3.2 信息安全管理方法与实施
组织必须掌握一些科学的方法,才能有效实施信息安全管理和信息安全防护,进而为业务的安全运营提供保障。
3.2.1 信息安全管理方法
目前有两种基本方法可以用于信息安全管理,一是风险管理方法,二是过程方法。这两种基本方法广泛应用于组织信息安全管理的各个阶段。这两种基本方法可以同时应用,且均可贯穿于信息安全管理全生命周期。
1.?风险管理方法
风险管理是信息安全管理的基本方法,主要体现在以下两个方面。
风险评估是信息安全管理的基础。信息安全风险评估是识别、分析和评价信息安全风险的活动,主要是鉴定组织的信息及相关资产,评估信息资产面临的各种威胁和资产自身的脆弱性,同时评判已有的安全控制措施。通过风险评估活动,组织可以全面了解其面临的信息安全风险,从信息安全风险导出信息安全需求。组织实施信息安全管理并建立信息安全管理体系,首先需要确定信息安全需求。获取信息安全需求的主要手段就是信息安全风险评估,没有风险评估,信息安全管理的实施和管理体系的建立就没有依据。因此,风险评估是信息安全管理的基础。
风险处理是信息安全管理的核心。风险处理是对风险评估活动识别出的风险进行决策,采取适当的控制措施处理不能接受的风险,将风险控制在可按受的范围。风险评估活动只能揭示组织面临的风险,不能改变风险状况。只有通过风险处理活动,组织的信息安全能力才会提升,信息安全需求才能被满足,才能实现其信息安全目标。因此,风险处理是信息安全管理的核心。周期性的风险评估与风险处理活动即形成对风险的动态管理。动态的风险管理是维持并提高信息安全水平的根本方法。
管理风险的具体手段是控制措施。风险处理时,需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施,那些不可接受的高风险才能降低到可以接受的水平之内。因此,控制措施是管理风险的具体手段和方法。在本质上,风险处理的最佳集合就是信息安全管理(体系)的控制措施集合。各项风险控制目标的确定,以及控制措施的选择确定和落实的过程,也就是信息安全管理的实施过程和管理体系的建立过程。控制措施有多种类别,从手段来看,可以分为技术性、管理性、物理性和法律性等控制措施;从功能来看,可以分为预防性、检测性、纠正性和威慑性等控制措施;从影响范围来看,控制措施常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别。
2.?过程方法
(1)过程及过程方法
过程方法也是信息安全管理的基本方法。组织内各过程的系统应用,连同这些过程的识别、相互作用及管理,统称为“过程方法”。为使组织的业务有效运作,需要识别和管理众多相互关联的活动。通过使用资源和管理,将输入转化为输出的活动称为“过程”。如图3-1所示。
通常,每个过程都包含若干项活动,这些活动的完成,需要依赖特定的资源。活动进行过程中,应生成并保存相应的记录。每个过程均应指定责任人,负责管理过程依赖的资源和输出的质量,组织相应人员测量输出质量,分析可改进环节,制定并实施改进措施以提高过程输出的质量。
每一个过程都可以再细分为若干个子过程。每个子过程又由相应的子活动构成,依赖于特定的资源,如图3-2所示。只有过程、子过程中的每个环节都受控,过程的输出才有保障。若不去关注、控制过程中的每一个环节和要素,期望过程能有高质量的输出几乎是不可能的,只有改进过程的每一个环节和要素,过程的输出质量才有可能提高。
过程方法要求组织系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,并对过程中的每一环节与要素进行管理和控制。这是实施信息安全管理和管理体系的基本方法。
(2)PDCA循环
PDCA循环是基于过程方法制定的一种持续改进模型,又叫戴明环,由美国质量管理专家戴明博士首先提出,最初用于全面质量管理。PDCA是英语单词Plan、Do、Check和Act的首字母,PDCA循环是按照计划、执行、检查、改进的顺序进行质量管理,并且循环进行下去的科学程序。全面质量管理活动的运转,离不开管理循环的转动。这就是说,改进与解决质量问题,提高各项工作水平,都要运用PDCA循环的科学程序。不论提高产品质量,还是减少不合格品,都要先提出目标,即质量提高到什么程度,不合格品率降低多少,都要有计划;这个计划不仅包括目标,而且也包括实现这个目标需要采取的措施;计划制订之后,就要按照计划去做,做完以后进行检查,看是否实现了预期效果,有没有达到预期的目标;通过检查找出问题和原因;最后就要进行改进处理,以解决问题,提高质量。
