信息安全管理要求精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全管理要求主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全管理要求范文
信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點,是信息安全管理中的重要組成部分。目前我國的信息安全管理系統還尚未完善,其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存,從而導致大量文檔的丟失;其次,如果信息安全管理系統不完善,就不能降低資產等的風險評估以及對資產進行集中式的管理;最后,由于信息安全系統中各個報表功能的不完善,文檔信息就無法快速、準確地透露出信息安全的實際狀況,從而起到有效地保護作用。
信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析,從而得出資產的精確風險值,識別系統中存在的重要因患資產,并進一步通知信息管理員采取適當地方法來減少隱患事件的發生,通過科學的管理降低企業的資產風險。由此可見,完善的信息安全管理系統是不可或缺的,它一方面決定著信息安全管理體系的具體實施,另一方面也可以促進企業信息安全管理體系的進一步維護與建設。
2信息安全管理系統標準
科學統一的國家信息安全標準,有利于協調與融合各個信息安全管理系統的工作,充分促進信息安全標準系統的功能發揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。
2.1ISO/IEC27000系列標準
1995年,英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準,隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分,并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例,并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善,這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎之上,用風險分析的途徑,把發生信息風險的概率降到最低程度,同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則,以及11項需要有效控制的項目,其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。
2.2信息安全等級保護
1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》,該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發展,從而進一步維護國家安全、社會發展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則]是在TCSEC的分級保護思想基礎之上,針對我國信息安全的發展實際進行改善,最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類,其中前者主要包括系統建設管理、安全管理制度、系統運維管理、安全管理機構和人員安全管理;后者主要包括應用安全、網絡安全、物理安全、主機安全以及數據安全與備份恢復。此外,信息安全等級保護的系列標準里還包括(〈GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求。
3信息安全管理系統的模型設計
根據信息安全管理系統標準,結合以往的信息安全管理系統設計,提出一種新型的四層信息安全管理系統:
第一層是數據庫層:包括日志、資產庫、異常日志以及資產弱點庫和資產風險庫等。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲。
第二層為功能模塊層:包括資產管理、風險管理、弱點管理、信息安全管理規范下載管理資產等級評估管理、拓補管理以及日志分析。
第三層為信息采集:主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。
最后一層為展示層:它包含某個具體業務系統中的業務系統整體安全狀況、資產安全狀況、業務系統拓補以及異常安全事件等相關部分。
上述新型信息安全管理系統模型主要體現出以下六點創新之處:
(1)所設計的風險模塊管理可以把風險評估常態化、主動化,使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析;另外,該信息安全系統的日志審計功能也可以實現被動式的安全管理,從而使主動管理與被動管理在信息安全管理系統中充分融合。
(2)業務系統的動態建模和系統支持資產,可以把業務系統和資產二者綁定在一起,由此,整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下,其單獨資產的具體安全狀況;另一方面該信息安全系統還能夠根據IS027001的具體標準,反應出整個資產所承載的整體業務系統的安全狀況。
(3)該新安全管理系統增加并促進了拓補管理功能的發揮。
(4)該信息安全管理系統模型提供了統一的知識庫管理,能夠對日志、資產庫、異常日志以及資產弱點庫和資產風險庫等部分進行更有效的數據存儲與管理。
第2篇:信息安全管理要求范文
關鍵詞:航空管制;信息系統;信息安全;對策
1強化安全管理意識
航空管制信息安全管理工作人員的信息安全管理意識對于航管信息安全管理會產生直接的影響,也是航空管制信息安全管理過程中的重要因素。航空管制信息安全管理過程中出現的安全漏洞,很大程度上就是由于相關工作人員安全意識的淡薄,在工作中對自已要求不嚴,從而忽視了信息安全的重要性。為了強化航空管制信息安全管理工作,就必須注重對工作人員信息安全管理意識的強化。其主要分為以下幾個方面:1)積極強化航空公司的各級領導信息安全意識,首先確保最高決策者始終擁有高強度的安全意識,并且以身作則,在自己的實際工作中體現出對安全管理得重視,這樣才能帶動各級工作不斷提高自身的信息安全防范意識。信息安全管理工作,主要內容是“三分技術,七分管理”,各航空工作人員應該始終將技術與管理結合起來,作為約束自己日常工作行為的基本準則。強化工作人員的信息安全意識,需要對其進行定期系統的信息安全教育(如信息安全管理知識講座等),以此為手段不斷發展航空管制人員的信息安全知識水平,促使每一位工作人員都能擁有高度的自主安全管理意識。2)注重對航管人員自身信息技術素質水平的培養。在航空管制信息安全管理工作中,良好的專業素養以及熟練的操作能力是每一位工作人員都必須具備的技能。況且,隨著信息技術與人工智能技術逐漸的深入航空領域,在以后的航空管制工作中,若是沒有一定的信息技術專業知識,航管人員就無法準確高效的把握航管新裝備和新技術。同時,航管人員在學習信息技術知識的過程中,還能開拓自己的眼界,豐富自身對現代化技術的認識,在強化自身工作能力和安全意識的同時,還能為整個航空領域的發展提供幫助,確保航管信息安全管理工作的順利進行。3)注重航管信息安全管理觀念創新。在這個信息化的時代,各個領域都在飛速發展。日新月異的信息技術,大量的新型航空管制理念,都要求航空管制信息安全工作要隨著時代的發展不斷變遷、創新。不僅如此,由于航空管制信息安全直接影響著飛機的飛行安全和乘客的人身安全,相關人員應該始終保持本公司的運營理念與國際的新理念接軌,根據市場需求不斷改善航管信息安全管理目標和具體實踐措施,創造屬于我們這個時代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實處,確保航空運行過程中各個環節的信息安全[1]。
2抓住主要矛盾
