是什么？ 系列标准 （对应被引为我国国家标准，比如 ：，引为我国国 标等），经 过实践证明是体系建设的最佳指导 思想

6、。 或许这样对比更容易理解，这个标准对 的意义，就如指导原子弹成功研制 的爱因斯坦质能方程的意义一样，它将指导 组织成功建立其核心资产保护体系。 体系的科学运营逻辑是什么？ 美国管理学大师戴明发现了管理体系的运营规律，即 戴明环，被所有管理体系标准遵从。 的解析 管理可控的管理可控的 ISMS 信息安全方针、目标和活动反映业务目标 体系建设关键成功因素1,保证ISMS方向与企业战略方向一致 与组织文化一致的信 息安全方法 体系建设关键成功因素2选择适合企业文化的信息安 全执行文化 所有管理层可见的支持和承诺 体系建设关键成功因素3获得企业管理层的认可与授权 对信息安全要求、风险评估和风险管理

7、有好的理解 体系建设关键成功因素4企业信息安全执行团队较好 把握信息安全核心知识技能 有效地对员工和其他人推销信息安全 体系建设关键成功因素5对关联各方持续安全意识培育 向所有员工和其他人分发信息安全指南 体系建设关键成功因素6编制和分发通俗易懂的安全 操作手册 足够的财务支持足够的财务支持 体系建设关键成功因素7将安全建设预算纳入公司年 度财务预算 适当培训和教育 体系建设关键成功因素8培育员工适度的安全防护知 识技能 有效的信息安全事故管理过程 体系建设关键成功因素9建立公司信息安全响应 “神经系统” 安全可控的安全可控的 企业业务信息资源企业业务信息资源 体系前期咨询服务体系前期咨询服务

8、 安全咨询顾问服务，将 把“用正确的方法做正 确的事”这块布料，裁 剪成适合你公司业务战 略需求“身段”的衣服 建设过程风险评估与培训服务建设过程风险评估与培训服务 安全风险评估与培训服 务，帮助你日常有效运 作信息安全管理体系， 不致于你穿上的衣服洗 了一两次以后，就缩水 废弃了 运作中持续优化运作中持续优化 持续的优化改进投入，确 保了信息安全管理体系与 时俱进保护你企业业务的 健康良性发展大厦完 工交付后，大厦的有序使 用依赖于持续的管理维护 我们已经解码了“用正确的方法做正确的事” ，那么开 启ISMS机器的“钥匙”在哪里？ 是的，前述都没有错，但是，那又怎么样？ 一件事情带来的影响如

9、果不是很大，就不会上升一个组织、或者国家用统 一规范来持续运作与控制的高度，强调一下，这里说的是持续（除非这件 事情因这个组织最高独裁者个人爱好而做，但这类决策不具备延续性）。 p国际标准化组织 ISO/IEC JTC1/SC27/WG1 http:/www.jtc1sc27.din.de p国内标准化组织 全国信息安全标准化技术委员会 http:/ 如果在这种高度下，企业都还不重视自身信息安全建设，轻者，企业面临的是自己 时常给别人做嫁衣、或者企业社会名声受损；重者，违背国际、国家法律强制性要 求，将受到限制、吊销运营资格，或者受到严肃法律制裁。 ISMS体系疏于建设,投资付诸东流 血的教训 安全预防体系（自然