搜索
信息安全管理体系规范及使用指南BS7799-2:2002北京中安质环认证中心质量总监周韵笙(译)附录B(信息性)本标准的使用指南B.1总论B.1.1PDCA模式建立和管理一个ISMS需采用与建立和管理其它管理体系相同的方法。此处所述的过程模式遵循一个连续的活动循环:策划、实施、检查和处理。这可称之为一个有效验的循环,因为它的目的是确保你的组织的最佳做法是形成文件的,强化的并随时得到改进的。B.1.2策划和实施持续改进的过程常需初次投资,包括:把做法形成文件,把风险管理的方法正规化,确定评审及分配资源的方法等。这些活动用来启动循环。它们不需在评审阶段积极开展之前全部就完成。策划阶段用来确保ISMS的内容及范围已正确建立,信息安全风险已经评价,适当处理这些风险的计划已经编制,实施阶段则用来实施策划阶段已定决策及已识别的解决方案。B.1.3检查和处置检查和处置评审阶段是对已识别和实施的安全解决方案进行加强、修改和改进。评审可在任何时间和频度下进行,取决于对所考虑的情况是否是最适合的。在有些系统中,它们可以建入计算机化的过程中以便立刻操作和反应。其它的过程只需在有安全故障时,对受保护的信息财产进行改变或增加时,以及威胁和脆弱性发生改变时才作出反应。最后需要进行每年或其它周期性的评审或审核,以确保整个管理体系正在实现其目标。B.1.4控制总结组织可能发现有一个控制总结(SOC)是有得的,SOC与组织的ISMS有关,而且是适用的。这可以改善业务关系,例如通过提供一个适当的SOC(控制总结)而进行电子外包。SOC可以饮食敏感信息,因此当使SOC内外部都可使用时,应以适合于接收者的方式小心对待。注:SOC不是SOA的替代(见4.2.1h)。SOA对于认证来说是强制性要求。B.2策划(Plan)阶段B.2.1引言PDCA循环中的策划活动是为确保ISMS的内容和范围已正确建立,所有信息安全风险均已识别并评定,对这些风险的适当处理的计划已经编制而设计的。重要的是策划活动的所有阶段都要形成文件以便于可追溯性及对变更的管理。B.2.2信息安全方针4.2.1b)要求组织及其管理层规定信息安全方针,它包括设定其目标和指标的框架并建立一个有关信息安全的行动的方向和原则的总概念。这种方针的内容参见BSISO/IEC17799:2000。B.2.3ISMS的范围ISMS可覆盖全部组织或其一部分,有关环境界限的依赖性、接口及假设需清楚地加以识别。当组织只有一部分是在ISMS内时这一点更特别有关系。范围可以按某些方法划分,例如分为几块(Domains)以便使随后的风险管理任务更为简单。ISMS范围的文件应覆盖:a)用来建立ISMS范围及内容的过程;b)战略的和组织的内容;c)信息风险管理的组织方法;d)信息安全风险评价准则及所需保证的程度;e)在ISMS范围信息财产的识别。ISMS可以处在一个质量管理体系,其它管理体系或其它ISMS(同一组织的,或第三方组织的)之中。在这种情况下,只有ISMS具有管理控制的那些控制才可以看作是在ISMS范围之中。B.2.4风险识别及评定风险评定文件应说明选用了何种风险评定方法,为什么这个方法适合于安全要求、业务环境、业务规模及组织所面临的风险。采用的方法应针对文件还应包括所选择的工具和技术,解释它们为什么适合于ISMS范围和风险,以及应如何正确使用他们以取得有效的结果。下列风险评定的细节应形成文件:a)对ISMS内财产的评价,包括财产不以货币计时所使用的评价尺度的信息;b)对威胁及脆弱性的识别;c)对威胁所引起的脆弱性的评定以及由这类事故所造成的影响;d)根据评定结果的风险计算以及剩余风险的识别。B.2.5风险处理计划组织应编制一份详细的计划表或风险处理计划,对每个已识别的风险说明下列内容。a)选定的处理风险的方法;b)有何种控制;c)建议采用什么附加控制;d)实施所建议的控制的时间框架。应识别可接受的风险水平,对每一个处于不可接受水平的风险,应从下列措施选择其合适者:a)决定接受风险,例如其它措施不可能或太昂贵;b)转移风险;c)把风险降低到可接受水平。