iso27001信息安全职责

iso27001信息安全职责（共4篇）

篇1：iso27001信息安全职责

ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施(条款A6-信息安全组织 2009年11月

董翼枫(dongyifeng78@hotmail.com 条款A6

信息安全组织 A6.1内部组织 ✓目标: 在组织内管理信息安全。

✓应建立管理框架,以启动和控制组织范围内的信息安全的实施。✓管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。

✓若需要,要在组织范围内建立专家信息安全建议库,并在组织内可用。要发展与外部安全专家或组织(包括相关权威人士的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决信息安全问题。

控制措施

管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。

实施指南 ✓管理者应: a确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;b制定、评审、批准信息安全方针;c评审信息安全方针实施的有效性;d为安全启动提供明确的方向和管理者明显的支持;e为信息安全提供所需的资源;f批准整个组织内信息安全专门的角色和职责分配;g启动计划和程序来保持信息安全意识;h确保整个组织内的信息安全控制措施的实施是相互协调的(见A6.1.2。✓管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审和协调专家建议结果。

✓根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会承担。

A6.1.2信息安全协调

信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行协调。

A6.1.2信息安全协调

✓典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及保险、法律、人力资源、IT 或风险管理等领域 专家的协调和协作。这些活动应: 确保安全活动的实施与信息安全方针相一致;确定如何处理不符合项;核准信息安全的方法和过程,例如风险评估、信息分类;识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;评估信息安全控制措施实施的充分性和协调性;有效地促进整个组织内的信息安全教育、培训和意识;评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安 全事件。

✓如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织 规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单

A6.1.3信息安全职责的分配 所有的信息安全职责应予以清晰地定义。A6.1.3信息安全职责的分配

✓信息安全职责的分配应和信息安全方针(见 A5相一致。各个资产的保护 和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补 充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特 定安全过程(诸如业务连续性计划的局部职责应予以清晰地定义。✓分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们 仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执 行。

✓个人负责的领域要予以清晰地规定;特别是,应进行下列工作: 与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件(见 A7.1.2;授权级别应清晰地予以定义,并形成文件。

A6.1.4信息处理设施的授权过程 ✓新信息处理设施应定义和实施一个管理授权过程。

✓授权过程应考虑下列指南: 新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统 安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备处理业务信 息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。

A6.1.5保密性协议

应识别并定期评审反映组织信息保护需要的保密性或不泄露协议 的要求。A6.1.5保密性协议

✓保密或不泄露协议应使用合法可实施条款来解决保护机密信息的要求。要识别保密或不泄 露协议的要求,需考虑下列因素: a 定义 要保护的信息(如机密信息;b 协议的期望 持续时间 ,包括不确定的需要维持保密性的情形;c 协议终止时所需的 措施;

d 为避免未授权信息泄露的签署者的 职责和行为;e 信息所有者、商业秘密和 知识产权 ,以及他们如何与机密信息保护相关联;f 机密信息的许可使用,及签署者使用信息的 权力;g 对涉及机密信息的活动的 审核和监视 权力;h 未授权泄露或机密信息破坏的 通知 和报告过程;i 关于协议终止时信息 归档或销毁 的条款;j 违反协议后期望采取的 措施。

✓基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。✓保密性和不泄露协议应针对它适用的管辖范围(见 A15.1.1遵循所有适用的法律法规。保密性和不泄露协议的要求应进行周期性 评审 ,当发生影响这些要求的变更时,也要进行

A6.1.6与政府部门的联系

✓应保持与政府相关部门的适当 联系。

✓组织应有规程指明什么时候应当与哪个部门(例如,执法部门、消防局、监管部门联系,以及怀疑已识别的信息安全事件可能 触犯了法律时,应如何及时报告。

✓受到来自互联网攻击的组织可能需要外部第三方(例如互联网服 务提供商或电信运营商采取措施以应对攻击源。

✓保持这样的联系可能是支持信息安全事件管理(A13.2或业务连续性和应急规划过程(A14的要 求。与法规部门的联系有助于预先知道组织必须遵循的法律法规方面预期的变化,并为这些变化做 好准备。与其他部门的联系包括公共部门、紧急