要想最大程度的發揮出航管信息安全管理工作的作用,航空公司的決策者和相關工作人員就得明確航管信息安全管理過程中的重難點,只有這樣,才能保證有目標、有計劃的施以措施。航管人員務必要高效的解決在航管信息安全管理工作中出現的各種矛盾,下文就以其中存在的主要矛盾為例說明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等,除此之外,還需要對航管信息資料進行防御、檢測、抑制、恢復和管理,從多方面著手,保證航管工作的質量。航管信息管理工作的重點是管理和控制航空管制信息系統,其主要是對航管系統層、網絡層以及應用層進行安全控制。航管工作中的系統層管理指的是對硬件和軟件的安全管理,而且軟件安全管理是整個航管信息安全管理工作中的重點。對于硬件系統的安全管理工作,一般將其列入物理安全范圍,主要是防電磁輻射、電子干擾等因素[2]。在應用軟件這一層面上,航管信息系統有時候會遭到黑客的侵襲,因此,相關技術人員務必要做好防“黑客”、防病毒的準備工作,而且在此基礎上,還得不斷恢復信息管理系統,優化操作系統的可行性和安全性,確保航管信息安全管理的效率。在加強軟件系統管理工作的同時,還要對網絡層面的安全管理進行加強。其主要包含以下幾點:網絡報警、網絡恢復、數據保護、密鑰安全及內部認證等。對于網絡層面安全管理工作的加強,工作人員應該將重點放在各處子網的出入口設備上,同時,軟件設施方面也應配合硬件設施,積極研發嵌入式操作系統,不斷創新,應用更高水平的數字簽名技術,對網絡層進行加密。
3完善航管部門信息安全防范體系
俗話說:“無規矩,不成方圓”。要想充分完善航管信息安全管理工作,對航管信息進行有效控制,航管部門就需要根據自身的實際條件不斷健全航管部門的信息安全管理體系。所以,工作人員就要提前做好充分的市場調研,就目前市場上的航管信息安全管理機構設置進行討論研究,仔細觀察整個機構設置的合理性和可行性,對各個部門的航管信息安全管理職能進行明確劃分,使信息安全管理要求與業務流程聯系起來,最大程度的發揮出航管信息安全管理機構的作用。不斷完善航管信息安全管理制度,加上安全管理體系的建設,實行統一規劃、統一管理與統一監督。時刻與國際先進的技術保持聯系,將自身的發展與信息技術和人工智能緊密聯系起來,將本航空公司的安全管理體系至于本行業發展的前沿。在航管過程中,需要使用的儀器設備要盡量采用國產裝備,特別是某些涉及到自主關鍵技術機密以及中國自主知識產權的核心儀器設備。與此同時,工作人員還應該注重加強對網絡安全系統的規范管理制度,逐漸建立出相應系統的航管信息安全管理標準和統一的航管信息安全管理綜合評估體系以及針對航管信息的獲取和應用等,需要明確的制定出切實可行的安全管理措施體系。由此可見,在航管信息安全管理的過程中,始終不能脫離完整、規范的航管信息安全防范體系,只有通過航管部門系統全面嚴格的控制把關,才能高效地處理航管信息安全工作中出現的各種問題。在日常的航管部門信息安全管理工作中,工作人員務必要注意兩點,一是加強對航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對工作中的專業知識以及某些設備的操作技術進行學習,不斷的對航管人員注入最新的航管理念,對航管人員的航空管制保密常識進行培訓,加強信息安全教育,確保每一位航空管制人員都擁有深刻的信息安全意識,以保證航空飛行安全。二是對整體航管人員實行保密信息封鎖制度。航空公司應該根據實際情況制定出適合自身發展的電子設備保密管理制度,控制工作人員與外界不必要的聯系,始終嚴格約束所有工作人員的言行舉止,切忌在日常交流以及聯系中向外界流失掉機密信息。不僅如此,航空公司中的任何以為工作人員都不允許以任何一種形式對外界透露公司內部的運行情況,更不能泄露涉及航管和飛行安全的信息[3]。
4健全航管信息安全管理法規制度
航空公司嚴謹有序的運行模式,不僅需要每一位工作人員的付出還需要高層決策者與各級工作人員商議之后制定出合理的法規制度,以統一形式的制度、要求及管理力度對員工進行統一管理,一視同仁,旨在提升對航管信息安全的管理效率。健全航管信息安全管理法規制度的要求分為兩個方面,第一個方面,公司要盡快且保證質量的建立屬于自己的航管信息安全評估系統。在建設的過程中,要始終按照國家的標準要求,不管是信息基礎設施建設,還是網絡規劃建設,都必須通過國家相關管理部門的審批。而在進行基礎設施建設和設備配備的過程中,則需要安全管理部門和質量管理部門進行約束指導,所有的信息建設只有在通過有效的信息安全質量認證之后,才能投入使用。第二個方面,要想使航空管制信息安全管理過程中的規章制度得到系統化、明確化、條理化,工作人員就必須以本航空公司的航管信息安全管理模式為出發點,經過多方面的調研分析,采取各個階層工作人員的意見整合之后制定出可行有效的信息安全規章制度,力爭在最短的時間內使航空管制信息安全管理工作的可行性得到大幅度提升[4]。
5結語
綜上所述,航空管制信息安全管理工作是所有航空公司正常運營的前提條件,也是順利開展航管業務的基礎工作,只有航管信息安全得到了保障,飛機的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅實牢固的航管信息安全意識,提高自身的航管能力。相應的公司管理人員也應不斷強化本公司的信息技術,結合國際上新型的航管理念發展自身的運行效率,為飛機的安全飛行保駕護航。
參考文獻:
[1]許彬.航管信息情報系統的設計與實現[D].成都:電子科技大學,2014.
[2]魏純潔.空中交通管制安全評估關鍵技術研究[D].南京:南京航空航天大學,2012.
第3篇:信息安全管理要求范文
關鍵詞:醫療衛生行業;信息安全;等級保護;管理制度
1引言
隨著信息化、數字化、網絡化的發展,大數據和換聯網+也進入了醫療衛生行業,加快了醫院信息化的發展。隨著醫院業務的發展,醫院信息系統的應用也更加廣泛,醫院對其依賴性會越來越強,風險也隨之會提高。但醫療服務的特殊性決定了醫院信息系統需要24小時不間斷運行,這就對醫院的信息安全管理提出了更高要求。信息安全管理是指導和控制組織關于信息安全風險相互協調的活動,它是了解體系安全狀態、實現信息安全目標的重要關口,主要包括信息安全風險評估、風險管理和技術措施的控制。如何更好地進行信息安全管理成為一個不可忽視的問題,因此,在醫院信息化建設的同時加強信息安全管理建設是解決醫院信息安全問題的必然選擇。
2我國衛生行業信息安全管理政策
2010年原衛生部制定的《衛生信息化建設指導意見與發展規劃(2011-2015)》(“十二五”規劃)明確提出了我國醫療信息化發展的藍圖和發展方向“35212工程”,建設信息安全體系即是最后一個“2”中的一項。按照《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》(衛辦綜函〔2011〕1126號)的要求,三級甲等醫院應于2015年12月30日前全部完成信息安全等級保護建設整改工作,并通過等級測評。這標志著我國衛生行業開始通過信息安全等級保護加強對醫院信息安全的管理。原衛生部、國家中醫藥管理局在2012年6月15日的《關于加強衛生信息化建設的指導意見》指出,要加強衛生信息安全保障體系建設,落實國家信息安全等級保護制度。國家衛生計生委規劃信息司在2014中國健康大會上也指出,醫療衛生信息化是國家信息化發展的重點,已納入“十三五”國家網絡安全和信息化建設重點。
3醫院信息安全管理需求
據《南方都市報》報道,2008年5月以來,香港連續爆出泄密事件:先是醫管局下屬醫院陸續發現患者資料遺失,共涉及1.6萬名患者,此事立刻轟動了全港。2010年5月23日,一張神秘的清單在網上曝光,其中列出了寧波市某醫院45名醫生的工號、名字和所屬科室,后面還注明了他們使用藥品氨曲南的數量和總價,雖然腐敗得到懲戒,大快人心,但所暴露的醫院的潛在威脅值得警惕。2013年7月,寧波兩家醫院掛號系統癱瘓事件,同樣也引起了社會各界對醫院信息系統安全的高度關注。2015年10月份的澳門山頂醫院最大泄密事件,患者資料隨街散落,也折射出醫療衛生行業信息安全問題的嚴峻性。信息化在給醫院帶來便利的同時,也帶來了醫院信息安全的隱患,上述嚴重的信息安全事件給醫院的信息安全管理敲響了警鐘。醫院信息系統承擔著整個醫院的內外各項業務,其安全狀況直接關乎患者隱私和健康、社會秩序及穩定等。加強信息安全、消除信息安全隱患,已經成為醫院當前必須要面對的問題。
4醫院信息安全管理制度的發展對策
在《信息系統安全等級保護基本要求》和醫院評審的相關標準中都提到了信息管理部分,都強調了信息安全管理,并且都是對醫院進行此兩方面評審時的重要的評審部分。結合這兩方面的評審要求,可以分別從安全管理制度、安全管理機構、人員安全管理、系統建設安全管理、系統運行安全管理五個方面,對醫院信息安全進行管理。
4.1建立完善的總體安全管理制度
醫院應根據自身的實際情況制訂總信息安全管理制度,總信息安全管理制度是一個醫院的根本管理制度,規定醫院信息安全管理的根本任務和根本制度,是醫院信息安全工作的總體方針、總體目標、總體原則,是其他信息安全管理制度制訂的依據和基本要求。總信息安全管理制度中應嚴格明確制度制定與的流程、方式、范圍等,應定期組織相關部門對安全管理制度進行評審與修訂,以滿足醫院信息化不斷發展的需要。
4.2應建立穩固的安全管理機構