PDCA模型已经成为管理学中通用的过程改进模型,该模型在应用时,按照P-D-C-A的顺序依次进行,一次完整的P-D-C-A可以看成组织在管理上的一个周期,每经过一次P-D-C-A循环,组织的管理体系都会得到一定程度的完善,同时进入下一个更高层次的管理周期,通过连续不断的P-D-C-A循环,组织的管理体系得到持续的改进,管理水平将随之不断提升。PDCA循环的四个阶段是一套科学的工作程序,体现了科学认识论的一种具体管理手段。PDCA循环有以下3个特点。
按顺序进行。PDCA循环靠组织的力量来推动,按顺序完成每一阶段的工作,像车轮一样向前进,周而复始,不断循环。
组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题。也就是说,质量管理可以分为若干级,各级质量管理都有一个PDCA循环,形成一个大环套小环,一环扣一环,互相制约、互为补充的有机整体。在PDCA循环中,一般来说,上一级的循环是下一级循环的依据,下一级的循环是上一级循环的落实和具体化。
每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环。也就是说,每一次PDCA循环,都不是在原地周而复始运转,而是像爬楼梯那样,每一次循环都有新的目标和内容,每经过一次循环,都会解决一批问题,质量水平有新的提高。
3.2.2 信息安全管理实施
以体系化的方式实施信息安全管理,才能实现并保持一定的信息安全水平。常见的信息安全的管理体系有3种:ISO 27001定义的信息安全管理体系、信息安全等级保护和NIST SP800规范。
1.?信息安全管理体系
信息安全管理体系(ISMS)是一种常见的对组织信息安全进行全面、系统管理的方法。ISMS是由ISO 27001定义的一种有关信息安全的管理体系,它是一种典型的基于风险管理和过程方法的管理体系,能够对组织的信息安全进行有效管理。ISMS本身就是一个PDCA循环体,基于业务风险,并通过建立、实施、监视和改进信息安全过程,来管理组织的信息安全的。图3-3说明了ISMS如何把相关方的信息安全需求和期望作为输入,并通过必要的行动和过程,生成满足这些需求和期望的信息安全结果,得到预期的输出。此图亦描述了ISMS的建立、实施和运作、监视和评审、保持和改进这些过程之间的联系。
ISMS包括信息安全组织架构、方针策略、规划活动、职责、实践、程序、过程和资源等一系列既相互关联又相互作用的要素。ISMS已经跳出了传统的“为了信息安全而信息安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身是组织整体管理体系的一部分。这就要求组织站在全局的观点来看待信息安全问题。
ISMS的概念最初来源于ISO/IEC 27001的前身,英国的BS7799-2标准,该标准于2005年演变为国际标准。组织要通过确定范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标和措施等一系列活动来建立ISMS。体系的建立基于系统、全面、科学的信息安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律、法规及其他合同方面的要求。此外,ISMS还强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的保密性、完整性和可用性,保持组织的竞争优势和业务持续性。
风险管理和过程方法是ISMS使用的基本方法,周期性的风险评估、内部审核、有效性测量、管理评审,是ISMS规定的4个必要活动,能确保ISMS进入良性循环、持续自我改进。
为了达到理想的信息安全管理效果,实施ISMS应依据ISO 27000标准族中的要求和指南。此标准族由ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组)制定和修订,已经发布了50余部ISMS相关标准,并且日趋完善。标准族中最重要的两部标准ISO 27001和ISO 27002于2013年10月1日发布了新的版本。
2.?信息安全等级保护
信息安全等级保护也是一种常见的对组织的信息安全进行全面、系统管理的实施方法。信息安全等级保护由公安部会同其他相关部委,依据《计算机信息系统安全保护条例》对信息安全进行全面管理的一套机制。信息安全等级保护将信息系统(包括网络)按照重要性和受破坏危害程度分成5个安全保护等级,不同保护等级的系统分别给予不同级别的保护。信息系统定级后,第2级以上系统须到公安机关备案,公安机关审核合格后颁发备案证明,组织根据其系统保护等级按照国家标准进行安全建设整改,然后聘请测评机构进行等级测评,公安机关对系统保护情况定期开展监督、检查和指导。