服务和健康安全部门,例如消防局(A14章的业务 连续性有关、电信提供商(与路由和可用性有关、供水部门(与设备的冷却设施有关。

A6.1.7与特定利益集团的联系

✓应保持与特定利益集团、其他安全专家组和专业协会的适当联系。✓应考虑成为特定利益集团或安全专家组的成员,以便: a 增进对最佳实践和最新相关安全信息的了解;b 确保全面了解当前的信息安全环境;c 尽早收到关于攻击和脆弱性的预警、建议和补丁;d 获得信息安全专家的建议;e 分享和交换关于新的技术、产品、威胁或脆弱性的信息;f 提供处理信息安全事件时适当的联络点(见 A13.2.1。A6.1.8信息安全的独立评审

✓组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序应按计划的时间间隔进行独立评审,当安全实施发 生重大变化时,也要进行独立评审。

✓独立评审应由管理者启动。对于确保一个组织管理信息安全方法的持续的适宜性、充分性 和有效性,这种独立评审是必须的。评审应包括评估安全方法改进的机会和变更的需要, 包括方针和控制目标。

✓这样的评审应由独立于被评审范围的人员执行,例如内部审核部门、独立的管理人员或专 门进行这种评审的第三方组织。从事这些评审的人员应具备适当的技能和经验。

✓独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。

✓如果独立评审识别出组织管理信息安全的方法和实施不充分,或不符合信息安全方针文件(见 A5.1.1中声明的信息安全的方向,管理者应考虑纠正措施。

A6.2外部各方 ✓目标: 保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

✓组织的信息处理设施和信息资产的安全不应由于引入外部方的产品或服务而降低。

✓任何外部方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。

✓若有与外部方一起工作的业务需要,它可能要求访问组织的信息和信息处理设施、从外部方获得一个产品和服务,或提供给外部方一个产品和服务,应进行风险评估,以确定涉及安全的方面和控制要求。在与外部方签订的协议中要商定和定义控制措施。

外部各方

✓服务提供商(例如互联网服务提供商、网络提供商、电话服务、维护和支持服务;✓受管理的安全服务;✓顾客;✓设施和运行的外包,例如,IT系统、数据收集服务、中心呼叫业务;

✓管理者,业务顾问和审核员;✓开发者和提供商,例如软件产品和IT系统的开发者和提供商;✓保洁、餐饮和其他外包支持服务;✓临时人员、实习学生和其他临时短期安排。控制措施

应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。

实施指南

✓当需要允许外部方访问组织的信息处理设施或信息时,应实施风险评估(见A4以识别特定控制措施的要求。

关于外部方访问的风险的识别应考虑以下问题: a外部方需要访问的信息处理设施;b外部方对信息和信息处理设施的访问类型,例如: 物理访问,例如进入办公室,计算机机房,档案室;逻辑访问,例如访问组织的数据库,信息系统;组织和外部方之间的网络连接,例如,固定连接、远程访问;现场访问还是非现场访问;c所涉及信息的价值和敏感性,及对业务运行的关键程度;d为保护不希望被外部方访问到的信息所需的控制措施;e与处理组织信息有关的外部方人员;

f能够识别组织或人员如何被授权访问、如何进行授权验证,以及多长时间需要再确认;g外部方在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施;h外部方需要时无法访问,外部方输入或接收不正确的或误导的信息的影响;i处理信息安全事件和潜在破坏的惯例和程序,和当发生信息安全事件时外部方持续访问的条款和条件;j应考虑与外部方有关的法律法规要求和其他合同责任;k这些安排对其他利益相关人的利益可能造成怎样的影响。

✓除非已实施了适当的控制措施,才可允许外部方访问组织信息,可行时,应签订合同规定外部方连接或访问以及工作安排的条款和条件,一般而言,与外部方合作引起的安全要求或内部控制措施应通过与外部方的协议反映出来(见A6.2.2和A6.2.3。

✓应确保外部方意识到他们的责任,并且接受在访问、处理、通信或管理组织的信息和信息处理设施所涉及的职责和责任。

A6.2.2处理与顾客有关的安全问题 控制措施

应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。A6.2.2处理与顾客有关的安全问题 实施指南

要在允许顾客访问组织任何资产（依据访问的类型和范围，并不需要应用所有的条款）前解决安全问题，应考虑 下列条款： a 资产保护，包括： 及对已知脆弱性的管理；

保护组织资产（包括信息和软件）的程序，以

判定资产是否受到损害（例如丢失数据或修改数据）的程序； 完整性； 对拷贝和公开信息的限制； b c d 拟提供的产品或服务的允许的访问描述； 顾客访问的不同原因、要求和利益； 访问控制策略，包括： 方法，唯一标识符的控制和使用，例如用户ID和口令； 权过程； 没有明确授权的访问均被禁止的声明；