醫院應根據總體安全管理制度的基本要求設置安全管理機構和安全管理崗位,并制定《崗位設置與職責管理制度》,應明確“三員”(系統管理員、網絡管理員、安全管理員)崗位與職責。醫院信息安全管理不是某一個部門的職責,而是全醫院相關部門都要參與,從自身做起,從上述某醫院的信息安全管理機構圖來看,信息安全領導小組對醫院信息安全管理進行定期評審,再由醫院最高領導的支持,然后直到一線的人員,每個崗位都有明解的崗位職責,達到穩固的管理,責任到人,能滿足醫院信息化不斷發展的需要。
4.3配備專業的信息化人員,制定完善的員工信息安全管理制度
醫院人事主管部門,應針對醫院的實際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應按照制度流程對被錄用人員進行資格審查,對于在醫院從事關鍵崗位的人員應當簽署保密協議等,在離職時應按照制度流程辦理離職手續,例如應回收醫院發放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統賬號等;在人員考核方面應定期對各個崗位的人員進行信息安全技術及信息安全認知的考核,確保在崗人員都有維護醫院信息安全的義務;在人員的安全教育和培訓方面,應對各類人員定期進行信息安全教育和培訓,提高其安全意識,明確責任和獎懲措施;在外部人員來醫院參觀訪問方面,應用按照制度進行授權和審批,確保醫院運行安全。
4.4完善醫院各類信息系統的建設,制定切實可行的信息系統安全管理制度
信息化數字化醫院建設只有起點沒有終點,醫院在各類信息系統建設方面應根據自身的實際情況,制定完善可行的信息系統建設規章,可保障醫院相關部門在信息系統建設過程有據可依、有規可循。例如醫院可制定如下關于醫院信息系統建設的管理制度:《醫院信息系統定級管理制度》、《醫院信息系統安全方案設計管理制度》、《醫院信息系統產品采購和使用制度》、《醫院信息系統自行軟件開發制度》、《醫院信息系統外包軟件開發制度》、《醫院信息系統工程實施管理制度》、《醫院信息系統測試驗收管理制度》、《醫院信息系統交付管理制度》等。
4.5制定切實可行的醫院各類信息系統運行管理制度,滿足醫院各類業務的適時訪問需求
醫院各類信息系統建設的目的是為了更好地滿足各類業務的需求,保障建設好的各類信息系統更好的運行。醫院信息系統管理者應從管理方面制定切實可行的管理制度,同時針對不同的醫院使用人員,制定不同的使用操作手冊,讓醫院的使用者達到規范操作,這樣可以大大減少人為誤操作導致的系統故障,方便運維人員對系統的維護。例如醫院可根據信息系統的實際情況制定如下運行管理制度:《醫院信息系統環境管理制度》、《醫院信息系統資產管理制度》、《醫院信息化介質管理制度》、《設備管理制度》、《醫院網絡安全管理制度》、《醫院信息系統安全管理制度》、《醫院惡意代碼防范管理制度》、《醫院信息系統密碼管理制度》、《醫院信息系統備份與恢復管理制度》、《醫院信息系統安全事件處置制度》、《醫院信息系統應急預案管理制度》等。
5總結
信息化、數字化醫院建設只有起點沒有終點,醫院信息系統安全伴隨著信息化數字化醫院建設同樣沒有終點。醫院需要高度重視信息安全管理,制定一套切實可行的信息安全管理制度和措施,才能更好地保證醫院信息系統安全、高效、穩定的運行。
參考文獻:
[1]蔡文濤.淺談醫院信息系統網絡安全[J].中國現代醫生,2009(32):116-117.
[2]李剛.醫院信息系統安全管理問題淺析[J].中國管理信息化,2013(1):39.
[3]楊棟,劉立輝,任志剛.醫院信息安全管理與措施[J].中國醫療設備,2011,26(6):70-72.
第4篇:信息安全管理要求范文
【關鍵詞】 信息安全標準化控制項
1 引言
國際標準化組織(ISO)是由各國標準化團體(ISO成員團體)組成的世界性的聯合會。由國際標準化組織的ISO/IEC 27001是信息安全管理體系要求。建立ISO/IEC 27001信息安全管理體系并獲得認證,能提高組織自身的信息安全管理水平,將組織的信息安全風險控制在可接受的范圍內,減少因信息安全事件帶來的破壞和損失。可以保證組織業務的持續性,并向客戶及利益相關方展示組織保障信息安全的能力,能增強合作伙伴、投資方的信心,并能得到國際上的認可。
日前,ISO國際標準化組織了信息安全管理體系ISO 27001:2013 DIS(國際標準草案),標志著已經沿用了8年的ISO/IEC 27001:2005即將換版。新的信息安全管理體系標準,進一步的體現了信息安全管理體系適用于所有行業、注重管理績效的核心思想,為計劃采用該管理體系標準的組織的提供了更先進、慎密的管理體系標準。
2 ISO/IEC 27001改版的主要差異
2.1 體現與時俱進的思想
新版ISO/IEC 27001將控制項從133個縮減為113個,淘汰了一些過時的信息安全控制項,如移動代碼(A.10.4.2 Controls against mobile code );另一方面,針對這幾年信息技術的發展,將移動設備(A.6.2.1Mobile device policy)列入了控制項;同時強調了一些近幾年倍受關注的控制項,如2005版的A.12.3密碼控制獨立為A.10密碼控制。
2.2 注重管理績效
對管理體系的評價單獨形成第9章Performance evaluation。并在標準的不同層面強調信息安全不單單是IT部門的工作,也不僅僅是安全問題,一個成功的信息安全管理依賴于于IT支撐部門與業務部門共同協作,所有相關部門都應該了解信息安全的意義。
2.3 提高兼容性
新版27001采用ISO導則83的結構性要求,從8個章節調整為10個章節,重新構建了ISO標準的PDCA章節架構,這個結構在已的ISO22301中已應用,未來將在ISO其它標準改版中普遍采用(包括ISO9000、ISO20000等)。
3 新標準前的轉版準備工作
ISO/IEC 27001:2013 DIS與ISO/IEC 27001:2005相比,差異體現為三類:取消,變更,增加。目前,ISO 27001:2013尚未正式,對于已經獲得GB/T 22080:2008認證的企業,可以考慮在現有信息安全管理體系中加入ISO/IEC 27001:2013 DIS增加的控制項,從而進一步完善企業的信息安全管理體系,并降低ISO 27001:2013正式時的轉版工作量。具體操作上可以按照新增控制項識別、業務梳理、風險評估、風險處置、體系文件編制、內部審核、管理評審的流程操作。新增的控制項包括:
A.14.2.1 Secure development policy/安全開發策略
控制措施:在組織內應對軟件和系統的開發過程建立并實施安全規則
A.14.2.5 System development procedures/系統開發程序
控制措施:應為任何信息系統的開發建立、記錄、維護安全系統的工程原則
A.14.2.6Secure development environment/安全的開發環境
控制措施:組織應在系統開發的整個生命周期里為系統開發和集成建立并適當保護安全開發環境
A.14.2.8System security testing/系統安全測試
控制措施:在開發過程中應進行安全功能的測試
A15.1.1Information security policy for supplier relationships/供應商關系的信息安全策略
控制措施:為降低風險,應對供應商訪問組織的信息或信息處理過程確定信息安全要求并形成文件
A.15.1.2Addressing security within supplier agreements/在供應商協議解決安全
控制措施:對每個可能接觸組織信息的供應商,接觸方式包括訪問、處理、存儲、通訊或提供IT基礎設施,應建立所有與信息安全相關的要求并獲得批準。
A15.1.3ICT supply chain/ ICT供應鏈
控制措施:與供應商的協議應包括為解決相關的信息和通信技術服務及相關產品供應鏈中的信息安全風險的要求
A.16.1.4Assessment and decision of information security events/信息安全事件的評估和決策
控制措施:應評估信息安全事態,并判斷是否應歸類為信息安全事件
A.17.2.1Availability of information processing facilities/信息處理設施的可用性
控制措施:為實現可用性要求,信息處理設施應實施適當的冗余措施
4 總結
新版ISO/IEC 27001標準為了更好地幫助使用標準的企業管理信息安全以及追求“有用”和“好用”的目標,在信息過程的覆蓋面及針對性及與其它ISO管理體系標準的一致性方面有了很大提高。
參考文獻:
[1]ISO/IEC 27001:2005 Information technology-Security techniques-Information security management systems-Requirements.