定级、安全建设/整改、定期自查、等级测评、备案和监督检查是信息安全等级保护的6个规定活动,确保达到并维护一定级别的信息安全能力。
3.?NIST SP 800安全管理
NIST SP 800是由NISI发布的一系列特别出版物(Special Publications,SP),它是关于计算机安全的文档,其目的是独立发布与信息技术安全相关的出版物,报告NIST信息技术实验室在计算机安全方面的研究、指南和成果,以及与行业、政府和学术组织的协作活动。
2002年美国颁布《联邦信息安全管理法案》(Federal Information Security Management Act,FISMA),该法案试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性。为此,FISMA专门指定NIST负责开展信息安全标准、指导方针的制定。自2003年以来,NIST根据FISMA的要求,将其实施步骤分为开发标准和指南(2003—2008)、形成安全能力(2007—2010)和运用自动化工具(2008—2009)3个阶段。第1阶段的任务已经基本完成,形成了一套全面权威的信息安全保障体系和标准体系;第2阶段中的“为形成安全能力而组织的认证计划”,主要任务是依据标准形成能力,提供服务并进行评估,给出能力凭据。NIST提出了3种能力凭据:基于客户的凭据、来自公众领域和私人领域的凭据以及来自政府的凭据;第3阶段中的“为运用自动化工具而制定的安全工具验证计划”,NIST原定2008~2009年开展第3阶段工作,着重解决安全工具的验证认可。NIST根据实际进展情况,已将第3阶段纳入第2阶段,使用现有的IT产品测试、评价和审定程序。
目前版本的SP 800—37对风险管理框架进行了改进,整个工作由原来的8个步骤改为如图3-4所示的6个步骤。
NIST将上述标准体系称为认证认可的风险管理框架,该框架建立了实时的风险管理概念,通过实施强有力的连续监测过程推动信息系统授权,鼓励使用自动化操作向高级领导层提供必要的信息,产生成本效益。该框架将信息安全结合到业务安全体系结构和系统开发的生命周期之中,强调安全控制的选择、实施、评估、监测和信息系统的授权,在信息系统风险管理过程中,组织负有风险管理的责任,为组织信息系统安全控制的部署建立责任制和问责制,并使这些制度得到传承。
在NIST发布的SP 800—37中,给出了如图3-5所示的递升风险管理方法。一个组织要以战略和战术两个方面来进行风险管理。一个组织关注的信息安全问题分为3个层次。第1个层次是组织,要通过安全治理来解决信息安全问题;第2个层次是使命和业务过程,体现在信息和信息流;第3个层次是信息系统,体现为信息的运行环境。如图中箭头所示,越向上(阶梯1)越体现为战略风险,越向下(阶梯3)越体现为战术风险。
FISMA规定,联邦信息处理标准(Federation Information Processing Standards,FIPS)对联邦机构具有强制约束力。出版物作为建议和指南文本由NIST发行,除国家安全计划和系统外,其他联邦各机构必须遵循FIPS中要求的NIST SP。在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界认可的事实标准和权威指南。NIST SP 800系列成为了指导美国信息安全管理建设的主要标准和参考资料。目前,NIST SP 800系列已经出版了近150多部正式文档,形成了计划、风险管理、安全意识培训和教育,以及安全控制措施的一整套信息安全管理体系。
4.?三者的区别与联系
上述三种信息安全管理实施方法的区别和联系如表3-1所示。
从应用的范围来看,ISMS是基于ISO推出的标准,广泛应用于全球各个国家;等级保护由我国公安部提出,主要应用于国家基础网络和重要信息系统;而NIST SP 800则由美国标准与技术研究院提出,主要应用于美国联邦政府及其他组织。ISMS、等级保护和NIST SP 800安全管理都是保障信息安全的方法,既相对独立,又相互联系,可以联合实施,也可选择其一。
ISMS和NIST SP 800安全管理均是以风险管理方法为基础,均需要风险评估和风险处理过程。在我国,ISMS和NIST SP 800并不是强制性的;而信息安全等级保护属于我国国家基本制度,具有一定的强制性。
思考题
1.?实施信息安全管理为什么必须以建立“体系”的方式才可能收到理想的效果?
2.?具备哪些因素才有可能使组织的信息安全管理成功实施?
3.?进行信息安全管理有哪些基本方法?这些方法有什么作用?
4.?系统地实施信息安全管理的常见方法有哪些?它们之间有何相似之处和不同之处?