用户访问和权限的授

撤消访问权或中断系统间连接的处理； e 信息错误（例如个人信息的错误）、信息安全事件和安全违规的报告、通知和调查的安排； f g h i j k 每项可用服务的描述； 服务的目标级别和服务的不可接受级别； 监视和撤销与组织资产有关的任何活动的权利； 组织和顾客各自的义务； 相关法律责任和如何确保满足法律要求（例如，数据保护法律）。如果协议涉及与其他国家顾客的合作，特别要考虑到不同国家的法律体系（也 见A15.1）； 知识产权（IPRs）和版权转让（见A15.1.2）以及任何合著作品的保护（见A6.1.5）；-20-A6.2.3处理第三方协议中的安全问题 控制措施

涉及访问、处理或管理组织的信息或信息处理设施以及与之通信 的第三方协议，或在信息处理设施中增加产品或服务的第三方协 议，应涵盖所有相关的安全要求。-21-A6.2.3处理第三方协议中的安全问题 实施指南

协议应确保在组织和第三方之间不存在误解。组织应使第三方的保证满足自己的需要。为满足识别的安全要求（见A6.2.1），应考虑将下列条款包含在协议中： a b c d e f g h i j k l m n 信息安全方针； 确保资产保护的控制措施，对用户和管理员在方法、程序和安全方面的培训； 确保用户意识到信息安全职责和问题； 若适宜，人员调动的规定； 关于硬件和软件安装和维护的职责； 一种清晰的报告结构和商定的报告格式； 一种清晰规定的变更管理过程； 访问控制策略； 报告、通知和调查信息安全事件和安全违规以及违背协议中所声明的要求的安排； 提供的每项产品和服务的描述，根据安全分类（见7.2.1）提供可获得信息的描述； 服务的目标级别和服务的不可接受级别； 可验证的性能准则的定义、监视和报告； 监视和撤销与组织资产有关的任何活动的权利； o p q r s t u v 审核协议中规定的责任、第三方实施的审核、列举审核员的法定权限等方面的权利； 建立逐级解决问题的过程； 服务连续性要求，包括根据一个组织的业务优先级对可用性和可靠性的测度； 协议各方的相关义务；

有关法律的责任和如何确保满足法律要求（例如，数据保护法律）。如果该协议涉及与其他国家的组织的合作，特别要考虑到不同国家的法律体系（也见 15.1）； 知识产权（IPRs）和版权转让（见15.1.2）以及任何合著作品的保护（见6.1.5）； 涉及具有次承包商的第三方，应对这些次承包商需要实施安全控制措施； 重新协商/终止协议的条件。-22-END Thank you！

董翼枫（dongyf@fugle.info）-23

篇2：iso27001信息安全职责

董翼枫(dongyifeng78@hotmail.com 条款A7

资产管理 A7.1对资产负责 ✓目标: 实现和保持对组织资产的适当保护。

✓所有资产应是可核查的,并且有指定的责任人。

✓对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。

A7.1.1资产清单

控制措施

✓应清晰的识别所有资产,编制并维护所有重要资产的清单。实施指南

✓一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。

✓另外,应商定每一资产的责任人(见A7.1.2和信息分类(见A7.2,并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别。

A7.1.2资产责任人 控制措施

✓与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。

实施指南

✓资产责任人应负责: a确保与信息处理设施相关的信息和资产进行了适当的分类;b确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。✓所有权可以分配给: a业务过程;b已定义的活动集;

c应用;d已定义的数据集。A7.1.3资产的合格使用

✓与信息处理设施有关的信息和资产使用允许规则应被确定、形成 文件并加以实施。

✓所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产 的可接受的使用规则,包括: a 电子邮件和互联网使用(见 A10.8规则;b 移动设备,尤其是在组织外部使用设备(见 A11.7;1的使用指南;✓具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和 资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责 下的使用负责。

A7.2信息分类 ✓目标 : 确保信息受到适当级别的保护。

✓信息要分类,以在处理信息时指明保护的需求、优先级和期望程 度。✓信息具有可变的敏感性和关键性。某些项可能要求附加等级的保 护或特殊处理。信息分类机制用来定义一组合适的保护等级并传 达对特殊处理措施的需求。

A7.2.1分类指南

✓信息应按照它对组织的价值、法律要求、敏感性和关键性予以分 类。✓信息的分类及相关保护控制措施要考虑到共享或限制信息的业务需求以及与这种需求相关 的业务影响。

✓分类指南应包括根据预先确定的访问控制策略(见 A11.1.1进行初始分类及一段时间后 进行重新分类的惯例。

✓确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别,这些都应是资产 责任人(见 A7.1.2的职责。分类要考虑 A10.7.2提及的集合效应。

