ISO27001信息安全管理体系的落地就是一场马拉松

“信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,于1995年5月修订而成。1999年BSI重新修改了标准。BS7799主要分为BS7799-1(信息安全管理实施规则)和BS7799-2(信息安全管理体系规范),分别描述了对信息安全管理的建议与要求。

目前在全球范围内,英国标准ISO27001:2005已然是信息安全管理标准的佼佼者,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成,目前最新版本为ISO27001:2013。”

(Source:百度百科)

ISO27001认证的目的

ISO27001落地是一场马拉松

ISO27001标准体系的落地就像是场马拉松,信息安全管理体系建设与运行是需要符合PDCA(Plan,Do,Check,Act)持续运行的核心思想。PDCA不是一种静止的状态,而是一套持续性的不断优化的模型,所以企业的信息安全并非完成了一次完整的ISO27001体系认证项目的实施就可以一劳永逸了,认证机构为企业颁发ISO27001信息安全管理体系认证证书也只是说明了企业当前存在一套正在运行的、较完整的信息安全运行流程与机制,但并不能代表企业的信息安全管理水平已经达到了某个峰值,甚至还远远不够。事实上这是一项长期的、需要融入企业发展战略的工作。

PDCA循环管理模式图

ISO27001标准体系落地的难点在哪里?整体来看,许多企业认为信息安全管理就像是一块绊脚石,以影响企业业务为生,这样的想法不在少数,可未免太过于狭隘了。在当前的信息化时代,企业的蓬勃发展与信息安全管理水平是密不可分的,两者是相辅相成而非水火不容。当然,在某种层面上来说,企业在原有的管理架构中增加信息安全管控节点势必在一定程度上延长了业务流程,增加了额外的工作内容,这也是难以获得许多部门支持配合的原因,但从企业健康、稳定发展的角度来说,确是极其有必要的。如此,找到业务与安全的平衡点就是体系落地的重中之重了。

信息安全与业务效率的关系

体系建设各阶段的难点与解决方式

资产识别

万事开头难。企业信息资产识别与收集的工作是在信息安全体系建设初期阶段进行的,对于后续风险评估与体系文件设计编纂具有很好的参考价值,有效的资产识别对于企业资产安全乃至于整体的信息安全来说都是不可或缺的,但这往往也是企业最容易轻视甚至忽视的要点。

资产价值评分标准(非人员)

资产价值评分标准(人员)

信息资产与其他物理形式的财务资产不同点在于:信息资产不是一成不变的,它是一种携带动态属性的资产,存在于所承载的信息全生命周期当中的一个阶段或多个阶段,不同的信息资产具有其独特资产价值,而通常来说,同一种信息资产在信息生命周期中的不同阶段会产生不同的资产价值,正是这种动态属性赋予了资产识别更深刻的意义。

信息资产的分类方式通常是根据企业的业务类型特点所决定的,但总体上不会有太大的偏差。根据ISO27005:2008中资产识别章节的描述,分为基本资产和所有类型的支持性资产(资本资产所依赖的范围)。基本资产又分为业务过程或活动以及信息两大类,而支持性资产包括了如硬件、软件、网络、人员、场所、组织架构等。在这样的资产框架下,不同企业按照各自的业务重点进行有针对性的分类。如下图是一种常见分类方式(其中数据资产较为特殊,放到本章节最后谈):

信息资产分类举例

资产大类确定后,可以对每类资产进行二级分类、三级分类等拆分细化。而对于相同类别、相同位置、相同所有者和管理者、脆弱性和面对威胁类似的信息资产,在识别过程中可归纳为一个资产,同样的若是从信息系统为出发点进行资产识别时,某个信息系统所属的应用程序、服务器操作系统、数据库、中间件等,也可以再次归纳识别为一个“资产组”。因为像这样对有逻辑关联性的资产进行合并归纳,大大减少了工作量的同时,还能更清晰的理解企业资产间的关系纽带,可以为后续风险评估工作中的落地提供更有价值的参考。