第5篇:信息安全管理要求范文
由于電力企業以發電、經營電力為主,信息網絡安全問題并沒有得到足夠重視,管理方面存在重技術輕管理的問題,未建立完善的信息安全管理制度,面對上級檢查,簡單應付,腦子里輕視信息安全,信息安全觀念淡薄,這都會增加企業信息系統的安全風險。例如,缺少對企業職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等,都會嚴重威脅企業信息網絡的安全。電力企業在針對信息系統的應用和信息網絡安全兩個方面時,更加注重的是前者。以此同時,可能部分職工還存在僥幸心理,忽視了網絡安全問題的重要性。
2電力企業網絡信息安全管理的有效策略
2.1注重建設基礎設施和管理運行環境
需要嚴格的管理配電室、信息、通信機房等關鍵性的基礎設施,對防水、防火、防盜裝置進行合理配備;對電力二次設備安全防護要做到,安全分區、網絡專用、橫向隔離、縱向認證,生產控制大區與信息管理大區要做好物理強隔離;機房需要安裝監控報警設備和動環監測系統;對桌面終端和主機等設備要做好補丁更新,控制權限;在網絡安全設備上要做好安全策略;做好流量監測和行為監測;此外,建立設備運行日志,對設備的運行狀況進行記錄,并且建立操作規程,從而保證信息系統運行的穩定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,確保根據安全管理制度進行操作;做好安全防護記錄、制定應急響應預案、系統操作規程、用戶應用手冊、網絡安全規范、管理好口令、落實安全保密要求、人員分工、管理機房建設方案等制度,確保信息系統運行的穩定性和安全性。由內至外,全面的貫徹,實施動態性地管理,持續提高信息安全、優化網絡拓撲結構。
2.3注重信息安全反違章督察工作的開展
建立信息安全督察隊伍,明確職責,按照信息安全要求,開展定期的督察,發現問題,限期整改。電力企業要對企業信息系統軟硬件設施、容災系統、桌面終端、防護策略等進行定期督查,實現信息安全設備加固和更新,培養信息安全督查專家隊伍,交叉互查、發現并解決問題,提高信息系統的安全性。
2.4積極探索電力企業信息安全等級保護
信息安全等級保護指的是,對涉及國計民生的基礎信息網絡和重要信息系統按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導,分階段實施,保障信息系統安全。針對電力企業信息系統,應建立相應的信息安全等級保護機制。技術上分級落實物理安全、網絡安全、主機安全、應用安全、數據安全;管理上要建立對應的安全管理制度、設置安全管理機構、做好人員安全管理、系統建設、運維管理。
2.5明確員工信息安全責任,實現企業信息安全文化建設
針對企業的所有員工,關鍵是明確自己需要擔負的安全責任、熟悉有關的安全策略,理解一系列的信息安全要求。針對信息運維人員,需要對信息安全的管理策略進行有效地把握,明確安全評估的策略,準確使用維護技術安全操作;針對管理電力企業信息網絡安全的管理人員,關鍵在于對企業的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎,實現企業信息安全文化的建設。
2.6提升人員的信息安全意識
針對電力企業信息安全而言,員工信息安全意識的提高十分關鍵。企業需要組織一系列有關的信息安全知識培訓,培養員工應用電腦的良好習慣,比如不允許在企業的電腦上使用未加密的存儲介質,不應當將無關軟件或者是游戲軟件安裝在終端上,對桌面終端進行強口令設置,以及啟用安全組策略,備份關鍵性的文件等,從而使員工的信息安全意識逐步提高。
3結語
第6篇:信息安全管理要求范文
關鍵詞:用戶參與;信息安全;信息安全意識;業務流程結合;
作者簡介:謝宗曉(1979-),男,山東日照人,南開大學商學院博士研究生,研究方向:信息安全管理、網絡組織與治理等。
1引言
無論信息安全的關注點從單點轉向系統,還是其手段從單純的技術/管理轉向體系,安全體系的核心始終都是用戶。因為在所有安全機制中,一方面,用戶是機器系統的使用者,也是安全策略的執行者,作為主體方存在;另一方面,用戶是安全策略約束的對象,作為客體方存在。
用戶在信息安全實踐中的作用往往被認為是消極的,有些研究認為,在任何系統的安全機制中,人是最薄弱的環節[1-2]。但是,目前不存在完全不需要用戶參與就能夠智能識別并適應環境變化的安全防護系統,就這點而言,用戶參與在現階段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是確保業務連續性、業務風險最小化、投資回報和商業機遇最大化,也就是說信息安全是基于業務要求的適當安全,過度的安全往往意味著浪費。Spears等[3]的研究表明,用戶參與風險評估和控制措施設計過程可以提供足夠的業務信息,避免不切實際的安全控制,使實現適當的安全成為可能。因此,用戶參與在信息安全實踐中是必須和必要的,本研究的目的是探討用戶參與在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相關研究評述
2.1用戶參與
用戶參與的研究開始于20世紀60年代[4-5],目前多集中在信息系統開發領域中,在相當長的一段時間內,用戶參與和用戶涉入的概念被認為同義。Barki等[4,6]第一次將用戶涉入與用戶參與的概念分離,認為用戶參與是系統開發過程中用戶執行的一系列行為或活動,用戶涉入是用戶對一個系統的重要性以及與個體關聯程度認識的主觀心理狀態。
用戶參與理論假設用戶參與與以系統質量、用戶滿意度、用戶接受度、系統應用等定義的系統成功之間存在關聯[5],其中隱含的含義為,在信息系統開發過程中的用戶參與并不是必須的,而在信息安全實踐中的用戶參與則明顯不同,只有部分參與與全員參與的區別,并不存在是否參與的區別。Doll等[7]認為,在強制環境下,用戶涉入與用戶參與沒有區別。由于用戶參與在信息安全情境中已經隱含了強制環境的含義,因此本研究也認為用戶涉入與用戶參與同義。為了研究方便以及與信息系統開發過程形成更好的對應,本研究中的用戶參與是指用戶在安全策略制定過程中的一系列行為或活動。
在信息安全研究領域,絕大多數研究都在關注安全功能的實現,Dhillon等[8]在對文獻進行分類梳理后認為,信息安全研究主流必然從關注功能的范式轉向基于社會-組織視角的研究;Ashenden[9]反思人在信息安全管理中的作用,認為其中來自人的挑戰被忽視了,并建議從管理學和組織行為學的角度研究信息安全管理所面臨的困境。之后涌現出的基于社會-組織視角的信息安全相關研究中,人的因素明顯成為熱點,Johnston等[10]認為恐懼訴求會影響員工遵守安全策略;Bulgurcu等[11]認為員工遵守安全策略受規范信念和自我效能等因素的影響。
但是,這些關注員工遵守安全策略的研究與以往的功能范式研究假設前提一樣,即用戶參與(在信息安全中一般稱作人的參與)是作為消極因素出現,這在信息安全風險評估和管理中尤為明顯。一般認為人工評估是目前信息系統復雜到無法進行全定量化和全自動化評估時不得不采取的一個補充手段[12-14],如何去掉信息安全風險評估和管理過程中人的參與也成為其中的重要研究目標之一[15]。
