信息安全技术 信息安全管理体系 概述和词汇 征求意见稿

声明

本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 下载地址 http://github5.com/view/54234而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

信息安全管理体系

概要

各种类型和规模的组织：

1. 收集、处理、存储和传输信息；
2. 认识到信息及其相关过程、系统、网络和人是实现组织目标的重要资产；
3. 面临可能影响资产运作的一系列风险；
4. 通过实施信息安全控制应对其感知的风险。

组织持有和处理的所有信息在使用中易受到攻击、过失、自然灾害（例如，洪水或火灾）等威胁以及内在脆弱性的影响。术语“信息安全”一般是建立在被认为有价值的信息资产的基础上，这些信息需要适当的保护，例如，防止可用性、保密性和完整性的丧失。使准确和完整的信息对已授权的需要者及时可用，可促进提升业务效率。

通过有效地定义、实现、维护和改进信息安全来保护信息资产，对于组织实现其目标并保持和增强其合法及形象，必不可少。指导适当控制的实施和处置不可接受的信息安全风险这些协调活动，通常被认为是信息安全管理的要素。

由于信息安全风险和控制的有效性随着环境的变化而改变，组织需要：

1. 监视和评价已实施的控制和规程的有效性；
2. 识别待处置的新出现的风险；
3. 视需要选择、实施和改进适当的控制。

为了关联和协调这类信息安全活动，每个组织需要建立其信息安全策略和目标，并通过使用管理体系有效地实现这些目标。

什么是ISMS

概述和原则

信息安全管理体系（ISMS）由策略、规程、指南和相关资源及活动组成，由组织集中管理，目的在于保护其信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标的系统方法。它是基于风险评估和组织的风险接受程度，为有效地处置和管理风险而设计。分析信息资产保护要求，并按要求应用适当的控制来切实保护这些信息资产，有助于ISMS的成功实施。下列基本原则也有助于ISMS的成功实施：

1. 意识到信息安全的需要；
2. 分配信息安全的责任；
3. 包含管理者的承诺和利益相关方的利益；
4. 提升社会价值；
5. 进行风险评估来确定适当的控制，以达到可接受的风险程度；
6. 将安全作为信息网络和系统的基本要素；
7. 主动防范和发现信息安全事件；
8. 确保信息安全管理方法的全面性；
9. 持续对信息安全进行再评估并在适当时进行修正。

信息

信息是一种资产，像其他重要的业务资产一样，对组织业务来说必不可少，因此需要得到适当保护。信息可以以多种形式存储，包括：数字形式（例如，存储在电子或光介质上的数据文件）、物质形式（例如，在纸上），以及以员工知识形式存在、未被表现的信息。信息可以采用各种手段进行传输，包括：信使、电子通信或口头交流。不管信息采用什么形式存在或什么手段传输，它总是需要适当的保护。

在许多组织中，信息依赖于信息和通信技术。这种技术往往是组织的基本要素，协助信息的创建、处理、存储、传输、保护和销毁。

信息安全

信息安全确保信息的保密性、可用性和完整性。信息安全包含应用和管理适当的控制，这些控制广泛地考虑到各种威胁，目标是确保业务的持续成功和连续性，并最大限度地减少信息安全事件的后果。

信息安全是通过实施一套适用的控制来实现，这套控制通过所采用的风险管理过程选出，并使用ISMS来管理，包括策略、过程、规程、组织结构、软件和硬件，用以保护已识别的信息资产。这些控制需要得到详细说明、实施、监视、评审和必要时的改进，以确保满足组织的特定信息安全和业务目标。相关信息安全控制宜与组织业务过程无缝集成。

管理

管理包含在适当的结构中指导、控制和持续改进组织的活动。管理活动包括组织、处理、指导、监督和控制资源的行为、方式或实践。管理结构从小规模组织中的一个人扩展到大规模组织中由许多人组成的管理层次结构。