✓应考虑分类类别的数目和从其使用中获得的好处。过度复杂的方案可能对使用来说不方便 ,也不经济,或许是不实际的。在解释从其他组织获取的文件的分类标记时应小心,因为 其他组织可能对于相同或类似命名的标记有不同的定义。

A7.2.2信息的标记和处理

✓应按照组织所采纳的分类机制建立和实施一组合适的信息标记和 处理程序。

✓信息标记的程序需要涵盖 物理和电子格式 的信息资产。

✓包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记。该标记要根据 A7.2.1中所建立的规则反映出分类。待考虑的项目包括打 印报告、屏幕显示、记录介质(例如磁带、磁盘、CD、电子消息和文件 传送。

✓对每种分类级别,要定义包括安全处理、储存、传输、删除、销毁的处理 程序。还要包括一系列任何安全相关事态的监督和记录程序。

✓涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分 类标记的程序。

END

篇3：iso27001信息安全职责

1.1 ISO27001信息安全管理体系的起源与发展简述

随着全球信息化水平不断提高, 信息安全逐渐成为社会各界的关注重点。尤其是在近些年一系列信息安全问题被媒体曝光之后, 各行各业均加大了对信息安全的担忧。ISO27001标准于1993年由英国贸易工业部立项, 在1995首次出版了BS7799-1:1995《信息安全管理实施细则》, 该细则提供了一套完整的、由信息安全惯例所构建的信息安全管理体系。其目的是为了确定工商业信息系统在绝大部分情况下的所需控制范围具有统一的参考标准, 并且能够适用于不同规模的组织。到2000年2月, BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可。到2002年9月, BS 7799-2:2002草案经过广泛讨论之后, 正式进行发表成为了国际通用标准, 同时废止了之前一版细则。在随后的几年内, 该标准进行了多次修正, 在组织编排和内容完整性上都有了大幅提高。到目前为止, ISO27001标准已经获得了大量的国家认可, 是全球范围内最具代表性的信息安全管理体系。

1.2 ISO27001信息安全管理体系的好处

ISO27001信息安全管理体系标准可以有效地对信息资源形成保护, 促使信息化进程有序健康可持续地发展。ISO27001是信息安全管理领域的标准体系, 类似于质量管理体系认证ISO9000标准。当企业通过ISO27001的认证, 就等同于企业的信息安全管理是科学合理的, 能够切实有效地保护客户信息资料和企业内部信息资料。在通过ISO27001信息安全管理体系认证之后, 可以具有多个方面的好处或优势。引入信息安全管理体系后可以协调各个层面的信息管理, 简化管理环节提高管理效率。通过ISO27001信息安全管理体系认证, 还可以增加企业之间电子商务往来的信用度, 能够在网站和贸易伙伴之间建立起信任的合作关系, 加深企业商务信息化发展。通过ISO27001信息安全管理体系认证, 可以促使相关企业实现信息安全承诺, 消除客户及员工存有的不信任感, 改善企业业绩。不仅如此, 甚至还可以获得国际认可, 以便于业务向海外拓展。

2 ISO27001信息安全管理体系构建现状分析

2.1 信息安全现状分析

目前, 市面上大多数企业都已经构建了适用的信息系统, 主要包括了ERP系统、CIM系统、OA系统、PLM系统、网络系统、电子邮件系统以及企业网站等。在用户使用这些系统时, 会遭遇相应的信息安全问题, 比如存在于外网中的黑客攻击和病毒传染等, 存在于内网中的病毒感染和信息泄露等问题。在一系列主流企业中, 其计算机多采用分散管理, 使用者对计算机具有很高的使用权限, 经常会因为一些违规操作或误操作, 给系统造成严重影响, 给企业信息安全形成冲击。同时, 由于计算机管理具有局限性, 可能存在部分人员非法拆卸相关硬件, 不仅造成企业经济损失, 更会造成信息资源外泄。总的来说, 大多数企业对涉及知识产权、客户资料和企业资料等信息安全管理的工作并不到位, 许多都是徒有其表, 无法切实保证信息安全。