风险处理计划是一份直辖市文件,它规定降低不可接受水平的风险以及实施为保护信息所需的控制。有时不可能在可接受的费用内把风险降低到可接受水平。这时应决定是增加更多的控制呢,还是接受更高的风险?在设定一个可接受的风险时,控制的力度和费用应与一次事故的潜在费用相比较。适用性声明(见4.2.1h)把选自附件A的控制目标及形成文件。这是ISMS认证所需的工作文件之一。BSISO/IEC17799:2000对实施这些控制提供了附加的有关信息。当已识别的风险超过了这些控制所能管理的水平时,可能需要设计和实施附加的控制。为了阻止,查探、限制、预防安全扰乱(按ISMS)并从扰乱中恢复而设计的控制在实施PDCA循环中是非常重要的,它与那些管理提供防止、阻止、限定及恢复的控制一起应及早到位而使之有效。计划应包括一个日程表及优先次序,一份详细的工作计划及实施控制的职责。B.3实施(Do)阶段B.3.1引言PDCA循环中的实施(Do)活动是为了按照在策划(Plan)阶段已作出的决定实施所选定的控制并促进为管理信息安全风险所必需的行动而设计的。B.3.2资源、培训和意识应为动作ISMS及所有安全控制分配适宜而充分的资源(人员、时间及金钱)。这包括已实施的全部控制的文件及积极保持ISMS的文件。此外在实施安全控制的同时应有安全意识及培训的大纲,意识大纲的目的是产生一个基础良好的风险管理及安全文化。应对意识大纲的成功进行监视以确保其持续的有效性和主题(明确)性(topicality)。必要时应施加特定的安全培训以支持意识大纲,并能使所有相关方完成要求他们完成的安全任务。B.3.3风险处理对于那些已评定为可接受的风险,不需采用进一步的措施。如果已决定转移风险,应采取必要的措施,如利用合同、保险安排及组织结构诸如合伙及合资企业等。在这种情况下,应确保风险转移到的组织理解这些风险的性质并能对它们进行有效的管理。如果已决定降低风险,则应实施已选定的控制。这应与在策划活动中编制好的风险处理计划相一致引计划的成功实施需要一个有效的管理体系,它规定了选择的方法,分配职责及各个行动的可确认性。并对这些行动按规定的准则进行监视。如果某项业务已决定接受高于可接受水平的风险时,应得到管理层的解除决定(Sign-off)在不能接受的风险已降低或转移后,还可能存在着剩余风险。对它的控制应确保能立即识别不希望有的影响或破坏并适当加以管理。B.4.检查(Check)阶段B.4.1引言应设计检查活动以确保控制有效地并按预期地进行,并确保ISMS保持有效。此外,对风险评定的假设或范围的任何改变也应予以考虑。如果发现控制不适当或不充分,就应决定必需的纠正措施。这些措施的实行是PDCA循环中处置(Act)阶段的事情,重要的一点是要了解;纠正措施只有在下列情况下才是必要的。a)保持ISMS文件的内部一致性;b)如不作改变,其后果将导致组织面临一个不可接受的风险。检查活动还应包括对管理和运作ISMS中的控制的程序的叙述以及按技术、威胁或功能的改变而对进一步的风险评审及其处理的过程的叙述。有时,可能肯定现有的安全状态是令人满意的,则应注意变化中的技术和业务要求以及新威胁和新的脆弱性的发作,以预测ISMS的未来变化并确保其未来的持续有效性。在检查阶段所惧的信息提供了有价值的数据源,它可用来确定和测量ISMS满足组织形成文件的安全方针及目标的有效性,它还可用作发现低效和无效的过程和程序的来源。检查阶段的性质取决于有关PDCA循环的特性,如下例:例1.入侵查探险技术的自动工作,一种网络入侵查探器可检查其它元件的安全是否已被子渗透。例2.安全事故导致的行动,在安全事故后采取行动的程序在控制失灵或需附加控制时可能大暴露。其它例子在B.4.2-B.4.7中介绍。B.4.2路由检查些程序作为政党的业务过程而定期进行,并为在处理结果中发现错误而设计。它们可包括:银行帐(reconciliation),以及解决顾客抱怨.