就ISMS而言，管理包含通过保护组织的信息资产来实现业务目标所必要的监督和决策。信息安全的管理通过信息安全策略、规程和指南的制定与采用来表达，然后应用到整个组织中所有与组织相关的个人。

管理体系

管理体系采用一种资源框架来实现组织的目标。管理体系包括组织结构、策略、规划、责任、实践、规程、过程和资源。

就信息安全而言，管理体系使组织：

1. 满足客户和其他利益相关方的信息安全要求；
2. 改进组织的计划和活动；
3. 满足组织的信息安全目标；
4. 遵从法律法规、规章制度和行业规定；
5. 以有组织的方式管理信息资产，来促进持续改进和调整当前的组织目标。

过程方法

组织需要识别和管理众多活动来有效果和有效率地运作。任何使用资源的活动都需要被管理，以便能够使用一组相互关联或相互作用的活动完成输入到输出的转换，这也被称为过程。一个过程的输出可以直接形成另一个过程的输入，通常这个转换是在计划和受控的条件下完成。过程系统在组织中的应用，连同这些过程的识别和交互及其管理，可被称为“过程方法”。

为什么ISMS重要

与组织的信息资产相关的风险需要加以解决。实现信息安全需要管理风险，包括与组织内部或组织使用的所有形式的信息相关，来自物理、人类和技术相关威胁的风险。

采用ISMS宜是一个组织的战略决策，并且有必要根据组织的需要进行无缝集成、规模调整和更新。

设计和实施组织的ISMS受组织的需要和目标、安全要求、采用的业务过程以及组织的规模和结构影响。设计和运行ISMS需要反映组织的利益相关方（包括客户、供应商、业务伙伴、股东和其他相关第三方）的利益和信息安全要求。

在相互连接的世界中，信息和相关的过程、系统和网络组成关键业务资产。组织及其信息系统和网络面临来源广泛的安全威胁，包括计算机辅助欺诈、间谍活动、蓄意破坏、火灾和洪水。由恶意代码、计算机黑客和拒绝服务攻击造成的信息系统和网络的损害已变得更加普遍、更有野心和日益复杂。

ISMS对于公共和私营部门业务都是重要的。在任何行业，ISMS是使电子商务成为可能，是风险管理活动所必需的。公共和私营网络的互联以及信息资产的共享增加了信息访问控制和处理的难度。另外，含有信息资产的移动存储设备的分布能够消弱传统控制的有效性。当组织采用了ISMS标准族，便可以向业务伙伴和其他受益相关方证明其运用一致的和互认的信息安全原则的能力。

在信息系统的设计和开发中，信息安全有时并没被考虑到的。而且，信息安全常被认为是技术解决方案。然而，能够通过技术手段实现的信息安全是有限的，并且若没有ISMS语境下适当的管理和规程支持，可能是无效的。将安全集成到已经功能完备的信息系统中可能是困难和昂贵的。ISMS包含识别哪些控制已经就位，并且要求仔细规划和注意细节。举例来说，访问控制，可能是技术的（逻辑的）、物理的、行政的（管理的）或某种组合，提供一种手段来确保对信息资产的访问是基于业务和信息安全要求得到授权和受限制的。

成功采用ISMS对于保护信息资产是重要的，它使组织能够：

1. 更好地保障其信息资产得到持续的充分保护免受威胁；
2. 保持一个结构化和全面的框架，来识别和评估信息安全风险，选择和应用适用的控制，并测量和改进其有效性；
3. 持续改进其控制环境；
4. 有效地实现法律法规的合规性。

建立、监视、保持和改进ISMS

概述

组织在建立、监视、保持和改进其ISMS时，需要采取如下步骤：

1. 识别信息资产及其相关的信息安全要求（见3.5.2）；
2. 评估信息安全风险（见3.5.3）和处置信息安全风险（见3.5.4）；
3. 选择和实施相关控制来管理不可接受的风险（见3.5.5）；
4. 监视、保持和改进组织信息资产相关控制的有效性（见3.5.6）。