在信息安全情境中,專門研究用戶參與的文獻較少,僅有Spears等[3,16]探討用戶參與在信息安全風險管理中的作用,并得出用戶參與對信息安全風險管理有正向作用的結論,但對用戶參與在信息安全中的定義未進行深入探討,直接用信息系統開發中的系統開發替代風險管理。問題在于,在定義信息安全術語的ISO/IEC27000:2009以及類似文獻中并沒有明確的用戶參與的詞匯,只有管理者、用戶以及全員參與等相關或相似詞匯。更重要的是,信息安全的概念比信息系統安全的概念大得多,后者主要圍繞信息系統展開,前者則包括與信息有關的所有方面,如信息系統安全、環境安全、通信安全和人員安全等各個方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并沒有統一的標準。無論是DeLone等[17]研究中涉及的6個維度的信息系統成功模型,還是He等[18]得到的2組8個因變量,都是關注信息系統的成功應用,其本質是效率或便利性的提高。但是幾乎所有的安全控制都增加了系統的操作復雜度,從而降低了效率,或者說,安全性與便利性存在某種程度上的矛盾。信息系統成功和信息安全管理成功指向不同的目標,因此,在信息安全管理情境下不能直接引用已有的信息系統成功模型。
已有的信息安全研究中對于有效性的表述各不相同。Chang等[19]在探討組織文化對安全管理有效性影響時,將有效性表述為安全管理有效性,并用保密性、完整性、可用性和可核查性作為變量來表征;D'Arcy等[20]在研究員工安全意識對信息系統誤用的影響時,將有效性表述為有效的安全對策;Brady[21]在研究影響信息安全法律法規符合性的影響因素時,將有效性表述為安全有效性,并延用了Chang等[19]的研究構念。
無論表述為哪個概念,絕大部分的研究在討論有效性時都是依據安全屬性和安全目的進行判斷。ISO/IEC27002:2005對信息安全的定義是保持信息的保密性、完整性、可用性,也可包括真實性、可核查性、不可否認性和可靠性等。這個定義本身就包含了信息安全管理的主要目標,也包括了7個最常見的安全屬性描述。實際上學術界普遍認可的信息安全的3個核心屬性是保密性、完整性和可用性,也稱為信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而對真實性、可核查性、不可否認性和可靠性的認識則各有不同。為了研究方便,本研究選取3個核心屬性表征信息安全管理的有效性。當然,有效的信息安全管理還要考慮更多的因素,如應該遵循成本效益分析的原則[23-24]等。
2.3信息安全管理體系
信息安全管理體系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于業務風險方法建立、實施、運行、監視、評審、保持和改進信息安全,包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源等內容。信息安全管理體系的支撐標準是ISO/IEC27000標準族,共有60個標準,編號為ISO/IEC27000~ISO/IEC27059,其中最重要的標準ISO/IEC27001:2005和ISO/IEC27002:2005已經被等同為國家標準,即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理體系為背景研究用戶參與在信息安全管理中的作用,選擇信息安全管理體系作為研究用戶參與的背景主要原因如下。
(1)一般認為信息安全管理體系是信息安全管理的一個可接受模型或最佳實踐[19,23-25],而且目前信息安全管理體系應用非常廣泛。截至2011年6月,世界范圍內已經通過信息安全管理體系注冊的組織共有7279家,中國有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理體系包括可能涉及的所有信息安全管理活動,ISO/IEC27000標準族不但給出建立、實施、運行、監視、評審、保持和改進信息安全的基于業務風險的方法,而且還給出信息安全管理體系的要求、實用規則、審核指南以及相關安全域的具體指南等,僅ISO/IEC27002:2005信息安全管理實用規則就包括11個控制域、39個控制目標、133項控制措施。
(3)信息安全管理體系相關標準是鼓勵用戶參與的,部署過程按照Plan-Do-Check-Act的戴明環,階段劃分明顯,而且大部分的部署組織會申請第三方認證,并在中國認證認可協會注冊,因此研究者可以非常清晰地判斷組織是否部署了信息安全相關措施、是否在信息安全實踐中有用戶參與行為等。
3研究假設和模型構建
3.1用戶參與對信息安全管理有效性的直接影響
Ives等[26]對1959年至1981年的用戶參與與信息管理系統成功之間關系的實證研究進行梳理發現,22項研究中有8項表明用戶涉入與系統成功正相關;Cavaye[27]對1982年至1992年的研究分析得出的結果基本類似,19項研究中有7項表明用戶涉入與系統成功正相關,部分研究是無定論或負相關;He等[18]從464項研究中選擇82項實證性研究進行元分析,認為用戶參與和信息系統開發的態度和行為與生產率存在不同程度的正相關。
雖然信息系統成功和信息安全管理成功指向不同的目標,但兩者的開發過程存在極大的相似性。信息安全管理體系的部署過程實際上是一整套安全策略體系的開發過程,可認為是系統開發的一種,信息系統開發的過程包括需求分析、概要設計、詳細設計、編碼、測試、上線、維護升級等階段,信息安全管理體系的部署過程包括風險評估、體系設計、文件設計與編寫、試運行、持續改進等過程。信息系統開發與信息安全管理體系部署的對應關系見圖1。
基于此,本研究提出假設。
H1用戶參與對信息安全管理有效性有顯著的正向作用。
3.2信息安全意識及其中介作用
信息安全良好實踐(thestandardofgoodpracticeforinformationsecurity,SoGP)將信息安全意識定義為組織內所有的員工理解信息安全的重要性,清楚組織所適用的安全級別,知悉并履行個人的安全職責。
用戶參與到建立信息安全管理體系的過程中,并承擔各種安全責任,可以加深用戶對信息安全的理解。Spears等[3]通過研究認為,用戶參與到信息安全風險管理的過程中可以提高組織對信息安全風險和控制措施的重視程度,從而提高用戶的信息安全意識。基于此,本研究提出假設。
H2用戶參與對信息安全意識有顯著的正向作用。
Kruger等[28]認為,安全控制的應用效果依賴于積極的安全環境,其中每個人都具有較高的信息安全意識,都理解并執行組織內的程序和規程;反之,在消極的安全環境中,安全控制不但得不到有效的應用,甚至會被規避和濫用。按動機分,主要有以下兩種情況。
(1)故意的。如銀行業務系統用戶的非法外聯,由于不理解信息安全的重要性,不了解后果的嚴重性,這類用戶往往并不知悉組織的信息安全懲戒措施或相關的法律法規,可以歸結為信息安全意識薄弱。
(2)無意的。如服裝設計人員不知悉哪些信息需要保密、哪些信息可以公開,將作廢的設計圖紙隨手扔進垃圾箱,這可能導致信息泄漏,影響信息的保密性。再如,有些用戶對主機的安全操作規程不了解,隨便重啟服務器,這可能導致宕機,并由此影響信息的可用性。
這些導致信息安全管理失效的行為或多或少與信息安全意識相關聯。
基于此,本研究提出假設。
H3信息安全意識對信息安全管理有效性有顯著的正向作用。
H4信息安全意識在用戶參與與信息安全管理有效性的關系中起中介作用。
3.3業務流程結合及其中介作用
