信息安全问题从攻防的角度来看,双方的力量是严重不对称的。从攻击者的角度来看,只要找到系统的一个脆弱点,攻击成功的可能性就会增大。而对于防守方来讲,每一个脆弱点都需要进行修复和弥补。木桶原理非常适用:信息安全管理的水平取决于管理中最薄弱的环节。
GB/T 29246-2017(ISO/IEC 27000:2016)中描述了信息安全管理系统成功的主要因素:
1.信息安全策略、目标和与目标一致的活动;
2.与组织文化一致的,信息安全设计、实施、监视、保持和改进的方法与框架;
3.来自所有管理层级、特别是最高管理者的可见支持和承诺;
4.对运用信息安全风险管理(ISO/IEC27005)实现信息资产保护的理解;
5.有效的信息安全意识、培训和教育计划,已使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务,并激励他们做出相应的行动;
6.有效的信息安全事件管理过程;
7.有效的业务连续性管理方法;
8.评价信息安全管理性能的测量系统和反馈的改进建议。
说白了就是公司有健全的安全管理制度,制度能够有效落实。每个人都知道自己的安全责任,知道应该做什么、怎么做,还能得到公司领导层的有效支持。
结合PDCA模型,信息安全管理体系建设可以分为规划与建立(Plan),实施与运行(Do),监视和评审(Check)以及维护和改进(Adjust)。
在运用该模型时,按照P-D-C-A的顺序依次进行,一次完整的PDCA可以看成一个管理周期,每经过一个管理周期,管理体系都会得到一定程度的完善,同时进入下一个更高级的管理周期。通过连续不断的PDCA循环,管理体系就能得到持续的改进,管理水平也会随之不断提升。PDCA的嵌套循环是信息安全管理体系的根本。
信息安全管理体系怎么管,管什么?
ISO 27002标准中定义了控制措施的分类,每一个主要安全类别包括控制目标,就是声明要实现什么;以及可被用于实现该控制目标的一个过多个控制措施。ISO27002中规定的控制措施被认为是适用于大多数组织的最佳实践,并很容易适应各种规模和复杂性的组织。
ISO 27002:2013标准中,将控制措施划分为14个安全控制章节,包括:安全方针,信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购、开发与维护、供应商关系、安全事件管理、业务连续性管理和合规性。
这14个安全控制章节的内容在《网络安全等级保护基本要求》中都有体现,如果组织没有进行ISO 27000的认证的话,认真落实好《网络安全等级保护基本要求》也能够提升组织的信息安全管理能力。
