王雁

摘 要 隨著信息時代的快速發(fā)展，業(yè)務(wù)需求驅(qū)使企業(yè)開展信息安全管理工作，建立信息安全管理體系，降低信息安全風險，確保信息安全目標。根據(jù)《ISO/IEC 27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求》，信息安全就是保護企業(yè)信息，確保保密性、完整性、可用性保持在適當水平。企業(yè)通過識別信息資產(chǎn)，根據(jù)保密性、完整性、可用性三性影響因素定義重大信息資產(chǎn)評定規(guī)則，通過風險評估準則評定企業(yè)信息安全風險等級。根據(jù)信息安全管理體系ISO27001風險等級，選擇合適的控制目標和控制方式將信息安全風險控制在可接受的范圍，保持公司商務(wù)持續(xù)性發(fā)展，為企業(yè)正常運營保駕護航。

關(guān)鍵詞 信息安全 管理體系 風險評估

一、引言

為提高企業(yè)的信息安全管理水平，保障企業(yè)的生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動，防止由于人員的流失、信息系統(tǒng)故障、數(shù)據(jù)的丟失、設(shè)備運行的間斷、敏感信息的泄密導致的業(yè)務(wù)中斷或安全事故，企業(yè)迫切需要依據(jù)《ISO/IEC 27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標準要求，建立了文件化的信息安全管理體系。信息安全管理體系是企業(yè)實施信息安全管理工作的綱領(lǐng)和行動準則，用于貫徹企業(yè)的信息安全管理方針，實現(xiàn)企業(yè)信息安全管理工作的有效運行和持續(xù)改進。

二、信息安全管理體系認證范圍全面

企業(yè)信息安全管理體系認證范圍的確定，主要考慮到企業(yè)的實際業(yè)務(wù)特點和資源的合理利用，在全公司范圍內(nèi)建立信息安全管理體系，如相關(guān)方包括政府、監(jiān)管單位、認證單位、客戶、供應(yīng)商、管理層、內(nèi)部部門及員工等。建立與服務(wù)客戶、安全服務(wù)廠商、上級監(jiān)管單位、外部安全咨詢專家等外部組織的聯(lián)系，以便跟蹤行業(yè)趨勢，學習各類先進的信息安全技術(shù)和管理手段。各相關(guān)方的信息安全要求和期望均應(yīng)及時識別，并在實際業(yè)務(wù)開展時應(yīng)遵照執(zhí)行，有利于公司全面的提高公司信息安全管理水平，保障業(yè)務(wù)穩(wěn)定發(fā)展的需求。

三、信息安全管理體系認證管理流程梳理

企業(yè)依據(jù)《ISO/IEC 27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求，需考慮行業(yè)的特點，根據(jù)企業(yè)主要業(yè)務(wù)流程所產(chǎn)生的信息流及其依賴的計算環(huán)境進行安全要求的確定。對企業(yè)現(xiàn)行業(yè)務(wù)流程進行全面的了解，按照標準評估企業(yè)的信息安全體系，識別各業(yè)務(wù)流程采取的管理流程和管理職責。對照標準要求，尋找改進的機會，根據(jù)信息安全管理體系的風險評估方法論、國家標準，制定科學、有效、適用的風險評估方法。

四、信息安全管理體系認證資產(chǎn)保護

信息安全管理體系包括信息安全風險的來源識別、風險處置、風險跟蹤驗證以及信息安全管理體系各流程的落地跟蹤，還需要對由于外部組織訪問而帶來的安全風險進行評估，則通過信息安全管理體系ISO27001審核認證過程來確保安全目標達成，因此信息安全管理體系認證每個過程具有指導性作用。

第一，在信息安全管理體系認證中，通過建立信息安全管理組織，啟動和控制企業(yè)信息安全工作的實施，批準信息安全方針與策略，確定信息安全管理人員和職責分工，協(xié)調(diào)整個信息安全管理體系的有效運行。

第二，信息安全管理體系標準將企業(yè)信息資產(chǎn)主要分為五大類，包括人員資產(chǎn)、電子數(shù)據(jù)、文檔資產(chǎn)、軟件資產(chǎn)和硬件資產(chǎn)。針對信息安全管理體系指出的信息安全特性信息資產(chǎn)保密性、完整性、可用性，制定評價準則。其中，保密性按信息的訪問權(quán)限等級或信息的存儲、傳輸及處理設(shè)施/人員涉及信息的訪問權(quán)限等級來評估資產(chǎn)保密性的要求等級劃分；完整性按資產(chǎn)的準確性或完整性受損而造成組織的業(yè)務(wù)持續(xù)或形象聲譽受影響的嚴重程度來評估；可用性按資產(chǎn)使用或允許中斷的時間次數(shù)來評估。通過信息資產(chǎn)三性評價，識別企業(yè)重大信息資產(chǎn)，做好生產(chǎn)運營和信息安全相關(guān)的信息資產(chǎn)管理，做好各體系流程監(jiān)控工作。

第三，建立和維護信息安全風險標準，包括風險接受標準和實施信息安全風險評估的標準，確保信息安全風險評估活動產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果。評估信息安全風險，在信息安全管理體系范圍內(nèi)，通過信息安全風險評估流程，識別由于信息的機密性、完整性和可用性的喪失帶來的風險，評估識別的風險產(chǎn)生的潛在后果，評估識別的風險轉(zhuǎn)化為事件的可能性，將風險分析結(jié)果與定義的風險標準進行比較，最終確定信息資產(chǎn)風險的等級，根據(jù)風險等級確定風險處置的優(yōu)先等級。依據(jù)風險評估的結(jié)論，選擇適當?shù)男畔踩L險處置方式；確定信息安全風險處置所需的各項控制措施，最終得到風險責任人對信息安全風險處置計劃和殘余風險接受的審核。

從業(yè)務(wù)需求出發(fā)，遵從風險管理的理念，注重過程管理，建立和實施信息安全管理體系，確保與信息安全相關(guān)的資源、技術(shù)、管理等因素處于受控狀態(tài)，形成文件并加以實施、保持和持續(xù)改進，有效防范各類安全事故或人為有意的破壞事件，保證企業(yè)信息的保密性、完整性和可用性，確保各項業(yè)務(wù)的連續(xù)性。

在業(yè)務(wù)需求及信息安全目標的驅(qū)動下，企業(yè)建立信息安全管理體系及方針，本著預(yù)防為主的指導思想，采取各項主動預(yù)防措施，建立信息安全和風險防控體系，增強全員的安全意識，完善應(yīng)急機制，加強內(nèi)部安全檢查，做到防患于未然；建立有效的信息安全風險評估和管理機制，及時采取相應(yīng)的技術(shù)及管理控制措施，控制風險，保證業(yè)務(wù)持續(xù)、穩(wěn)定、安全運行；持續(xù)優(yōu)化信息安全管理，不斷改進技術(shù)控制措施，逐步增強人員信息安全意識，規(guī)范人員行為，實現(xiàn)信息安全水平的全面提升，為企業(yè)的穩(wěn)定運營保駕護航。

（作者單位為鄂爾多斯市源盛光電有限責任公司）