系統質量理論認為,用戶參與可以使開發者真正了解系統需求,從而提高系統質量[29-31]。在信息安全管理情境中,沒有涉及質量這一概念,ISO9000:2005對質量的定義是,一組固有特性滿足要求的程度,按照這個定義,信息安全管理的要求是滿足組織業務對安全的需要。用戶(尤其是業務流程負責人)參與到信息安全管理的建設過程中可以使安全策略開發者了解業務過程,同時也使他們自己更加理解安全策略目的,從而促進安全策略與業務流程進行結合,提高安全策略的質量。Spears等[3]的研究證實用戶參與可以使信息安全風險管理更加符合業務情境。基于此,本研究提出假設。
H5用戶參與對業務流程結合有顯著的正向作用。
對用戶參與信息系統開發與系統使用之間關系的研究表明,只有在可選擇應用的環境中進行研究才有意義[17]。但Barki等[4]認為,即使在強制應用環境中,用戶還是可以根據自己的判斷(如態度和意愿)控制使用的程度,而信息系統的使用程度正是信息系統成功的參數之一。
信息安全管理是強制環境,但是在實際應用中安全策略的設計者出于盡職免責的心態,很容易陷入過度安全的狀態,而業務流程負責人出于對自身利益的考慮則希望盡量減少安全控制對正常業務的影響,這種矛盾的存在往往會導致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效實施。
由安全主管和業務流程人員共同參與設計安全策略是解決這個矛盾的途徑之一,這個過程往往是一個博弈的過程,最后一般會使組織的安全策略符合基線標準。只有這種充分考慮了業務要求的安全策略才能得到高“使用程度”,進而提高信息安全管理的有效性。因此,本研究提出假設。
H6業務流程結合對信息安全管理有效性有顯著的正向作用。
H7業務流程結合在用戶參與與信息安全管理有效性的關系中起中介作用。
綜上所述,提出本研究模型,如圖2所示。
4研究設計
4.1樣本選擇
研究者從2011年6月前通過信息安全管理體系認證的497家中國公司隨機抽取30家,給每家公司發放10份問卷,以郵寄的方式將問卷發放給被選公司的信息安全負責人,隨后以第三方認證機構電話確認的方式,請公司信息安全負責人組織公司相關成員填寫問卷,并以郵寄的方式回收問卷。收回256份問卷,剔除問題填寫不完整的22份問卷,最終納入數據分析的問卷共234份,問卷的有效率為78%。填寫問卷人員的描述性統計如表1所示,其中男性占60.684%,女性占39.316%,與目前信息安全從業人員性別比例基本相符。
4.2變量和測量
4.2.1自變量:用戶參與
用戶參與沿用Barki等[6]和Spears等[3]的測量框架,按項目階段確定關鍵活動。信息安全管理體系采用PDCA框架模型,階段劃分明確,本研究也采用分階段羅列關鍵活動的方法對用戶參與程度進行測量,每階段選取7項關鍵活動,用戶參與其中一項得1分,否則為0,以此類推,每個階段的用戶參與結果最小值為0,最大值為7。
用戶參與問卷以ISO/IEC27001:2005和謝宗曉等[22,32]描述的信息安全管理體系部署過程中一系列關鍵活動為基礎,選擇36項關鍵活動,其中計劃階段12項、執行階段12項、檢查階段8項、改進階段4項,并把檢查和改進階段合并為12項。在信息安全管理體系從業人員中選取22人,采用多選項-多選擇量表的方法,限定從業人員分別從36項關鍵活動中選擇7個認為最重要的選項,從業人員分布見表2,選擇結果統計見表3。
4.2.2中介變量:信息安全意識和業務流程結合
無論在薩班斯奧克斯利法案還是在信息安全管理體系的情境下,信息安全意識和業務流程結合的含義基本一致,都是為了提高信息安全管理的有效性。信息安全意識量表和業務流程結合量表修改自Spears等[3]的問卷,該問卷為Likert7點量表,1為非常反對,7為非常支持。
4.2.3因變量:信息安全管理有效性
采用Chang等[19]設計、Brady[21]沿用并修改的Likert7點量表測量信息安全管理有效性,1為非常反對,7為非常支持。
由于信息安全意識、業務流程結合和信息安全管理有效性的測量量表引用自英文文獻,為了保證問卷的有效性,研究者將英文翻譯成中文,請兩名中文專業碩士研究生對問卷的行文進行修改以符合中文習慣,然后請兩位信息安全領域的專家比對問卷的中英文內容并審核確認,所有變量及問卷項見表4。
4.3構建有效性
用戶參與、信息安全意識、業務流程結合和信息安全管理有效性4個潛變量的信度(Cronbach'sα)、均值、標準差、極值和相關系數如表5所示。用戶參與、信息安全意識、業務流程結合、信息安全管理有效性的Cronbach'sα系數分別為0.723、0.802、0.640、0.948,信度較高,在可接受范圍內。Mithas等[33]認為,來源于實踐、經過長期的實踐檢驗且有權威來源的量表(如國際標準和國家標準)能夠保證測量的效度。本研究中問卷的測量符合以上要求,因此能夠保證效度。
4個潛變量之間的相關系數全部達到顯著相關,數據適合多重中介模型檢驗。
5實證結果和分析
5.1同源方差分析
由于本研究中變量數據均來源于自稱式問卷調查,容易導致變量之間的關系不能反映潛在構念之間的真實關系,即共同方法偏差的存在容易導致構念效度的降低,甚至影響研究假設的接受或拒絕,增加犯Ⅰ類錯誤或Ⅱ類錯誤的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取驗證性因子分析方法分兩步對問卷共同方法偏差進行分析,檢驗結果如表6所示。
采用Harman單因子檢驗方法對用戶參與、信息安全意識、業務流程結合和信息安全管理有效性進行檢驗,如果方法變異明顯存在,驗證性因子分析的結果容易析出一個單獨因子或者一個公因子解釋大部分變異[37]。由表6可知,單因子模型的擬合指標沒有達到可以接受的標準,NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman單因子檢驗方法的假設前提存在明顯的缺陷,除非存在非常嚴重的同源偏差問題,否則一個公因子解釋大部分變量變異的情況一般不會出現。為進一步探查同源偏差的可能性,本研究采用不可測量潛在方法進行因子檢驗,比較有共同方法偏差的模型與沒有共同方法偏差的模型,如果后者的擬合指數優于前者的擬合指數,表明變量數據不存在共同方法偏差。由表6可知,四因子模型的擬合指數比較好,RMSEA<0.080,CFI>0.900,NNFI>0.900,對四因子模型與其他3個競爭模型的χ2和AIC指標(值越小越好)[38]進行比較,無共同方法偏差的四因子模型明顯優于其他3個有共同方法偏差的模型,說明各變量間不存在明顯的同源方差,用戶參與、信息安全意識、業務流程結合和信息安全管理有效性具有良好的區分效度。
5.2結果分析
多重中介模型的驗證方法有多種,MacKinnon等[39]提到14種驗證路徑的方法,在所有驗證方法中,Preacher等[40]和Sobel[41]都推薦Bootstrapping方法,認為該方法模型參數估計更為穩健,結論也更可靠,更能避免Ⅰ類錯誤,尤其是進行多重中介研究時。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0驗證多重中介模型。按照提出的研究假設,將用戶參與設定為自變量,將信息安全意識和業務流程結合設定為中介變量,將信息安全管理有效性設定為因變量,樣本數量設置為5000,置信區間設置為95%,對如下方程回歸系數的顯著性進行檢驗,結果見表7和表8。
其中,c、a1、a2、c'、b1和b2為回歸系數,ε1~ε4為殘差。