2.2 信息安全问题简述

通过对一些企业实际调研就能发现, 虽然企业构架了基础的网络系统, 并且对上网行为进行了控制, 但是仍然存在不少的问题。比如缺少有效的信息安全管理技术支持、缺少对信息安全管理相关事例的学习研究和缺少明确的控制管理规章制度等。总的来说, 信息安全问题可以分为以下几类:一是缺乏信息安全制度, 没有可以保证企业信息安全、推进信息安全建设和约束相关人员的具体制度;二是相关人员信息安全意识薄弱, 在日常工作中缺少对企业信息安全的保护;三是信息泄露途径较多, 各种外联设备或软件, 都可能引发信息泄露;四是信息安全技术缺乏, 企业内部的信息安全管理多是通过文字条款在进行约束, 缺少技术层面的规范。

2.3 信息安全的总体需求分析

就目前我国企业的实际发展情况来看, 需要参考信息安全的现状及存在问题, 提出企业自身的信息安全需求。总的来说, 信息安全需求可以分为以下几点:一是保护企业信息不遭受各种破坏, 从企业内部和外部逐一排除可能存在的潜在威胁;二是确保公司业务正常进行, 不会被意外情况打断;三是最小化企业风险, 严控商业机密, 避免商业机密泄露给企业带来毁灭性打击;四是最大化企业投资回报比, 通过信息管理维持企业的可持续发展。

3 ISO27001信息安全管理体系构建分析

3.1 构建ISO27001信息安全管理体系的意义分析

信息安全管理体系从实质上来说, 是一种信息安全管理模式, 其目的是为了提高企业的管理水平, 促进企业良性发展, 保证企业各种信息资源的安全, 不被外界窃取给企业造成负面影响。信息安全管理体系借助诸多标准, 其主要参考就是ISO27001信息安全管理标准, 通过参考该标准实现企业信息安全管理规范有序, 使企业信息安全管理向科学合理的方向发展。信息安全管理是伴随信息技术发展而发展的, 在信息社会中, 信息资源已经成为一种十足珍贵的资源, 具有极高的经济价值。

3.2 ISO27001信息安全管理体系构建思路

参考ISO27001标准, 结合企业的信息管理需求与现状, 大致可以按照如下思路构建。第一是准备工作, 通过管理层决策进行安全组织和人员配置, 并对其展开宣传培训, 为后期工作打下基础。第二是构建框架, 根据ISO27001信息安全体系框架, 对管理体系和技术框架进行分析, 得出相应的理论支撑基础。第三是评估风险, 按照信息安全的具体评估流程, 通过风险分类和资产分类作出相应评估, 以此为信息安全管理体系构建的数据基础。第四是改善安全, 将风险评估结合管理技术, 得出科学合理的改善措施。第五是运行实施, 按照之前得出的措施严格实施, 对于已经建立的部分进行完善, 并纳入整体管理体系。第六是检查改进, 通过实施和运行信息安全管理体系, 保证信息安全管理体系能够正常运转, 并为企业提供可靠的信息安全保障。第七是运行改进, 在信息安全管理体系运转的过程中, 不断发现问题解决问题, 逐步完善体系使其日益成熟稳定。

3.3 ISO27001信息安全管理体系的实现

在明确构建思路之后, 就需要进入到实际建设阶段, 将计划付诸行动。实现ISO27001信息安全管理体系的构建, 需要从多个步骤来进行。首先是在企业决策层树立信息安全管理的基本概念, 只有掌握企业未来方向的决策层能够认识到信息安全管理的重要性和必要性, 才能带头做好相关工作。其次是引进和开发先进的信息安全管理技术, 实现相关技术的国产化, 摒除国外技术可能存在的技术性后门, 避免造成企业信息资料被窃取。再次构建对应的信息安全级别制度, 即针对员工在企业中的不同部门以及不同职位, 给予其不同的信息安全级别。级别越高, 可获取的信息资料范围和机密程度也越高;级别越低, 可获取的信息资料范围和机密程度也越低。最后是将构建思路的各步逐一实现, 并将其与上述几个方面进行结合, 以此构建全方位的基于ISO27001下的信息安全管理体系, 保证企业信息安全。

4 结语

在信息安全问题日益突出的现实背景下, 加强信息安全管理体系的构建, 具有极其重要的现实作用及未来意义。在ISO27001信息安全标准下, 开发先进的技术, 仔细评估信息安全风险, 构建符合企业现阶段情况与未来发展的信息安全管理体系。

参考文献

[1]刘晓敏, 徐磊.信息安全管理体系的定义、功能和构建方法分析[J].信息通信, 2013 (01) .

[2]饶玉辉.基于ISO27001的京东方信息安全管理体系建设[D].北京邮电大学, 2012.