为确保ISMS持续有效地保护组织的信息资产，有必要不断重复步骤（a）至（d）来识别风险的变化，或者组织战略或业务目标的变化。

识别信息安全要求

在组织的整体战略和业务目标及其规模和地理分布的范围内，信息安全要求可以通过了解如下方面来识别：

1. 已识别的信息资产及其价值；
2. 信息处理、存储和通信的业务需求；
3. 法律法规、规章制度和合同要求。

对组织信息资产的相关风险进行的系统化评估将包含分析信息资产面临的威胁、信息资产存在的脆弱性、威胁实现的可能性，以及任何信息安全事件对信息资产的潜在影响。相关控制的支出宜与感知的风险成为现实时所造成的业务影响相称。

评估信息安全风险

管理信息安全需要一种适合的风险评估和风险处置方法，该方法可能包括成本和效益的估算、法律要求、利益相关方的关切和其他适合的输入和变量。

风险评估宜识别、量化并依据风险接受准则和组织目标排序风险。评估结果宜指导和确定适当的管理行动及其优先级，以管理信息安全风险和实施所选择的控制来抵御这些风险。

风险评估宜包括估算风险大小（风险分析）的系统性方法和将估算的风险与风险准则比较来确定风险重要性（风险评价）的过程。

风险评估宜定期以及当发生重大变化时进行，以便应对信息安全要求和风险状况的变化，例如，资产、威胁、脆弱性、影响、风险评价等方面的变化。这些风险评估宜以系统化方式进行，从而能够产生可比较和可重现的结果。

信息安全风险评估为了有效宜有一个明确界定的范围，还宜包括与其他区域风险评估的关系（如果合适）。

ISO/IEC 27005｜GB/T 31722提供信息安全风险管理指南，包括对风险评估、风险处置、风险接受、风险报告、风险监视和风险评审的建议，还包括风险评估方法的示例。

处置信息安全风险

在考虑风险处置前，组织宜确定决定风险是否可接受的准则。如果评估结果是，例如，风险低或处置成本不符合成本效益，风险可能也会被接受。这样的决定宜被记录。

对于经过风险评估后识别的每个风险，需要做出风险处置决定。可能的风险处置选项包括如下：

1. 采用适当的控制来降低风险；
2. 在明显满足组织策略和风险接受准则的条件下，有意并客观地接受风险；
3. 通过不允许导致风险发生的行动来规避风险；
4. 与其他方共担相关风险，例如，保险公司或供应商。

对于那些已决定采用适当控制来处置的风险，宜选择和实施相应控制。

选择和实施控制

一旦识别了信息安全要求，明确和评估了所识别信息资产的信息安全风险（见3.5.3），并做出了信息安全风险处置的决定，则选择和实施风险降低的控制。

控制宜确保将风险降低至可接受程度,并考虑到以下方面：

1. 国家法律法规的要求和约束；
2. 组织目标；
3. 运行要求和约束；
4. 风险降低的相关实施和运行成本，保持与组织要求和约束相称；
5. 监视、评价和改进信息安全控制的效果和效率，以支持组织的目标；
6. 控制的实施和运行投入与信息安全事件可能导致的损失之间平衡的需要。

ISO/IEC 27002｜GB/T 22081中规范的控制是公认的适用于多数组织的最佳实践，并易于裁剪来适应各种规模和复杂度的组织。ISMS标准族中的其他标准为选择和应用ISO/IEC 27002｜GB/T 22081控制来建立信息安全管理体系提供指南。

信息安全控制宜在系统和项目要求的规范与设计阶段就加以考虑。否则，可能导致额外成本和低效解决方案，最坏情况下，可能无法实现足够的安全。控制可以选自ISO/IEC 27002｜GB/T 22081或其他控制集，或者设计新的控制来满足组织的特定需要。需要承认，一些控制可能不适用于每个信息系统或环境，可能不适用于所有组织。