划入后续风险评估范围和边界的每项资产都应该被识别和评价,资产识别的不准确,可能会造成后续风险评估的对象模糊、体系文件范围不清晰、甚至是各角色岗位的管理(针对资产)出现真空等一系列问题,影响的是整个信息安全体系建设的过程。当然,也不要因此产生排斥、恐惧,信息资产识别的对象并不是企业所有的资产,识别的是与信息和信息处理设施有关的资产,这与资产盘点还是有本质区别的,所以只要有计划、有条理、有层次、模块化的将信息资产识别的工作推进下去,并做好知识传递与宣导,才能打好ISO27001标准贯彻的地基。

信息资产所有者、管理者与使用者定义

其次,统一资产清单模板、委任各部门资产识别负责人的工作同样必不可少。资产清单模板的统一是为了便于后续所有部门资产信息回收后的汇总。鉴于个别部门业务与资产的特殊性,模板的设计就需要考虑更周全,如资产的分类是否涵盖全面、各类资产的属性描述是否准确等。而筛选出各部门最适合资产识别的负责人,则可以大大提高资产识别的效率及准确性。通常部门会有专门负责内部资产管理的人员,而熟悉部门内部业务的员工也是合适的人选。当然需要指出的是,真正确定具体资产的人并不一定是该负责人,更多的是承担着协调者的角色,找到各类资产对应的所有者或管理者并下发给他们识别才是负责人的主要工作。

关于数据,由于该类资产的存在形态与重要程度等特殊性,在资产识别的过程中有其额外的环节——数据分级。数据分级是数据保护的起点,只有在此基础上,后续人员角色、职责的分配才有效。

数据分类分级的意义

数据保密性评分标准——业务类型

数据保密性评分标准——流通范围

数据保密性评分标准——影响程度

根据分级要素及权重计算数据保密性的价值总分以进行最终的分级评定,最终得出公开数据、内部数据、机密数据以及绝密数据四级分类。

数据保密性四级分类

对数据进行有效的分类分级无论从ISO27001标准落地还是数据治理方面来说,都是必不可少的环节,当今这个时代的数据量级与繁杂程度也预示着企业不可能采取一刀切的数据管理方式,取而代之的是数据分级管理,采用更加精准的控制措施完成数据共享的便利性与数据使用安全之间的平衡。

差距分析&风险评估

差距分析的核心是严格将ISO27001:2013的14个控制域、35个控制目标、114个控制点与企业的实际运行现状进行差异比对,宏观的了解企业当前安全状态。从认证的角度来说,这是企业与标准差异的直观体现,同时也对后续风险评估的完整性提供很好的参考。而这114个控制点中,每个控制点又蕴含着不同程度、不同角度的风险可能性,风险评估的目的就是要挖掘出企业已存在或将要存在的安全风险点,对症下药,将所有可能的安全漏洞进行修补处置,补齐所有“木板”的缺口。

前文中曾提到了PDCA模型,事实上该模型可应用于整个ISMS体系建立的全过程,风险评估阶段同样是如此,从风险评估方法论的建立、风险评估计划的制定、风险评估的执行、风险点确认到风险分析与处置,最后达成风险评估工作常态化持续运行的目的,践行着PDCA戴明环中“环”的属性。

上述的威胁识别主要是识别出可能对信息资产或组织造成损坏的某种安全事件发生的潜在原因,而脆弱性识别更多的是寻找信息系统、系统安全程序、内部控制或实施中可能被威胁利用的弱点,是资产、载体或内部业务流程自身所携带的负面基因,从横向的种类来看通常分为技术类脆弱性和管理类脆弱性,从纵向的ISO27001安全域层级来看通常分为应用层脆弱性、操作系统层脆弱性、终端硬件脆弱性、通信和组网级脆弱性、安全机制脆弱性以及开发生命周期与运维管理脆弱性等。

通用脆弱性

结合横向类型与纵向ISO27001安全域的视角来看,包括资产管理、访问控制、物理与环境安全、操作安全、通信安全、信息系统获取开发与维护等不同管理安全域的脆弱性。

管理安全域脆弱性举例

以及应用层、操作系统层、终端硬件、通信、组网级通信、虚拟化等不同层面的技术模块脆弱性。

技术安全域脆弱性举例

以上述的威胁库与脆弱性列举为输入,结合企业本身所在行业的特殊性以及现有的包括威胁性、预防性、检测性与纠正性控制的识别,建立有针对性的威胁与脆弱性矩阵列表,执行风险评估工作。需要注意的是,风险评估落地的一个关键操作在于对已采取的安全措施的有效性进行确认,即现有控制是否真正地降低了资产的脆弱性,抵御了威胁,现有控制是否准确识别。

