ISO27001信息安全管理体系与等级保护管理要求
信息安全管理是任何组织的信息活动中的必不可少的内容,目前信息安全管理领域中,国际上比较流行的管理体系是信息安全管理体系(ISMS),国际标准化组织也加快了信息安全管理体系标准的研究和制定的步伐,目前已经形成了14个国际标准研究编制内容。
我国已经形成的信息安全管理标准主要包括GB/T 22080—2008(技术安全技术信息安全管理体系要求》和GB/T 22081—2008(信息技术安全技术安全管理实用规则》。
随着我国信息安全工作的发展,公安部制定了一系列标准,进行信息系统分等级保护,将信息系统划分为五个安全等级,安全要求从第一级到第五级逐级递增。主要标准包括《计算机信息系统安全等级保护划分准则》、《信息安全技术信息系统安全保护等级定级指南》、《信息安全技术信息系统安全等级保护基本要求》等。其等级保护制度的推行,是为了进一步落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求“要重点保护基础信息和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。因此推行等级保护制度,与建立信息安全管理体系之间有着紧密的关联。
1、信息安全管理体系
1.1信息安全管理体系的结构
信息安全管理体系,即Information security management system(ISMS),是由信息安全最佳惯例组成的实施规则,主要内容包括11个安全类别,39个控制目标,133项控制措施。信息安全管理体系中提倡对信息系统进行风险评估,其最终目的是通过风险控制,达到信息安全管理的目的。信息安全管理体系的安全类别包括以下几个方面。
(1)安全方针
确定信息安全管理的方针、目标。
(2)信息安全组织
对组织内部和外部各方的信息安全进行管理。
(3)资产管理
对组织的所有信息资产进行分类,并实施有效管理。
(4)人力资源安全
对员工的所有可能影响信息安全的行为和过程列入信息安全管理范围。
(5)物理和环境安全
对组织的办公环境、设备所处环境等的安全管理。
(6)通信和操作管理
对所有涉及到通信和操作的所有内容加以控制。
(7)访问控制
对信息、信息系统、网络服务等方面的访问进行控制。
(8)信息系统获取、开发和维护
对信息系统的设计、开发、验收、维护等方面进行管理。
(9)信息安全事件管理
对信息安全事件的划分、发现、报告、处理程序进行规范。
(10)业务连续性
为防止业务中断,保护关键业务过程而进行的管理。
(11)符合性
保证符合法律、法规要求及符合组织安全策略的管理。
信息安全管理体系中针对所有管理范围都提出了管理要求。其管理体系虽然是针对“管理”建立的,但是其中亦涵盖了所有针对技术方面所应实施的内容。
1.2信息安全管理体系的特点
信息安全管理体系ISMS具有如下特点:(1)基于一个组织;(2)目标是体系化建设;(3)立足于风险管理思想;(4)贯穿了“规划-实施-检查-处置”(PDCA)持续改进的过程和活动;(5)根据组织自身的任务和应对安全风险需求来选择安全控制措施;(6)通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性。
2、等级保护中的安全管理
2.1安全管理基本要求
等级保护制度是根据国家等级保护管理规定,等级保护包含技术和管理两个方面。其中安全管理要求分为五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。这五个方面贯穿了信息系统的全生命周期。其具体要求内容随着安全级别越高,要求的强度越高。
(1)安全管理制度
从建立安全管理制度的角度,要求对日常管理形成管理制度,并进行适当的维护。
(2)安全管理机构
要求建立具有明确职责的信息安全管理机构,并做好具体分工。
(3)人员安全管理
对人员的录用、离岗、考核、教育及外部人员的安全进行规范。
(4)系统建设管理
从系统生命周期角度,对系统的设计、采购、实施等角度对信息系统进行安全管理。
(5)系统运维管理
在系统运维过程中,对系统运行过程中的全部安全问题进行管理。
2.2等级保护基本要求
等级保护的基本要求分为技术和管理两个方面,在实际的技术要求中,亦涉及到了管理的内容,比如在物理安全层面中对机房的管理、主机安全等层面中对安全审计的要求等,因此,等级保护中的管理与技术两大类是密不可分的,其具有相互关联性,能够在某些方面互相弥补。是一个统一的整体。
3、信息安全管理体系与等级保护管理要求的关系
信息安全管理的目标是保证信息系统资产的安全,不论是何种管理制度,其保护的对象都是信息和信息系统。因此,信息安全管理体系与等级保护的管理其最终目的都是一样的,但是等级保护要求中将管理要求与技术要求进行了区分,因此信息安全管理体系中所包含的管理内容更加全面。本文就具体内容进行分析。