由表7可知,c=0.674(p<0.001),達到顯著水平,表明用戶參與程度的不同顯著影響信息安全管理有效性的高低,支持H1,同時也為中介效應的檢驗提供了基礎。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用戶參與對信息安全意識和業務流程結合有顯著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意識和業務流程結合對信息安全管理有效性有顯著正向作用,支持H3和H6。
整體模型指標中,F=26.508,p=0.000,說明自變量用戶參與通過中介變量信息安全意識和業務流程結合對因變量信息安全管理有效性的影響達到顯著水平。此外,模型的解釋率R2為0.247,表明還有其他變量能夠納入模型,這也是下一步研究的方向。
由表8可知,用戶參與對信息安全管理有效性總的間接效應為0.155(a1b1)+0.077(a2b2)=0.232,對應的Z檢驗結果為3.581(p=0.000),偏差矯正與增進95%bootstrap置信區間為{0.120,0.352},置信區間不包括零。因此,拒絕總的間接效應為零的虛無假設,表明總的間接效應顯著。
在多重中介方法中,不但要關注總的間接效應,也要關注單獨的中介效應,由表8可知,中介效應值如下。通過信息安全意識:a1b1=0.155(Z=2.569,p<0.050),偏差矯正與增進95%Bootstrap置信區間為{0.048,0.270},置信區間不包括零;通過業務流程結合:a2b2=0.077(Z=1.967,p<0.050),偏差矯正與增進95%Bootstrap置信區間為{0.018,0.162},置信區間不包括零。由此可見,信息安全意識和業務流程結合的中介效應顯著,支持H4和H7。此外,兩個中介效應的置信區間有重合的部分,且兩者比較檢驗結果不顯著(Z=0.992,p>0.050),可以認為兩個中介變量起到的中介作用沒有顯著差異,同等重要。
本研究概念模型的驗證如圖3所示。
6討論
(1)本研究驗證了用戶參與在信息安全管理中的正向作用,這對安全機制不能完全脫離人而運轉的情況具有非常積極的意義。
(2)本研究解釋了用戶參與如何正向影響信息安全管理有效性。Spears等[3]驗證了在薩班斯奧克斯利法案情境下用戶參與對控制措施績效的正向作用,但是并未揭示用戶參與如何影響控制措施績效。本研究通過構造多重中介模型,揭示了用戶參與可以有效地提高員工的信息安全意識,促進業務流程結合,使組織的信息安全管理體系更加符合組織的實際安全需求,最終促進信息安全管理有效性。
(3)本研究采用多重中介的驗證模型,應用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用戶參與影響信息安全管理有效性的路徑。
本研究結論對管理實踐具有一定的指導意義,主要體現在標準制定和安全實踐兩個方面。
(1)本研究證實了用戶參與的重要性和積極作用,為信息安全相關標準的制定、完善和提高提供了新的視角和依據。
(2)大部分組織的安全負責人都會盡量減少人在安全機制中的比重,以減少執行的不確定性,這導致2010年至2011年68%的組織在安全技術方面的投入超過整體安全預算的10%,僅17%的組織在終端用戶安全意識教育方面的投入超過整體安全預算的10%,有35%的組織還不足1%;同時,有41.100%的受訪組織經歷了信息安全事件,攻擊源來自內部用戶濫用網絡或郵件的占24.800%[42]。顯然,組織的安全負責人應該將安全預算的分配更多地傾斜到終端用戶身上。對信息安全管理體系的咨詢和認證人員而言,在咨詢和認證的過程中,不應僅關注安全技術的部署和安全制度的設計,也應關注如何鼓勵用戶參與到所有可能的活動中,并承擔更多的責任。
7結論
第7篇:信息安全管理要求范文
關鍵詞:企業檔案信息安全風險識別風險控制
企業檔案是企業知識資產和信息資源的重要組成部分,[1]是企業各方面活動的真實記錄,對企業市場活力提升、制度改革和文化建設等有至關重要作用。企業檔案信息安全管理是企業安全管理的重要組成部分,提前識別企業檔案信息管理存在的安全風險,有利于采取有效控制手段規避風險,促進企業檔案安全管理建設,防患于未然。本文以H企業為例,在調研基礎上探討企業檔案信息存在的安全風險及控制手段。
一、H企業概況
H企業成立于2013年,主要經營金融板塊、產業發展板塊、城市功能性設施板塊和出資人板塊等四大業務板塊,是戰略性投資的融資平臺和產業項目、城市功能性項目的先行戰略投資者。[2]隨著公司的發展壯大,檔案數量呈現指數級增長趨勢。H企業檔案工作實行二級管理制,第一級管理是指由公司綜合部負責統籌管理全公司的文書檔案工作,第二級管理是指各部門負責本部門的檔案資料使用管理工作。綜合部的檔案按文書、科技、財務、人事、聲像、實體6種檔案類別進行分類整理,公司用OA系統對電子文件進行日常管理,將部分重要的紙質檔案進行數字化掃描,加以保存。
二、企業檔案信息安全風險要素識別
企業檔案信息安全風險要素識別是對企業檔案信息安全管理工作中存在的薄弱環節進行確認。[3]在對H企業調研的基礎上,將其所面臨的企業檔案信息安全風險要素劃分為組織風險要素、人員風險要素與技術風險要素。
(一)組織風險要素
一是,企業重視程度低。企業檔案信息效益的產生具有隱蔽性和延遲性,隱蔽性即檔案部門投入清晰性和收益模糊性之間的矛盾,延遲性即檔案工作的效益要在很長一段時間后才可能顯現。[4]企業檔案信息無法快速創造經濟效益的特點使企業對其重視程度較低,檔案信息安全管理投入的資金、人力較少。以H企業為例,文書檔案工作人員僅一人且為兼管人員,檔案管理投入資金少,專門存放檔案的檔案柜和檔案安全管理設備至今尚未配備,檔案信息安全管理專業技術人員、設施設備的缺乏給企業檔案信息安全帶來了巨大風險。
二是,檔案安全管理制度缺失。企業迫切需要的檔案安全開發、利用及電子文件長期保存等相關標準尚未制定,且存在與企業檔案工作實際相脫節的情況。[5]以H企業為例,企業成立至今已4年,但尚未建立健全的檔案安全管理制度體系。面對企業檔案數量劇增與檔案安全管理制度缺失之間的尖銳矛盾,企業檔案工作者在處理文檔工作時無章可循,業務工作缺乏規范性,企業檔案信息安全管理工作缺乏制度的監督約束,檔案信息安全缺口隨之擴大。
(二)人員風險要素
企業檔案管理崗位人員流動性大是造成檔案泄密的主要原因。檔案工作者的信息安全意識和素質水平會直接影響檔案信息的安全。[6]以H企業為例,專職人員自2013年來更換了4人,企業檔案管理崗位人員可直接接觸記錄企業生產經營、戰略發展及科研技術等重要檔案信息,隨著企業人員離職跳槽向其他公司、行業流動,這部分涉及原企業商業機密的檔案信息極可能隨之外泄。
企業員工檔案安全管理意識弱也會帶來安全風險。譬如,各部門檔案收集移交不及時,會對企業檔案信息的完整性帶來風險;各部門在檔案整理、利用中造成檔案載體損毀對企業檔案信息的可用性帶來風險;企業人員出于自身利益篡改檔案信息內容,給企業檔案信息的真實性帶來風險等。
(三)技術風險要素
一是,信息系統及硬件故障。信息系統不穩定會導致檔案信息數據丟失與損壞,硬件設施故障也會給檔案信息安全帶來風險。以H企業為例,公司日常行文均通過OA系統實現,OA系統中流轉大量企業管理信息,H企業的OA系統分別于2015年8月及2016年3月出現異常引起系統崩潰,導致部分企業信息數據丟失且無法恢復。