篇4：iso27001信息安全职责

近年来, 随着国家对信息安全重视程度的增加, 并将其列为国家五大安全之一, 电力行业对信息的安全也越来越重视。“十五”期间, 浙江省电力行业相继在软、硬件方面投入了较多的安全防护措施, 用以提升信息安全的防护水平。但总体来看, 大多数工作还是集中在防病毒、防火墙、入侵检测等基础的技术性防御上, 安全防护片面化的问题比较突出。随着“SG186”工程的全面展开, 迫切需要建设一个全面的信息安全管理体系 (Information security management、stems, 以下简称ISMS) , 用以全面、完整地管理企业的信息安全, 并提升信息化的管控力度, 优化信息安全运维流程、规范信息安全管理制度, 加强信息安全技术应用, 提高信息安全防护能力, 对信息安全的运行进行全方位监控, 从管理的各个层面提供对信息安全的支持,

1 衢州电力局信息安全现状分析

衢州电力局是浙江省电力公司下属的地区级电力企业。多年以来, 为保证电网生产、营销等应用系统的稳定运行, 衢州电力局陆续采用了诸如防病毒、防火墙、入侵检测等安全防护系统, 但是一直存在着技术装备配备较全, 但管理片面, 制度不全等问题, 没有一个全面的管理体系来指导我们在信息安全方面的工作。随着主业对信息化依赖程度的增加, 以及应用系统逐渐由分散式向集中式转变, 安全隐患也越来越大。最近几年, 在浙江省电力公司的指导下, 认识到安全管理方面的欠缺, 因此逐年加大了对信息安全管理的投入。

2 体系的建设

为解决提升管理水平, 解决存在的安全隐患, 同时也根据省电力公司SG186工程的统一安排, 在2007年, 决定以国际标准ISO/IEC2700:2005为准则, 结合衢州电力局实际, 建立了一个比较完整的信息安全管理体系。

信息安全体系的建设需要质量、环境、职业健康安全3个国际标准的支持。而衢州电力局的标准化推进工作在全省电力系统内是落后的, 未取得以上任何一个国际标准的认证。面对如此形式, 衢州电力局领导认为, 借助2006年良好业绩的东风, 并借鉴兄弟单位的经验, 可以4个标一起贯彻执行。一方面不但可以充分抓住机遇, 迎头赶上, 争取变落后为先进, 力争走到省公司前列去;另一方面, 4个标一起贯彻执行, 在人力、物力和财力的投入上可以相对节约, 同时可以更好地借鉴兄弟单位的经验, 吸取他们的教训, 避免走弯路, 使工作更有效率。

在体系的建设过程中, 重点工作集中在以下步骤。

2.1 建立ISMS组织

(1) 从实际出发, 确定了衢州电力局ISMS的范围, 包括组织, 产品、网络、应用系统和资产;并确定了衢州电力局ISMS的方针为全面, 完整, 务实, 有效;

(2) 为实施、运作、监视、评审、保持和改进ISMS, 成立了3级信息安全组织机构:包括信息安全领导小组、信息安全办公室 (科信处兼) 、信息安全管理员, 负责ISMS的运行, 并建立了“信息安全顾问队伍” (包括外部顾问) , 作为衢州电力局的信息安全顾问;

(3) 将与ISMS有关各部门和相关人员的信息安全职责在《管理手册》和《岗位职责说明书》中予以描述, 把ISMS的各方职责以文件的形式确定下来。

2.2 以风险评估为核心, 全面识别信息资产, 并建立相应的风险控制措施

所有的与信息资产有关的活动都涉及到信息安全, 信息安全体系的建立应该紧密围绕信息资产来进行。在体系的建设过程中, 先识别出重要的信息资产, 对这些资产存在的风险进行评估、控制;然后再建立通用的管理制度, 对所有围绕信息资产进行的活动加以监督与规定, 对于重要的应用系统, 还建立专门的管理手册, 作为日常维护的指导性文件。

2.2.1 信息资产的划分

信息安全不仅仅是信息设备的安全, 所建立的安全体系是针对所有业务活动涉及到的, 与信息安全有关的元素, 从内容上大致可以分为2部分:保密与信息安全。根据本次的资产识别, 具体再分可以分为七大类:数据、文档、软件、硬件、设施、服务、人员。

(1) 数据:丢失后可能会给企业带来重大损失的业务数据、涉及到国家机密的电子地图、系统的操作手册、账号, 防护系统的安全策略等等;

(2) 文档:包括涉及到企业机密的保密文件、技术文件, 重要系统出现故障时的应急预案, 以及一些通用文档等;