风险值量化评分举例

资产价值可通过资产识别阶段的对信息资产的打分获取,严重程度、发生频率以及成熟度的评分可参考如下判断依据:(此处需要注意的是成熟度一项,成熟度越高,对应的成熟度风险值越小,成反比)

风险影响判定标准举例

而风险可接受水平更像是一块“平衡板”。理论上来说,风险当然是越小越好。但现实中降低风险(包括降低风险发生的可能性与采取措施减少风险损失)意味着资金、人力资源、技术资源的投入,这种投入当然不会是无限制的,就像是上篇中的信息安全与业务效率的关系。而风险可接受水平的确定可以很好的平衡风险与利益,根据风险的影响要素、强度、范围等,计算出风险可接受的损失空间,为风险处置提供最佳的参考建议。当然,风险可接受水平同样会受到行业、业务类型等影响。

风险处置影响因素

最后,根据风险评价的结果制定所有风险的处置策略。处置策略通常分为接受风险、消减风险、转移风险与规避风险四大类,对于一般的风险而言,“消减风险”是常用的手段,通过风险控制措施,抑制风险的危害,减少风险带来的损失或削弱风险发生的可能性。而需要强调的是,“接受风险”看似是一种消极的处置态度,事实上这种“灵活的”处置方式在企业的实际风险控制活动中不可或缺,有时在处理成本较高却又因为一些行业特性而“不得不”面对的风险时,还需要低成本的“消减风险”策略配合处置。

风险处置策略

体系建设文档编制

从ISO27001信息安全管理体系的整体控制域而言,信息安全管理主要分为三部分:第一部分为安全管理基础架构的搭建,包括安全规则(框架)、组织(管理者)、资产(保护对象)等,分别对应的是控制域A5安全方针、A6信息安全组织以及A8资产管理;第二部分为事前管理,主要涵盖了预防性的管理措施与要求,包括了A9~A15以及A7人力资源安全几大控制域;最后一部分为事后管理,主要是在安全事件发生后的处理措施与计划,以及法律法规符合性层面的要求,对应的控制域为A16信息安全事件管理、A17信息安全业务连续性管理以及A18符合性。体系建设阶段的文档编制始终是围绕着ISO27001的指导思想来编纂的,并将各个控制域的要求与核心内容融入到企业既有的流程当中,形成完整的信息安全管理体系文件。这里需要注意的是,安全管理要求是不能够脱离企业业务流程而单独存在的,这也是企业信息安全管理体系落地的一大关键。

信息安全管理体系控制域分布

信息安全管理体系四级文件划分

信息安全管理体系文件的建设基础是体系内容符合ISO27001标准的各个控制要求,而体系文件建设的真正难点在于安全控制项(要求)与企业既有业务流程的契合度是否足够高,这同样也是安全体系标准落地的核心。许多企业存在这样的理解偏差,将标准中所有的控制要求“填鸭式”地“组装”到现有流程当中而不考虑业务的兼容性,这样的制度文档通常看似“漂亮”,但事实上这在企业的日常业务执行过程当中会产生诸多不合理的要求与步骤,几乎不具有参考意义,这就违背了信息安全管理体系落地的宗旨。同时,风险评估结果的输入也是程序文件编纂的一大参考要点,是从控制措施层面对即有风险进行长期化解决的重要契机。

RACI矩阵例图

体系宣贯与试运行

“实践是检验真理的唯一标准”。任何未经试运行检验的安全体系都是不成熟、不可靠的。试运行阶段就像是一场模拟考,对已搭建完成的信息安全管理体系是否能够很好的运转进行的一次测试,同时也是体系建设者对体系寻错、纠正、调整的一次绝佳时机,更重要的是,该阶段践行着PDCA戴明环中“检查(Check)”和“处理(Act)”两个环节,为体系后续真正运行后进入下一循环做铺垫。

