×

微信扫一扫,快捷登录!

我国目前ISMS的现状及面临的问题

标签: 暂无标签

我国目前
ISMS的现状及面临的问题  
本文来自百度文库        作者:不详
  
ISMS
简介:   
信息安全管理体系(
Information Securitry Management Systems,简称ISMS)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。  
我国
ISMS的发展现状:  
  
相对于欧盟比较成熟的认证体系,我国的信息安全管理体系起步较晚,但发展较快,取得了很大的进步,早在2006年3月,ISMS认证的国标化工作及其试点工作就已经进入实质阶段。
  而在更早的2003年,我国《关于加强信息安全保障工作的意见》(中办发[2003]27号)中第一次全面地提出了我国的信息安全方针,即“积极防御、综合防范”,提出信息安全保障工作中要坚持“管理与技术并重”的原则。这一文件的公布,指出了信息安全管理工作的发展方向,也推动了我国ISMS试点以及有关标准的推行和认证工作的开展。
  2005年到2006年,我国先后开展了信息安全等级保护的试点工作,同时开展了信息安全风险评估的试点和推广工作,这也是为什么要研究信息安全管理标准的一个非常重要的动因,因为这两项工作,实际上都是信息安全保障的重点工作,都涉及到管理和技术,在这种情况下,ISMS试点工作应运而生。2006年3月,国信办在组织专家研究的基础上,与有关部门和地方政府进行了协商,下达了2006年24号文件,即信息安全管理标准应用试点工作方案,正式部署了“信息安全管理标准应用(ISMS)”试点工作。
  在试点工作的具体实施上,全国信息安全标准化技术委员会副主任委员、WG5组组长崔书昆教授介绍说,“当时的试点单位共7家,即北京市海淀区信息办、北京市住房公积金管理中心、上海市宝山区信息委、上海市医疗保险信息中心、福建省地税局、深圳证交所及武汉钢铁集团公司。试点工作分为3个阶段,第一阶段是准备阶段,各单位设立试点单位,进行人员培训,并于2006年6月由国信办组织了试点准备工作情况交流会;第二阶段是实施阶段,各单位于当年6月先后启动试点工作,专家组按计划于8月进行了调研与指导;最后是总结阶段,从2006年年底一直持续到2007年1月,期间专家组根据国信办的指示与有关部门的意见,多次对验收方案、标准进行了修改、完善,制定了量化打分表,进行了试行,之后和各试点单位以及有关的主管部门一起,在各试点单位自我评估的基础上,逐一进行了验收。”
  通过试点,我国在ISMS认证方面取得了如下收获:第一,提高了信息安全管理水平,使信息安全管理从相对粗放走向了精细化;第二,验证了相关标准,特别是国际标准在国内的适用性、合理性以及可实施性;第三,了解、掌握了构建信息安全管理体系的程序、步骤和方法;第四,探索了信息安全管理体系和风险评估、等级保护以及与其他管理体系之间相辅相成的关系。在这次试点当中,很多试点单位都同时做了风险评估和等级保护;第五,通过试点摸清了各单位信息资产的家底,形成了本单位自己的系统管理文件、档案、资料;第六,为各单位进一步通过信息安全管理体系认证奠定了基础,比如武汉钢铁集团公司,这次做了ISMS试点之后,为将来的国际国内认证打下了基础;第七,探索了相关的理论,初步开发了一批相关的软件工具。第八,培养了一批信息安全管理体系专业人员,促进了相关服务的萌生与发展。
  试点结束以来,我国在信息安全管理体系的建设实施以及标准化方面取得了一系列进展。目前,我国已完成了信息安全管理体系国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005的转化工作,等同采用上述国际标准的国家标准GB/T 22080-2008和GB/T 22081-2008已于2008年11月1日实施。另外,我国在参与信息安全管理体系国际标准化活动方面取得突破,由我国提交的国际标准提案《信息安全管理体系审核指南》已经成为国际标准项目(ISO/IEC 27007)。同时,我国信息安全管理体系认证需求明显增长,据不完全统计,目前我国获得信息安全管理体系认证证书的机构约有200家,2008年同比增长率超过100%。

  

