電力信息安全管理體系應(yīng)用及發(fā)展研究

2013-11-27 15:47:53 智能電網(wǎng)知識(shí)庫網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

摘要信息安全管理體系作為組織對(duì)信息安全工作實(shí)施管理的有效方法之一，在信息安全領(lǐng)域獲得了廣泛的應(yīng)用。本文從信息安全管理體系的特點(diǎn)出發(fā)，基于風(fēng)險(xiǎn)管理和持續(xù)改進(jìn)的思想，從實(shí)踐出發(fā)，提出了行之有效的實(shí)

，應(yīng)用PDCA模型的信息安全管理體系建設(shè)過程如圖3所示。

圖3 應(yīng)用PDCA模型的信息安全管理體系建設(shè)過程

2)實(shí)施安全風(fēng)險(xiǎn)評(píng)估和處理

安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的實(shí)施，對(duì)于體系的建設(shè)和運(yùn)行而言異常關(guān)鍵，在體系建設(shè)運(yùn)行過程中，需要完成下列活動(dòng)：

a) 確定信息安全風(fēng)險(xiǎn)評(píng)估方法;

b) 識(shí)別信息安全風(fēng)險(xiǎn);

c) 分析和評(píng)價(jià)信息安全風(fēng)險(xiǎn);

d) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施;

e) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施;

f) 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn);

g) 實(shí)施風(fēng)險(xiǎn)處置計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo);

h) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審。信息安全風(fēng)險(xiǎn)管理流程如圖4所示。

圖4 信息安全管理過程

3)編制安全體系文件

信息安全管理體系是一個(gè)文件化的體系，所制定的所有安全策略應(yīng)形成文件，應(yīng)將為降低風(fēng)險(xiǎn)所選擇的控制措施以及之前已實(shí)施的控制措施形成體系文件，建立完善的信息安全管理制度體系，涵蓋安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù)、信息安全事件管理、信息安全業(yè)務(wù)連續(xù)性管理、符合性等方面。

3 信息安全管理體系的最新發(fā)展

3.1 背景

目前存在多個(gè)管理體系標(biāo)準(zhǔn)，例如ISO 9001、ISO 14000、ISO 22000、ISO/IEC 27001等，其他諸如交通、社會(huì)安全、記錄管理、事件管理和能源等領(lǐng)域也正在開發(fā)管理體系標(biāo)準(zhǔn)?；谌绱吮姸嗟墓芾眢w系標(biāo)準(zhǔn)以及巨大的市場(chǎng)，國際標(biāo)準(zhǔn)化組織的技術(shù)委員會(huì)(TMB)意識(shí)到應(yīng)找出一種協(xié)調(diào)不同管理體系實(shí)施的方法。TMB的聯(lián)合技術(shù)協(xié)調(diào)組/管理體系(JTCG/MS)承擔(dān)該項(xiàng)任務(wù)，將為任何一個(gè)管理體系開發(fā)一個(gè)統(tǒng)一架構(gòu)和部分同一文本。

3.2 信息安全管理體系標(biāo)準(zhǔn)的修訂

正在修訂中的ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001，將采用ISO/TMB/JTCG MSS的統(tǒng)一結(jié)構(gòu)，將原來的架構(gòu)做比較大的調(diào)整，并采用標(biāo)準(zhǔn)的文本，只是在信息安全方面做相應(yīng)的擴(kuò)充。

為適應(yīng)新的ISO/TMB/JTCG MSS架構(gòu)，ISO/IEC 27001原有架構(gòu)和內(nèi)容將有相應(yīng)的調(diào)整，如圖5所示。

圖5 ISO/IEC 27001架構(gòu)調(diào)整圖

信息安全管理體系的這種變化，從管理體系層面來看，有利于與其他管理體系的兼容實(shí)施，并保障不同管理體系之間的協(xié)調(diào)一致。但就信息安全管理體系本身而言，其原有的標(biāo)準(zhǔn)架構(gòu)直接規(guī)范了體系的建設(shè)流程，按PDCA四個(gè)階段明確了各流程的活動(dòng)，比較有利于體系建設(shè)方應(yīng)用該標(biāo)準(zhǔn)。而新架構(gòu)劃分了更多的環(huán)節(jié)與控制，這種架構(gòu)將影響到原有用戶對(duì)體系的認(rèn)識(shí)，從邏輯性和條理性方面，都將需要一定時(shí)間的學(xué)習(xí)，因此會(huì)一定程度上增大體系建設(shè)的難度。

3.3 信息安全控制域的變化

新版本的ISO/IEC 27001不僅從架構(gòu)上做了調(diào)整，從內(nèi)容，尤其是信息安全控制方面，也做了相應(yīng)調(diào)整。

原有標(biāo)準(zhǔn)將信息安全控制域劃分為11個(gè)方面：安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù)、信息安全事件管理、信息安全業(yè)務(wù)連續(xù)性管理、符合性。新標(biāo)準(zhǔn)將增加供應(yīng)商關(guān)系管理、網(wǎng)絡(luò)應(yīng)用服務(wù)管理兩個(gè)方面，控制域中的控制類也做了相應(yīng)調(diào)整，例如將原來信息安全組織域中的對(duì)外部各方的管理，調(diào)整到新的供應(yīng)商關(guān)系管理中。

體系在這方面的變化，也將影響到原有體系建設(shè)用戶，從整個(gè)文件體

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