以风险为导向持续优化

最后需要强调的是,风险是会永久存在的,安全体系的落地建设是一项长期工程。企业需要做的就是务实,不断地寻找发现已有的或可能出现的风险,并对他们进行处理、管控、预防,重新建设或调整即有的安全管理架构,增强安全体系韧性,提高安全维度。只有不断践行PDCA循环,才能让企业在信息安全方面持续地散发活力,让安全与业务达到一个更加稳定、平衡的状态,更自信地迎接来自信息时代的安全威胁与挑战。

THE END
1.大学课件管理信息系统20241218.ppt管理信息系统管理信息系统(MIS)是一种将计算机技术应用于管理的系统。它旨在收集、处理、存储和传递信息,以支持组织决策、管理活动和运营流程。课程概述教学内容本课程介绍信息系统基本概念、原理和应用。帮助学生了解信息系统在现代企业管理中的重要作用。教学目标培养学生信息系统分析、设计和开发能力,以及信息系统管理和https://www.renrendoc.com/paper/370979691.html
2.信息管理与信息系统吧百度贴吧信管专业工作学习交流平台本吧热帖: 1-来报名小吧 2-信管医学院校的论文怎么选题呀 3-医学类信管专业有什么好毕业设计题目推荐吗 4-关于信管考研 5-本 硕 7年信管,it行业一年半 6-15年本科毕业6年工作经验产品经理,短暂创业并失败,有问必答 7-如下。。。#鼎捷##信管# 8-信息管理与信息系统专业好https://tieba.baidu.com/f?kw=%E4%BF%A1%E6%81%AF%E7%AE%A1%E7%90%86%E4%B8%8E%E4%BF%A1%E6%81%AF%E7%B3%BB%E7%BB%9F
3.管理信息系统(MIS)介绍经管文库(原现金交易版管理信息系统(MIS)介绍 https://bbs.pinggu.org/forum.php?mod=viewthread&tid=13333062
4.什么是管理信息系统?零代码知识中心管理信息系统(Management Information System,MIS)是一种基于计算机技术和信息处理技术的企业信息化系统。它通过信息化技术来帮助企业实现信息的集中管理、自动化处理和及时分析,从而提高企业的运行效率和决策质量。那么,什么是管理信息系统的构成呢?管理信息系统一般由硬件、软件、数据库、人员、程序和规程等六个方面构成。https://www.jiandaoyun.com/fe/smsglxxxt/
5.什么是管理信息系统?网站建设鼎之道、易于行 什么是管理信息系统? 管理信息系统(MIS)是一组系统和程序,它们从一系列来源收集数据,对其进行编译并以可读格式呈现。管理人员使用MIS创建报告,为他们提供从日常细节到顶级策略的决策所需的所有信息的全面概述。今天的管理信息系统主要依靠技术来编译和呈现数据,但这个概念比现代计算技术更古老。http://www.zjr1.com/news_details/id-4345.html
6.管理信息系统的特点管理信息系统的特点是什么管理信息系统的特点有支持决策、整体性、自动化处理、实时性、灵活性、综合性、安全性、可扩展性等。本专题为大家提供了管理信息系统相关的各种文章、以及下载和课程,希望对各位有所帮助。https://www.php.cn/faq/glxxxtdtd
7.信息系统项目管理师如何备考?软考信息系统项目管理师报名不设学历与资历条件、年龄以及专业等要求限制,只要达到相应的技术水平就可以报考软考相应的级别,考生可根据自己的技术水平选择软考合适的级别与资格进行报考。 根据《计算机技术与软件专业技术资格考试暂行规定》第八条相关规定:凡遵守中华人民共和国宪法和各项法律,恪守职业道德,具有一定计算机技术https://www.zhihu.com/question/316387950/answer/53828078569
8.什么是现代管理信息系统?现代管理信息系统爱问知识人从字面上看,现代管理信息系统采用的是现代的设计思想、技术和手段,实现或辅助现代的管理;从内涵上看https://iask.sina.com.cn/b/7635573.html
9.简答题什么是管理信息系统?有何特点?【题目】 【简答题】什么是管理信息系统?有何特点? 搜题找答案>01076管理信息系统(一)试题答案>试题详情 【题目】【简答题】什么是管理信息系统?有何特点? 纠错 查看答案 查找其他问题的答案?https://www.zikaosw.cn/daan/15391758.html
