什么是信息安全管理体系(ISMS–Information Security ManagementSystem)?
在上一集中,我们聊到了信息安全的基本原理和风险管理,这一集我们进一步聊聊这两者最实际的应用:信息安全管理体系。我们先来看什么是管理体系,在ISO/IEC 27000:2018的3.41部分对管理体系有如下定义:
“管理体系是组织的一组相互关联和相互作用的要素,用于制定政策、目标和流程以实现这些目标。备注:
· 一个管理体系可以处理一个或多个学科。
· 体系的要素包括组织结构、角色和职责、计划、运营等。
· 管理体系的范围可以包括整个组织、组织的特定功能、组织的特定领域或一组组织中的一个或多个功能。”
那么信息安全管理体系即是将上述定义应用于组织(企业)的信息安全相关的管理之中,归纳来说可以包含如下几个方面:
· 信息安全管理体系由政策、程序、指南和相关资源和活动组成,由一个组织集体管理,以保护其信息资产。
· 信息安全管理体系是一种系统方法,用于建立、实施、运行、监视、审查、维护和改进组织的信息安全,以实现业务目标。
· 信息安全管理体系基于风险评估和组织的风险接受水平,旨在有效地处理和管理风险。
为什么信息安全管理体系重要?
与组织的信息资产相关的风险需要得到解决。实现信息安全需要风险管理,包括与组织内部或被组织使用的所有形式的信息相关的物理、人力和技术相关威胁的风险。 在一个相互关联的世界中,信息和相关流程、系统和网络构成了关键的业务资产。组织及其信息系统和网络面临来自各种来源的安全威胁,包括计算机辅助欺诈、间谍活动、破坏、故意破坏、火灾和洪水。由恶意代码、计算机黑客攻击和拒绝服务攻击对信息系统和网络造成的破坏变得越来越普遍、更有野心,也越来越复杂。 因此,采用信息安全管理体系预计将成为组织的战略决策,并且必须根据组织的需求无缝集成、扩展和更新该决策。在任何行业中,信息安全管理体系都是支持电子商务的推动因素,对风险管理活动至关重要。公私网络的互联互通和信息资产的共享,增加了对信息访问和处理的控制难度。此外,包含信息资产的移动存储设备的分布会削弱传统控制的有效性。当组织采用信息安全管理体系系列标准时,可以向业务合作伙伴和其他相关方展示应用一致且相互认可的信息安全原则的能力。
成功采用信息安全管理体系对保护信息资产非常重要,它使组织能够:
· 更好地确保其信息资产持续受到充分保护,免受威胁;
· 维护一个结构化和全面的框架,用于识别和评估信息安全风险,选择和应用适用的控制措施,以及衡量和提高其有效性;
· 持续改进其控制环境;
· 有效地实现法律和监管合规性。
信息安全管理体系系列标准:相信很多读者对于ISO/IEC 27001标准以及ISO/IEC 27001认证并不陌生,然而实际上ISO/IEC 27001标准是属于ISO/IEC 27000系列标准中的一个基础主标准,ISO/IEC 27000系列标准即为当前世界范围内使用最广也最成功的信息安全管理体系系列标准。整个ISO/IEC 27000系列标准如下图所示:
其中,ISO/IEC 27001标准已经成为目前全世界认证证书数量最多的信息安全类标准认证证书,并且随着隐私保护在当下越来越重要,2019年推出的ISO/IEC27701标准作为ISO/IEC 27001标准的专门关于隐私信息管理的扩展,也在近两年呈现上升趋势。接下来,我们将聊聊ISO/IEC 27001标准。
信息安全管理体系(ISMS)要求—ISO/IEC 27001:ISO/IEC 27001标准提供建立、实现、维护和持续改进信息安全管理体系的要求。 采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心。重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体系的实现程度要与组织的需要相符合。 ISO/IEC 27001标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 ISO/IEC 27001的标准4-10章节实际是按照传统的“PDCA”(Plan-Do-Check-Act)模型建立的,这也体现在标准的结构之中,标准的附录A提供了组织可以选择的应对风险的控制措施:
ISO/IEC 27001的6.1.3章节有描述组织如何用风险处置计划来因应风险,其中很重要的一部分是选择适当的风险控制方式。ISO/IEC 27001:2013中很重要的一项调整是不强制要求一定要用附录A中所列的风险控制方式来管控风险。以往的版本要求(应)要从附录A的控制方式中选择一到数个方式来控管风险。旧版本下几乎每一个风险评估都是用附录A的控制方式完成的,但在新版本下,越来越多的风险评估没有用附录A中的控制方式来控管风险。此作法的目的是让风险评估更简单,也对组织更有意义,有助组织建议有关风险以及控管的正确所有权概念。目前,新版本的附录A中有114个控制,分为14群,35个控制分类。 需要注意的是,ISO/IEC 27001设计包括的范例不只是IT部门而已,ISO/IEC27001会要求进行以下的管理:
· 系统性地检验组织的资讯安全风险,考虑其威胁、弱点以及影响。
· 设计、实现连贯而且全面的资讯安全控管套件,并且/或者其他的风险管理方案(例如风险避免或风险转移)来处理无法接受的风险。
· 用总体管理的流程,在现有的基础上,确认信息安全管理控管可以持续的符合组织的资讯安全需求。
管理层为了认证的考量,会决定信息安全管理体系的范围,例如限制在单一的事业单位或是单一地区。ISO/IEC 27001可以针对个别部门认证,也可以针对全公司认证。 隐私信息管理体系(PIMS)要求和指南—ISO/IEC 27701:近年来,随着互联网和大数据的兴起,越来越多的个人信息在网上传输、存储、使用,这其中有大量个人的隐私信息被滥用、售卖、非法盈利,严重威胁到了个人的信息安全。世界各国也越来越重视对于隐私信息的要求,欧盟已经实施的GDPR、我国已经生效的《数据保护法》以及即将生效的《个人信息保护法》都在法律层面,对个人的隐私信息给出了保护。 ISO/IEC 27701标准是通过特定于隐私的控制来增强现有的信息安全管理体系,从而创建隐私信息管理体系(PrivacyInformation Management System—PIMS)以在组织内实现有效的隐私管理。
一个强大的PIMS对个人可识别信息(PersonallyIdentifiable Information—PII)控制者和PII处理者具有许多潜在的好处,至少具有三个显着优势:
· 首先,实现对隐私要求(特别是法律和法规,加上与第三方的协议,加上公司隐私政策等)的遵守是一项繁重的工作,尤其是如果这些要求没有以对PII控制者和PII处理者最有效的方式组织起来。承担多项隐私合规义务的组织(例如,来自其运营或数据主体居住的多个司法管辖区)在协调、满足和密切关注所有适用要求方面面临额外的负担。托管方法减轻了合规负担,例如,如标准的附录C所示,单个隐私控制可能满足通用数据保护条例(GDPR)的多项要求。
· 其次,实现并保持对适用要求的遵守是一个治理和保证问题。根据PIMS(以及其可能的认证),隐私或数据保护官员可以提供必要的证据,以向利益相关者(例如高级管理层、所有者和当局)保证适用的隐私要求得到满足。
· 第三,PIMS认证在向客户和合作伙伴传达隐私合规性方面很有价值。PII控制者通常要求PII处理者提供证据,证明PII处理者的隐私管理体系遵守适用的隐私要求。基于国际标准的统一证据框架可以大大简化此类合规透明度的沟通,尤其是当证据由经认可的第三方审核员验证时。合规透明度沟通的这种必要性对于战略业务决策也至关重要,例如涉及数据共享协议的并购和共同控制者场景。最后,PIMS认证可以潜在地向公众表明可信度。
捡证网能做什么?我们在信息安全管理体系方面积累了大量的案例和经验,也具备成熟的专家团队来支持和满足我们的客户、合作伙伴涉及到信息安全管理体系方方面面的需求。 从现在开始,捡证网将致力于将以下服务带给我们国内的客户和合作伙伴:
· 我们有完整的针对ISO/IEC 27001和ISO/IEC 27701标准的培训课程和教材,有经验丰富的专业讲师可以帮助合作伙伴学习并理解标准要求。
· 我们可以提供完整的咨询服务,帮助客户和合作伙伴建立起有效的信息安全管理体系和隐私信息管理体系。
· 我们与国内外多个认证机构保持着良好的合作关系,可以帮助国内客户取得他们所需要的认证证书。
信息安全管理体系的建立除了文档和流程的建立,也离不开各种各样IT产品的应用,那么如何保证IT产品的信息安全呢?下一期我们将接着带来产品信息安全与认证。
捡证网提供相关认证咨询服务,咨询电话(微信):13636483412 QQ: 495226609 邮箱:yangda@jz-cert.com