(3) 软件:包括企业的应用系统、防病毒、IDS等安全软件, 操作系统、数据库等业务支持软件;

(4) 硬件:包括服务器、网络设备、通讯设备、硬件防火墙等安全设备、桌面PC机等等;

(5) 设施:主要是硬件设备的运行环境, 包括:机房设施, 电源设施, 监控设施;

(6) 服务:主要是第三方在系统开发与维保活动中的安全活动;

(7) 人员:人员也是资产, 包括企业内部的人员与外部人员。

2.2.2 识别重要资产

世界上没有绝对的信息安全, 根据ISO27001的理解, 安全防护与成本之间必须有个平衡, 必须根据资产重要程度的不同, 采取不同的防护措施, 将风险控制在可接受的水平。将所有信息资产用定量的方法进行分析, 按其在保密性、完整性、可用性上的不同进行分类赋值, 综合结果来确定重要资产, 采取措施用以重点对待, 消除危险点。

其中:资产的价值=√ (机密性×√ (可用性×完整性) )

通过这些科学的识别方法, 第1次对所有的信息资产进行了重要度的划分, 真正从科学的意义上确定了对衢州电力局信息安全有重要影响的资产。最终形成了重要资产清单, 其中识别了28245个 (458组) 资产, 确认重要资产为187组。

2.2.3 对重要资产进行风险分析与控制, 消除信息安全的危险点

识别完重要资产后, 对这些资产的威胁及薄弱点进行分析, 并对威胁发生安全事件的可能性, 考虑现有的控制措施, 进行赋值, 确定风险等级和接受程度。

其中, 风险=威胁发生可能性×影响程度等级×现有控制措施有效性赋值, 风险等级划分为1-5级, 等级越高, 风险越高。

最终确认了179种风险, 其中, 高风险数量为125个。对于这些风险, 采取了各种方法进行控制, 例如:通过不使用面临风险的资产来规避风险;将重要设备的维护外包给有经验与技术实力的厂家以转移风险;通过采取保护措施来降低风险等等。所有的125个高风险, 通过控制风险处理后, 全部降为可接受风险。

通过风险评估, 对各类重要信息资产的危险点进行了控制与处理, 有效地提高了高危信息资产的安全防护能力。

2.3 建立文件体系, 确立信息安全体系的管理制度

在体系建设的前期, 充分认识到:管理是核心, 而技术是手段。因此, 这里将体系分为2个部分:管理体系与运维体系。其中, 管理体系是核心, 它确定了安全体系的目标和要求, 以及适当的监督机制, 并将以上内容以企业文件或标准的形式定下来, 形成规章制度, 要求相关部门按要求执行, 并以适当的机制进行监督;而运维体系则是落实安全目标的手段。经过2个多月的整理与修订, 共形成了70个控制文件, 具体可分为3类:管理类文件、运维类文件及重要系统的管理手册。通过这些文件, 不但有力地支持了风险控制的适用性条款, 还对通用的信息安全活动以制度上的支持与引导。

结合电力行业的特殊性, 在ISO27001的基础上, 对标准的文件体系进行了适当的补充, 总共建立了70个制度文件。

2.3.1 管理类制度的建立

(1) 法律符合性:本体系建立的基础是国际标准ISO/IEC27001:2005, 所有的制度均必须避免违反任何民法、刑法、规章或契约义务以及任何安全要求。因此, 制订了《法律法规识别管理》、《知识产权管理》等制度;

(2) 相关方的控制:为控制外部相关方对信息资产和信息处理设施造成的风险, 制订了《相关方控制程序》、《用户访问控制程序》等制度;确保所有与外部相关方合作而引起的安全需求或内部控制都在协议中反映;

(3) 人力资源的控制:为控制人力资源带来的风险, 制订了《人力资源控制程序》、《信息安全惩戒管理规定》等制度, 并在实际行动上支持了制度的执行:与所有员工均签订了员工保密协议, 明确规定了保密的义务及违约的责任;

(4) 区域控制:为控制包含重要信息处理设施的区域, 如机房、保密的安全, 制订了《安全区域控制程序》、《机房管理制度》、《档案管理标准》等制度, 对安全区域的访问进行授权, 并对其安全周界实施保护;

(5) 系统故障的控制:使系统故障风险最小化, 制订了系统策划与验收类管理规定, 包括:《信息系统建设管理规定》、《软件控制程序》等;