  
我国
ISMS面临的问题  

  
如何有效实施信息安全管理体系
  
通常企业都会通过聘请外部顾问以项目的形式,来进行自身信息安全管理体系的建设,咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划,当体系建立完成后,最终由企业内部推行人员自行维护,推动体系的正常运转。通过这种方式来进行体系的建设,能够最大程度发挥咨询顾问的经验,使企业不会在体系的建设过程中迷失方向,但是,在项目结束咨询顾问撤场后,企业内部体系推行人员却显得无所适从,或者在体系的推行过程中显得并不是非常的得心应手,问题在哪里呢
?主要是以下几个方面:  
  

首先,在风险处置过程中所输出的众多信息安全管控措施难以统一规划,并且缺少各项控制措施与信息安全风险的一一对应。
  
  众所周知,在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析,系统的分析出企业所面临的各项风险,并对各项风险采取合理、有效的管控措施。在风险评估的过程中,企业所面临的信息安全风险的类别,以及每一类信息风险中实际风险的个数无疑是非常大的,并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别,如何对数量庞大的风险及管控措施进行合理的规划,对于企业来说无疑是一个很大的难题,尤其对于组织规模比较庞大的企业更是如此,因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。
  
  

其次,信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。
  
  信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度,并在体系运行的过程中将产生大量的记录,如何对这些文件进行分门别类的管理,并且很好的对其中的逻辑性与一致性进行控制,这对于体系维护人员来讲是一个不大不小的难题。
  
  

最后,体系实施及运作过程中关键的活动
(
如体系测量、组织内审、管理评审等
)
的策略、实施、记录很难系统化、程序化。
  
  信息安全管理体系在进行
PDCA循环运行中,控制措施测量、内审及管理评审是体系进行持续改进的发动机,但是,由于这些活动关系到企业的各个部门,组织、策划、协调起来非常的困难,因此,如何将这些活动的组织策划自动化、实施程序系统化,并且实施过程记录完整化是体系推行人员一个非常大的挑战。  
  如何对上面提到的这些问题进行有效的规避,即要发挥传统咨询模式的优点,又能够避免传统咨询模式的不足,使企业的信息安全管理体系实施更加有效呢
?我们建议企业需形成完善的信息安全体系建设方法论,通过结合IT风险控制体系建设流程及知识库,只有这样才能有效满足各级组织的IT风险控制体系建设需求。  
  为此,信息安全体系建设系统应该包括安全体系规划、安全体系设计、安全体系实施以及安全体系保障四个主要模块。功能分别如下:
  
  
1) 安全体系规划:分析识别出的信息安全改进措施,将需要增加或改进的措施分解成一项项任务或项目,明确每个任务或项目的目标、工作内容,分析任务或项目的实施优先级,根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。  
  
2) 安全体系设计:建立体系相关部门、人员、职责及联系信息,体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。  
  
3) 安全体系实施:将各个任务实施的情况记录到系统中,对各项任务的实施的状态执行有效跟踪,并且评价各个任务实施的有效性。  
  
4) 安全体系保障:对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调,并对内审、外审、管理评审的过程进行记录,对各不符合项及预防措施进行记录及状态跟踪。  
  综上所述,今天企业的信息安全体系建设系统只有充分与信息安全管理体系咨询方法论进行结合,对体系建设过程提供完整的安全规划方法论,有效提高安全规划的合理性,提供内部审核、管理评审、外部审核等管理活动支持,才能保障体系的有效实施。
  

  