有时需要时间来实施所选择的一组控制，但在这期间的风险程度可能不可长期承受。风险准则宜涵盖在实施控制期间风险的短期承受性。在分步实施控制时，宜告知受益相关方不同时间点上估算或预计的风险程度。

宜记住没有一套控制能够实现完全的信息安全。宜实施额外的管理行动来监视、评价和改进信息安全控制的效果和效率以支持组织目标。

宜在适用性声明中记录控制的选择和实施来辅助合规要求。

监视、保持和改进ISMS有效性

组织需要通过对照组织的策略和目标监视和评估执行情况，并将结果报告给管理者进行评审，来保持和改进ISMS。这种ISMS评审将检查ISMS是否包含了适合处置ISMS范围内风险的控制。此外，基于所监视区域的记录，提供对纠正、预防和改进措施进行确认和追溯的证据。

持续改进

ISMS持续改进的目标是增加对保持信息保密性、可用性和完整性目标实现的可能性。持续改进的关注点是寻求改进的机会，没有现有管理活动已经足够好或已尽力而为的假设。

改进措施包括如下：

1. 分析和评价现有状况来识别改进的地方；
2. 建立改进的目标；
3. 寻找实现目标的可能解决方案；
4. 评价这些解决方案并做出决策；
5. 实施所选择的解决方案；
6. 测量、验证、分析和评价改进结果，以确定目标已被满足；
7. 正式确认改进带来的变化。

必要时，对结果进行评审结果，以确定进一步的改进机会。如此，改进就是一个持续活动，即经常地重复行动。

ISMS关键成功因素

很多因素对于一个组织成功实施ISMS来满足其业务目标都是关键的。关键成功因素的例子包括：

1. 信息安全策略、目标和与目标一致的活动；
2. 与组织文化一致的，信息安全设计、实施、监视、保持和改进的方法与框架；
3. 来自所有管理层级，特别是最高管理者的可见支持和承诺；
4. 对应用信息安全风险管理（见ISO/IEC 27005｜GB/T 31722）实现信息资产保护的理解；
5. 有效的信息安全意识、培训和教育计划，以使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务，并激励他们做出相应的行动；
6. 有效的信息安全事件管理过程；
7. 有效的业务持续性管理方法；
8. 评价信息安全管理性能的测量系统和反馈的改进建议。

ISMS将增加组织持续实现其信息资产所需关键成功因素的可能性。

ISMS标准族的益处

实施ISMS的益处主要体现在信息安全风险的降低（即降低信息安全事件发生的可能性和（或）造成的影响）。特别是，通过采用ISMS标准族为组织实现持续成功带来如下益处：

1. 一个结构化框架来支持规范、实施、运行和保持一个全面的、经济有效的、创造价值的、集成和一致的ISMS这一过程，以满足组织跨不同运行和场所的需要。
2. 在企业风险管理和治理的语境下，协助管理者以负责任的方式始终如一地管理和运用其信息安全管理方法，包括对业务和系统责任者进行整体信息安全管理的教育和培训；
3. 以非定型的方式推广全球公认的良好信息安全实践，给组织一定的自由度来采纳和改进适合其特定环境的相关控制，并在面临内部和外部变化的情况下保持这些控制；
4. 为信息安全提供共同语言和概念基础，使得在业务伙伴中利用合规的ISMS建立信心更为容易，尤其是当他们需要由一个认可的认证机构进行ISO/IEC 27001｜GB/T 22080认证时；
5. 增加利益相关方对组织的信任；
6. 满足社会的需要和期望；
7. 更有效、经济的信息安全投资管理。

延伸阅读

更多内容 可以点击下载 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. http://github5.com/view/54234进一步学习

联系我们

T-GDCKCJH 053—2021 回流焊、波峰焊隧道炉温度性能要求与检测方法.pdf