10.信息系统管理工程师岗位职责要求信息系统管理工程师是做什么的职位百科|信息系统管理工程师职位招聘信息 50309| 9 信息系统管理工程师是指既懂系统管理,又懂通信技术,并掌握现代信息技术理论与方法,具有较强的计算机应用能力和管理信息系统分析与设计能力的高级技术人才。 岗位要求: 信息系统管理工程师 学历要求: 本科 https://baike.51job.com/zhiwei/79021/
11.会计信息系统是什么会计信息系统是什么 东奥注册会计师 2024-09-12 00:19:00 会计信息系统,是指一种专门用于会计业务处理的应用软件,它是属于管理信息系统中的财务管理子系统。它包括会计核算和管理会计两大部分,前者以账务核算为核心进行账务处理,并且设计工资核算、固定资产核算、成本核算、材料核算、销售核算等专项核算内容;后者的https://www.dongao.com/zckjs/kj/202212284068100.shtml
12.酒店信息管理系统是什么?是什么? 酒店信息管理系统(Hotel Information Management System)是一种集中管理酒店各类信息并协助运营的软件系统。它利用计算机技术和数据库管理将酒店的信息整合起来,为酒店管理层提供高效的工具和方法来管理业务流程、优化资源利用、提高客户满意度。 酒店信息管理系统的主要功能包括:https://www.huoban.com/news/post/151842.html
13.什么是LIMS系统实验室信息管理系统(LIMS)介绍白码lims实验室管理系统,符合CNAS/CMA标准,助力实验室规范化、信息化管理,提升效率。 免费试用 LIMS实验室信息管理系统是一种软件类型,旨在通过跟踪与样品、实验、实验室工作流程和仪器相关的数据,提高实验室产能和效率。 LIMS实验室信息管理系统介绍 实验室管理系统(Laboratory Information Management System,缩写LIMS)也https://www.bnocode.com/article/xtbk75.html
14.第1章信息化和信息系统企业信息化判断树为了提高可靠性,在信息编码时,可以增加冗余编码。 什么是信息系统(P-6) 了解 信息系统:输入数据,通过加工处理,产生信息的系统。 显著特点:面向管理、支持生产。 信息系统集成:采用现代管理理论作为方法论,将硬件、软件、数据库、网络等部件有机地整合到信息系统中达到既定系统目标的过程。 信息化的五个层次(P-8)https://blog.csdn.net/weixin_48447848/article/details/118347409
15.什么是LIS系统?实验室信息管理系统是什么?实验室信息管理系统是什么? 在医疗信息化改革的这个大背景下,很多医院都在不断完善信息化建设,有些人还不知道医院实验室信息管理系统。 本文章仅以个人的理解整理出来,本文从LIS系统定义、LIS系统实现了哪些功能、LIS系统解决了实验室实际工作中的哪些问题,进行分享;希望能帮助更多基础医疗单位了解【实验室信息管理系统https://blog.51cto.com/u_16102274/8831469
16.信息系统项目管理师岗位职责(工作内容,是做什么的)招聘高级信息系统项目管理师岗位职责来自重庆宽渝企业管理咨询有限公司 加载更多 招聘学历要求:本科最多 22.2%大专66.7%本科5.6%硕士5.6%不限 信息系统项目管理师需要什么学历?大专占22.2%,本科占66.7%……想知道其他学历占比多少,请点击查看 按学历统计 https://www.jobui.com/gangwei/xinxixitongxiangmuguanlishi/
17.中小学(学前)资助政策和系统应用有关问题答疑教育信息18.关于部分县区兜底资助省外学籍资助资金和非寄宿生提标资助资金在全国资助系统如何填报? 根据《湖南省学生资助资金管理办法》和《全国学生资助管理信息系统管理暂行办法》要求,为避免国家资助项目资金与地方政府资助项目资金混淆,兜底资助省外学籍资助资金和非寄宿生提标资助资金属于地方政府资助资金,应录入地方政府资助项目https://www.syx.gov.cn/syx/jyxxzdd/202310/53890c0379ce41589da230f1d8afb786.shtml