对显然这种类型的检查常常需要设计在将实行的系统中以限制任何遇到的错误所造成的破坏(及责任后果).在现代系统中,这类检查可能扩大到包括:a)对控制软件运作的参娄有无非预期和非授权的改变的检查,对显示于网址上的数据有无非预期和非授权的改变的检查。b)确认在控制空间(cyberspace)中“虚拟”公司各方之间数据转移的全面性和正确性。B.4.3自我警察(监督)程序自我警察程序是一种控制,它是为使在实行中所犯的错误或故障能及时发觉而构成的。例子之一是一种装置,它监视一个网络(例如监视其故障或错误)并发出警报,向问题负责的人员发出警告,而他们有责任诊断问题的原因并加以修复。如果问题并未在规定时间期限内纠正,则附加的警报会告知更高的管理,这样使问题自动升级。B.4.4向他人学习识别组织的程序不够令人满意的一个方法就是识别其它组织在处理问题时更为有效。这种学习即可用于技术软件,也可用于管理活动。有许多识别在技术上和软件上脆弱性的来源,组织应频繁地涉及这些问题并对他们的软件作必要的修改。管理技术的信息在许多论坛(包括会议、专业社团及用户群)中交换和讲座在技术和管理报刊上有许多论文。这种信息交换可使组织学习其他组织是如何处理类似的问题的。B.4.5内部ISMS审核总的目标是在一规定的审核间隔时内(其持续时间不应超过一年)检查ISMS的各个方面是否都按预期的在运作。应策划足够次数的审核以使审核任务在选定的期限内均匀分布。管理层应确认下列各点:a)信息安全方针仍是业务要求的确切反映;b)正在使用一种合适的风险评定方法;c)程序文件正得到遵循(在ISMS范围内),并正在满足它们企求的目标;d)技术控制(如防火墙、物理访问控制)是到位的,是正确构划的并按预期工作着;e)剩余风险已经正确评定,仍能为组织管理层所接受;f)上风次审核及评审得出各方同意的措施已付诸实施;g)ISMS是符合本标准的。审核需要现行文件及记录的样本并对管理层及员工进行访谈。B.4.6管理评审总的目标是至少一年一次来检查ISMS的有效性,识别何处可以改进并采取措施。如确定安全的现状是令人满意的,则应注意变化中的技术和业务要求以及新的威胁和脆弱性的发作以预测ISMS未来的变化并确保其持续的有效性。B.4.7趋势分析定期进行趋势分析有助于组织识别已指明需要改进的区域,并应形成持续改进循环的一部分。B.5处置(Act)阶段B.5.1引言为了使ISMS保持有效,应根据在检查(Check)阶段收集到的信息定期进行改进。处置(Act)活动的目的是采取措施作为检查(Check)活动的结果。外置将说明一项不合格或采取其它如B.5.2及B.5.3中所解释的纠正措施,处置也可立刻提前到策划(Plan)及实施(Do)阶段。前者的一例是:当识别一种新的威胁时,策划(PLAN)活动是更新风险评定。后者的一例是:把现有的一项业务连续性计划付诸行动,因为检查(Check)活动已识别这样做的需要。要注意如果作为处置(Act)或后续策划(Plan)活动的一种结果,对ISMS作某些改变,那么重要的一只是立刻向所有有关方提供关于改变的建议并进行所需要的附加培训。B.5.2不合格一项不合格(引自对ISO/IEC导则62款的应用指南)是:a)缺少ISMS的一项或多项要求或在实施或保持这些要求时失误;b)根据可得的客观证据出现一种状况足以怀疑ISMS是否有能力实现组织的信息安全方针及目标。重要的一点是当在检查(Check)阶段的评审发现了不合格区域后要进行进一步的调查来识别事件的根本原因并识别不公是解决总是的措施,还应是防止再出现或使再出现情况为最小的措施。纠正措施应与不合格的严重性以及ISMS满足规定要求的能力的风险相适应。B.5.3纠正措施及预防措施应采取纠正(可反应)措施以消除不合格或其它不希望情况的原因以防止其再发生。应采取预防(或提前动作措施)以消除潜在不符合或其它不希望的潜在情况的原因。完全消除孤立的不任命是不可能的。另一方面表