電力信息安全管理體系應用及發(fā)展研究

摘 要 信息安全管理體系作為組織對信息安全工作實(shí)施管理的有效方法之一，在信息安全領(lǐng)域獲得了廣泛的應用。本文從信息安全管理體系的特點(diǎn)出發(fā)，基于風(fēng)險管理和持續改進(jìn)的思想，從實(shí)踐出發(fā)，提出了行之有效的實(shí)施方法，此外，本文還跟蹤研究了信息安全管理體系的最新發(fā)展，介紹了信息安全管理體系在架構、內容等方面的重大變化，指出了這種變化對未來(lái)實(shí)施信息安全管理體系的影響。

1 引言

隨著(zhù)信息技術(shù)的發(fā)展逐漸涌現眾多信息安全問(wèn)題，例如病毒、漏洞、黑客、安全事件等，這些安全問(wèn)題不斷對信息系統造成影響，進(jìn)而對組織，甚至國家安全產(chǎn)生影響。如何解決信息安全問(wèn)題也成為大家關(guān)注的焦點(diǎn)，防病毒、防火墻、入侵檢測等信息安全產(chǎn)品逐步在各組織得到了部署。眾所周知，技術(shù)和管理是相輔相成的，信息安全并不僅是技術(shù)過(guò)程，而是一個(gè)綜合防范的過(guò)程，信息安全管理是綜合防范過(guò)程中的一個(gè)重要部分，在信息安全保障工作中必須管理與技術(shù)并重，進(jìn)行綜合防范，才能有效保障安全，這也是實(shí)現信息安全目標的必由之路。

信息安全管理體系(Information Security Management Systems, 簡(jiǎn)稱(chēng)ISMS)是管理體系方法在信息安全領(lǐng)域的運用，它可以從組織整體的角度來(lái)識別安全風(fēng)險，通過(guò)采取相應的安全控制措施(既包括安全技術(shù)措施，也包括安全管理措施)，達到綜合防范、保障安全的目標。信息安全管理體系的概念已經(jīng)跳出了傳統的“為了安全而安全”的理解，它強調的是基于業(yè)務(wù)風(fēng)險方法來(lái)組織信息安全活動(dòng)，其本身是組織整個(gè)管理體系的一部分。

2 信息安全管理體系方法及應用

2.1 信息安全管理體系的風(fēng)險管理思想

風(fēng)險管理是信息安全管理體系建設中的關(guān)鍵。風(fēng)險管理包括風(fēng)險評估和風(fēng)險處理兩個(gè)階段，風(fēng)險評估是信息安全管理體系建設中提出信息安全要求的關(guān)鍵依據，風(fēng)險處理是解決信息安全問(wèn)題，采取控制措施的指導規范。

1)風(fēng)險管理是信息安全的基礎性工作

信息安全中的風(fēng)險管理是傳統風(fēng)險理論和方法在信息安全領(lǐng)域的運用，是科學(xué)分析和理解信息資產(chǎn)在保密性、完整性、可用性等方面所面臨風(fēng)險，并針對重要風(fēng)險作出接受、減緩、轉移和規避等控制方法的過(guò)程。

風(fēng)險評估將導出信息資產(chǎn)的安全保護需求，因此，信息安全建設應以風(fēng)險評估為起點(diǎn)，以控制安全風(fēng)險，減少安全事件發(fā)生為目標。只有在正確、全面地了解和理解安全風(fēng)險后，才能決定如何處理安全風(fēng)險，從而在信息安全投資、信息安全措施選擇、信息安全保障體系建設等方面作出合理決策。持續的風(fēng)險管理工作將成為檢查信息安全工作績(jì)效的有力手段，并為信息化項目的立項、投資、運行產(chǎn)生影響，促進(jìn)組織信息化的進(jìn)一步發(fā)展。

2)風(fēng)險評估和處理在信息安全管理體系建設中的重要性

信息安全管理體系的建立需要首選確定信息安全需求，而信息安全風(fēng)險評估獲取信息安全需求的主要手段，因此，信息安全風(fēng)險評估是信息安全管理體系建立的基礎，沒(méi)有風(fēng)險評估，信息安全管理體系的建立就沒(méi)有依據。而風(fēng)險處理的過(guò)程則是信息安全管理體系實(shí)施與運行階段的重要內容，殘余風(fēng)險的水平將直接影響體系的運行效果。

因此風(fēng)險評估和風(fēng)險處理是信息安全管理體系建設運行過(guò)程中最重要的活動(dòng)之一，風(fēng)險評估和風(fēng)險處理所生成的兩個(gè)文件：風(fēng)險評估報告和風(fēng)險處理計劃，也是體系運行的重要證據之一。信息安全管理體系運行的效果很大程度上取決于風(fēng)險管理方法的適宜性和有效性。

2.2 信息安全管理體系的持續改進(jìn)機制

信息安全管理體系的一個(gè)突出特點(diǎn)是持續改進(jìn)，通過(guò)體系的建設，可以有效實(shí)現信息安全工作的持續改進(jìn)，不斷提高信息安全的防護水平和能力，應對不斷涌現的新的信息安全威脅。

信息安全管理體系的持續改進(jìn)機制主要體現在下列方面：

(1)過(guò)程方法

在管理活動(dòng)中，過(guò)程單元是控制的基本要素，過(guò)程方法已成為管理活動(dòng)的基本方法，研究過(guò)程之間的相互聯(lián)系和作用，有利于對這些過(guò)程進(jìn)行有效的、連續的控制，從而確保整體管理的有效性。過(guò)程方法模型如圖1所示。

圖1 過(guò)程方法模型

為使組織有效運作，必須識別和管理眾多相互關(guān)聯(lián)的活動(dòng)，通過(guò)使用資源和管理，將輸入轉化為輸出的活動(dòng)可視為過(guò)程。通常，一個(gè)過(guò)程的輸出直接形成下一個(gè)過(guò)程的輸入。而過(guò)程方法則是指組織內諸過(guò)程的系統的應用，連同這些過(guò)程的識別和相互作用及其管理。

(2)PDCA循環(huán)

PDCA模型又叫戴明環(huán)，是管理學(xué)中的一個(gè)通用模型，如圖2所示。

圖2 PDCA模型