信息安全管理体系中,信息安全方针的管理与等保管理要求中的“安全管理制度:管理制度”的要求相同。
在信息安全组织类中,信息安全管理的承诺对应“安全管理机构:岗位设置”、“安全管理制度:制定和发布”;信息安全协调对应“安全管理机构:沟通和合作”;信息安全职责的分配对应“安全管理机构:岗位设置”;信息处理设施的授权过程对应“系统建设管理:产品采贿私使用”,保密性协议对应“人员安全管理:人员录用”,与政府部门的联系对应“安全管理机构:沟通和合作”,与特定利益集团的联系对应“安全管理机构:沟通和合作”,信息安全的独立评审对应“安全管理制度:制定和发布”,与外部各方相关风险的识别、处理与顾客有关的安全问题对应“人员安全管理:外部人员访问管理”,处理第三方协议中的安全问题对应“系统建设管理:安全服务商选择”。
在资产管理安全类中,资产清单、资产责任人、资产的合格使用、信息分类指南、信息的标记和处理对应“系统运维管理:资产管理”。
人力资源安全类中,任用前的角色和职责对应“安全管理机构:人员配置”、“安全管理机构:岗位设置”,任用前的审查、任用条款和条件、人员任用中的管理职责对应“人员安全:人员录用”,信息安全意识、教育和培训对应“人员安全管理:安全意识教育和培训”,纪律处理过程对应“人员安全管理:人员考核”,任用终止职责、资产的归还、撤销访问权对应“人员安全管理:人员离岗”。
物理安全管理类中,大部分内容对应等级保护要求中的“物理安全”层面,其中物理安全边界、物理人口控制、办公室、房间和设施的安全保护、在安全区域工作、支持性设施、资产的移动对应“系统运维管理:环境管理”,设备维护、组织场所外的设备安全对应“系统运维管理:设备管理”,设备的安全处置和再利用对应“系统运维管理:介质管理”。
在通信和操作管理安全类中,文件化的操作程序对应“安全管理制度:管理制度”中日常操作规程的要求,变更管理对应“系统运维管理:变更管理”,系统操作的责任分割对应“安全管理机构:人员配置”,开发、测试和运行设施分离对应“系统建设管理:自行软件开发”,第三方服务交付对应“系统建设管理:系统交付”,第三方服务的监视和评审对应“系统建设管理:工程实施”中关于实施过程管理、建立等方面的要求,第三方服务的变更管理对应“系统运维管理:变更管理”中关于系统变更的控制,系统容量管理对应“系统运维管理:系统安全管理”中关于系统容量的要求,系统验收对应“系统建设管理:测试验收”和“系统建设管理:系统交付”,控制恶意代码、控制移动代码对应“系统运维管理:恶意代码防范”,信息备份对应“系统运维管理:备份与恢复管理”,网络控制对应“系统运维管理:网络安全管理”,网络服务安全对应的是等级保护技术要求中的网络安全层面,可移动介质的管理、介质的处置对应“系统运维管理:介质管理”,系统文件安全对应“系统运维管理:系统安全管理”,审计日志对应“系统运维管理:系统安全管理”,监视系统的使用对应“系统运维管理:监控管理和安全管理中心”,另外一些如日志信息的保护、管理员和操作员日志、故障日志、时钟同步、电子消息发送、业务信息系统、电子商务、在线交易等对应到等级保护要求中的“主机安全”、“应用安全”、“安全”等多个瑟面。
在访问控制安全类里面,大部分都对应着等级保护要求的“主机安全”、“应用安全”、“网络安全”中的“访问控制”控制点,另外,访问控制策略对应“系统运维管理:系统安全管理”,网络连接控制对应“系统运维管理:网络安全管理”。
系统安全要求分析和说明对应“系统建设管理:安全方案设计”,密钥管理对应“系统运维管理:密码管理”,变更控制程序、操作系统变更后应用的技术评审对应“系统运维管理:变更管理”,外包软件开发对应“系统建设管理:外包软件开发”,技术脆弱性的控制对应“系统运维管理:网络安全管理”和“系统运维管理:系统安全管理”中关于系统漏洞及补丁的要求。
在信息安全事件管理的安全类里面,报告信息安全事态、报告安全弱点、职责和程序、对信息安全事件的总结、证据的收集都对应着“系统运维管理:安全事件处置”。
在业务连续性管理安全类中,主要对应等级保护要求中的“系统运维管理:应急预案管理”,但是业务连续性管理中提到了要进行风险评估,并根据评估结果开发连续性计射,这与等级保护政策中开展等级测评,并根据测评结果进行信息系统改建的要求是相一致的。
在符合性要求类中,主要涉及等级保护要求中的“安全管理机构:审核和检查”及一些技术要求。
4、结束语
信息安全管理体系的建立是为了保障组织的信息和信息系统的安全,与等级保护的最终目标是一致的,虽然信息安全管理体系的名为管理,实际上涵盖了所有对技术实施方面的要求,是一个综合的管理体系。等级保护基本要求中的管理要求是按照组织实施管理过程的五个基本方面来进行约束的,对组织的信息安全、提供服务迸行保障。两者之间既有区别又有联系,但是其最终目的都是为了保障组织的信息安全。