ISMS

认证如何健康发展

  
  据了解,目前在国家认监委备案的信息安全管理体系认证证书数量为
108
张,加上未备案的证书,国内获得
ISMS
认证证书的组织约有
200
家,主要集中在金融、保险、证券、软件外包、电信、电子制造等领域。现在,国内的认证市场近一两年呈井喷式快速增长。
  对于这样一个发展快速的信息安全管理体系认证市场,我们如何让它健康地发展呢?中欧信息社会项目的中方专家左晓栋博士表达了他的看法。他认为,“目前国内的信息安全管理体系认证市场存在很多不健康因素,使人忧心忡忡。认证机构本身也是认证市场中的竞争者,在争夺客户的过程中,认证机构很可能会屈从于客户,这对其公正第三方的角色带来直接挑战。当务之急,一定要严格信息安全管理体系认证的市场准入制度,加强监管,遏制信息安全管理体系认证可能流于形式,价值可能降低的趋势。但是从长远看,还是要对制度设计进行研究,在如何保持认证机构公正第三方角色上下一番功夫。我们要考虑体制的设计,而不仅仅是加强监管。”
  在这点上,国家认监委认可管理部生飞主任也表达了相似的观点,他指出近期国家认监委在总结试点工作的基础上,将采取具体措施,正式全面推进信息安全管理体系认证工作。
  一是要完善信息安全管理体系认证机构的审批条件,根据信息安全管理体系的特殊情况,制定认证机构的从业条件和认证人员的能力要求,符合条件的机构经过批准之后,将可以从事信息安全管理体系的认证工作。同时,认监委还将加强对于信息安全管理体系认证工作的监管,进一步规范认证机构的行为,提高认证机构审核的有效性、一致性,提高认证的公信力,推进认证结果的社会采信度。
  二是加快信息安全管理体系认可制度和人员注册制度的完善与实施,加强信息安全管理体系国家标准的制定工作,以解决对标准理解的差异,避免造成企业在认证过程中对于标准把握不一致,以提高信息安全管理体系在具体工作中的实际效果。
  三是研究制定一些相关的认证实施规则,因为信息安全管理体系虽然是针对一个组织或者是企业,从提高和规范管理的角度提出的加强信息安全的一些要求,但是在具体的实施过程中,认证机构和认证人员也存在着涉及企业信息安全的问题和情况,因此,要与有关部门协商,制定一些在特定领域开展信息安全管理体系认证的相关要求。同时,也提醒想获得认证的组织或机构要在这些方面加强信息安全的意识。
  在谈到未来国际间合作时,中国合格评定国家认可委员会技术处刘晓红处长介绍说:“目前阶段,在认可机构这个层面上,是有国际合作组织的,如其全球性的组织叫
IAF
国际认证IT运维管理社区,还有一些区域性的组织,如亚太地区有亚太认可机构的IT运维管理社区,在欧洲有一个欧洲的认可组织
EA
。他们的一些活动,要受到政府的监督和管理。在我国,实施的是统一的认可制度,并制定了相关的法规,中国合格评定国家认可委员会(
CNAS
)是国家认可机构。”
  那么信息安全管理体系认证是不是可以实现国际间的互认,这一目标什么时候可以实现?刘晓红处长透露,在
2008
年的
IAF
大会上,已经决定建立信息安全管理体系认证的国际互认体系,在今后
2-3
年内,还需经历制定相关程序、培训同行评审员、实施同行评审等过程,最后才有可能签署互认协议。中国信息安全认证中心体系认证处魏军博士也介绍说,在互认协议尚未签署的情况下,认证证书的国际性是个错误的概念,当前一些位于重点行业和重要部门的单位听信一些机构对其证书的国际性价值的误导,盲目选择外资认证机构,甚至选择未经国家认监委批准的外资认证机构,这对国家信息安全带来的隐患不可忽视。

  

  




上一篇:ISMS实施过程常见困惑与应对
下一篇:[ISO27001体系] 信息安全管理体系应采用安全运营管理
运动者

写了 266 篇文章,拥有财富 1438,被 4 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
松岛枫 发表于 2011-7-15 15:42:00
很对,很同意;很强,很经典!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
YYQQ 发表于 2011-7-7 23:47:00
信息化社会,信息安全逐渐重要了。目前确实是一个问题,尤其对一些金融行业,银行保险等对数据特别敏感的行业确实很重要,所以他们最先开始重视了。其实每个行业都是的,就如每个人都有自己的秘密一样呀!信息安全的警号拉响了!!!
人杰 该用户已被删除
人杰 发表于 2011-7-17 23:58:00
提示: 作者被禁止或删除 内容自动屏蔽
banana 发表于 2011-7-18 00:21:00
信息安全确实比较重要的哦!真的是关系到每一个人哦!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
12下一页
Powered by IT 运维管理
返回顶部