(6) 用户访问控制:确保授权用户能够访问信息系统, 防止对信息系统未经授权的访问《用户访问管理》等制度;

(7) 信息安全事件的控制:为对各类信息安全事件进行管理, 制订了《信息系件安全管理程序》、《信息安全惩戒管理程序》等等;

(8) 机密信息的安全控制:为确保机密信息的安全, 制订了《档案管理标准》《会计档案管理程序》、《财务印章管理程序》

需要注意的是, 由于是4标1体的建设, 上述管理制度, 还包括了增加了其他3标的管理体系, 使得建立的信息安全体系是合理的、完整的。

2.3.2 运维类制度的建立

还建立了通用的运维制度, 包括: (1) 软件完整性控制:为保护软件和信息的完整性, 制订了各类防范类管理规定, 包括:《恶意和可移动代码防范管理》、《数据备份管理程序》; (2) 硬件设备的控制:为控制设备的安全, 制订了《信息处理设施控制程序》、《计算机管理程序》、《主机设备维护作业指导书》、《交换机设备维护作业指导书》、《防火墙设备维护作业指导书》等, 以防止资产的损失、损坏或丢失及业务活动的中断; (3) 环境设施的控制:为确保各类信息设备的安全运行, 制订了《机房管理制度》、《电源控制程序》等。

2.3.3 建立重要应用系统的管理文件与应急预案, 确保业务的持续性

为保护电力生产经营过程免受系统重大故障或灾难的影响, 实现电力生产的可持续性发展, 对于重要的应用系统如:95598客户服务系统、电力营销客户信息系统、调度SCADA系统、集控站SCADA等重要系统, 制订了系统的维护管理规定和应用控制程序, 并重点修订了应急预案, 明确了系统在出现异常状况时的处理步骤, 确保能在最短时间内恢复应用。

2.4 审核体系

建立的安全体系是一个动态的体系。它的建立基于了“计划-实施-检查-改进” (PDCA) 模型。随着各类体系文件的基本确立, 信息安全体系已经初步建立。为保证所有的活动都符合ISO/IEC 27001:2005标准和相关法律法规要求, 符合信息安全的要求, 符合已制订体系文件的规定, 确保监督体系得到有效地实施, 引入了内部审核、管理评审、外审等方法审核体系的运作。在内部审核、管理评审中, 发现了79个不符合项, 经过整改, 不符合项全部解决;在第三方的外部审核中, 共发现4个一般不符合项和4个观察项, 无严重不符合项, 我们对发现的不符合项制定整改计划, 落实纠正措施, 做到信息安全“四不放过”, 优化体系, 真正实现了过程管理、闭环管理、持续改进的思想。

2.5 建立监督机制, 对体系进行监控

为确保体系被正确执行, 必须有一套监控系统用以定期评审。为此, 结合文件体系, 建立了一套监督机制。例如:为保证信息系统的日常监控, 相关人员必须填写巡视记录、故障处理记录、信息操作票工作票等;为保证应用系统的正确授权, 新用户必须填写用户授权申请表;为确保入网机器的安全, 用户必须填写信息网设备入网申请单;为保证外来人员的信息安全, 必须填写外来人员出入登记表, 入网工作必须先签安全协议, 然后填写信息工作票, 在我方人员的监护下方可工作等。各种监控机制均以书面的形式表达出来, 除日常的检查外, 还结合电力行业特有的春、秋季安全检查进行抽查, 保证了体系的有效执行。

2.6 认证的通过

2007年9月, 信息安全体系一次性通过了认证机构DNV (挪威船级社) 的现场审核, 并在11月份取得了认证证书。衢州电力局也是国内首家通过四标一体认证的企业。

4 结语

随着“SG186”工程在衢州电力局的逐步深入, 以及企业对信息化依赖性的增加, 企业迫切需要一个长期有效的机制, 用来应对各类层出不穷的信息安全事件, 避免给企业带来的各种损失。衢州电力局在基础比较薄弱情况下, 依据国际标准ISO/IEC 27001:2005, 建立了有自己特色的信息安全管理体系。它是符合国际标准的, 也是长期有效的, 更是能持续改进的。同时, 质量、环境、职业健康安全、信息安全四标一体的贯标工作, 一次性顺利通过第三方的审核认证, 在国内尚是首家, 这也可以给业内的兄弟单位带来一定的启发。

参考文献

[1]ISO27001标准中文版[S].2005.

[2]吴国庆, 赵琳娣.ISO标准在电网公司信息安全管理的实践[J].电力信息化, 2007, (5) :16-19.