二是,電子文件安全保障技術不成熟。如何保證企業檔案系統中電子檔案的安全,是現階段企業檔案安全管理的重難點。企業電子文件信息安全保障技術不成熟,會危及電子文件安全和正常運用。一旦系統遭遇病毒、黑客侵擾或信息載體物理損傷、外圍設備技術障礙等,都會給電子文件帶來無可挽回的損失。
三、企業檔案信息安全風險控制對策
(一)從制度層面進行控制
1.企業檔案信息安全管理制度的建立健全。健全的企業檔案信息安全管理制度應包括以下幾個方面:一是,企業檔案日常安全管理制度,如檔案保密制度、檔案安全檢查制度和檔案安全追責制度等,明確企業各部門、人員的職責,建立檔案信息安全管理的長效機制;二是,企業電子文件安全管理制度,確保電子檔案信息存儲、讀取、利用過程的安全可靠;三是,應急響應制度,建立檔案信息安全應急預案,提高企業檔案管理部門應對自然災害及突發事件的能力;四是,應急處理制度,對企業檔案信息安全風險發生后,能在第一時間采取相應措施進行處理,將風險損失降至最低。
2.企業檔案信息安全管理制度的適用。以企業檔案信息安全管理制度的適用來實現對檔案信息安全風險控制,主要從以下兩個方面著手:一方面,不同企業形成的檔案信息各有特點,安全保障要求各有不同,企業應根據本單位檔案信息安全保障的實際需求,制定符合本企業特點與需求的檔案信息安全管理制度。另一方面,企業檔案信息安全風險要素具有動態性,企業檔案信息安全管理制度應隨著新技術、新風險的出現不斷完善和更新,保證檔案信息安全管理制度在多變的信息安全風險環境中的適用性。
3.企業檔案信息安全管理制度的執行。檔案工作者是規章制度的執行者,執行力度的大小關系到檔案安全管理工作水平。[7]首先,企業應嚴格要求檔案工作者照章管理檔案,自上而下確保檔案信息安全管理制度的執行,將制度的執行納入企業管理運行程序,將公司檔案管理納入制度化軌道。其次,企業管理層要監督企業檔案信息安全管理制度的執行情況,將制度的執行與員工績效考核掛鉤,定期對制度的執行情況進行評估并根據評估結果進行相應的獎懲。
(二)從管理層面進行控制
1.分級管理。分級管理即對企業檔案信息和風險控制消減等工作進行安全等級評定,以最少的成本投入獲得最大的檔案信息安全保障效果。企業可根據檔案信息對企業生產發展作用價值大小、涉密與否來劃分重點檔案和普通檔案。企業檔案中涉及企業商業機密,記錄企業核心競爭力信息的這部分檔案是企業發展的重要戰略資源,如企業的項目檔案、科技檔案、客戶資料以及反映企業發展歷程的重大事件相關檔案等,可劃分為重點檔案,其余日常業務工作中形成的文書檔案等可劃分為普通檔案。在對所有檔案進行安全管理的同時,對重點檔案信息的安全進行重點監控,不同重要等級的檔案進行分級管理。
2.人員管理。通過人員管理來控制企業檔案信息安全風險的方式有:第一,倡導員工終身學習,針對企業檔案信息安全內涵的拓展、風險要素的類型、應對風險的技術等內容定期開展檔案信息安全管理培訓,豐富企業員工檔案信息安全保護理論知識,提高檔案信息安全保護技能水平。第二,注重對企業員工職業道德的培養,使守護企業檔案信息安全,嚴守企業檔案機密信息的崗位職責內化為員工的職業道德。第三,注重企業文化的建設,培養員工對企業的認同感和歸屬感,減少因員工離職或跳槽而造成企業機密檔案信息泄露。
3.動態管理。企業檔案信息安全是企業生產經營安全的重要組成部分,伴隨企業生存發展的始終。[8]檔案安全管理面臨的各類風險要素中,每種要素都處于不斷變化之中,某一要素的變化會引起其他要素的聯動變化。[9]因此企業應對檔案信息安全實施動態管理,即隨著新的風險點的產生,相應的保護方案、制度也應隨之保持動態發展。此外,動態管理還體現在與外界的動態關聯上,企業要與外部社會環境保持良好溝通聯系,及時掌握檔案信息風險變化的新動態。
(三)從技術層面進行控制
1.檔案信息安全技術的應用。信息安全技術指用于保障信息、信息系統和網絡安全的技術。[10]檔案信息安全技術是電子檔案信息安全的有力保障,企業可針對不同安全屬性的檔案信息采用不同的信息安全技術。在數據安全技術、網絡安全技術和檔案管理系統用戶安全技術等方面強化保護措施,運用信息技術提高企業檔案工作效率的同時,也保證企業檔案信息的安全。
2.檔案信息安全技術的更新。檔案信息安全建設是基礎性的長期工作,構建全面、能力可持續增長的安全防御體系才能保證檔案信息系統的長期安全穩定運行。[11]檔案信息安全技術是不斷發展的,企業應及時了解和掌握最新的計算機病毒、黑客技術等檔案信息存在的潛在風險,關注信息技術的更新動態,確保企業應用的檔案信息安全技術與時俱進,為企業檔案信息安全保駕護航。
四、結論
企業檔案信息安全是企業生產經營安全的重要組成部分,伴隨企業生存發展的始終。人員風險要素、組織風險要素與技術風險要素三者綜合構成威脅企業檔案信息安全的風險要素,為保障企業檔案信息安全必須從管理、制度、技術三個層面三管齊下對這些風險要素進行有效控制,深入貫徹“預防為主,防治結合”的方針,保障企業檔案信息安全無虞,讓企業檔案信息更好地服務于企業的發展。
參考文獻:
[1]DA/T 42—2009.企業檔案工作規范[S].
[2]中國—馬來西亞欽州產業園區工管委辦公室.中國—馬來西亞欽州產業園區簡介[EB/OL].[2017-11-01].http://qip.gov.cn/News/Detail/d3ad5db6- 9c0e- 435aa290-9f91a75beecc.
[3]張霞.檔案安全風險評價指標的建立及其實現[J].青海師范大學學報(哲學社會科學版),2014(2):165-167.
[4]馮惠玲,張輯哲.檔案學概論[M].北京:中國人民大學出版社,2006:107-108.
[5]康旭冉.企業檔案安全保障體系建設研究[D].河北大學,2014:6.
[6]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2015(1):34-36.
[7][9]張錦云,秦壘.基于動態風險評估視角的檔案安全管理研究[J].浙江檔案,2017(2):11-13.
[8]吳緒成.企業檔案信息安全策略簡論[J].中國檔案, 2012(4):62.
[10]聶云霞,張加欣,甘敏.信息生態視域下數字檔案用戶信息安全保障系統構建研究[J].檔案學研究,2017(1): 66-72.
第8篇:信息安全管理要求范文
關鍵詞:信息安全管理;測評;要素;指標
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)27-6080-03
人類進入信息化社會,社會發展對信息化的依賴程度越來越大,一方面信息化成果已成為社會的重要資源,在政治、經濟、國防、教育、科技、生活等發面發揮著重要的作用,另一方面由于信息技術的迅猛發展而帶來的信息安全事件、事故層出不窮,信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程,其包括關鍵基礎設施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網絡安全、人員安全等。組織要實現信息安全目標,就必須建立一套行之有效信息安全管理與技術有機結合的安全防范體系。信息安全管理包括制定信息安全策略(包括計劃、程序、流程與記錄等)、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1],強調了測量對組織管理的重要意義,信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量,根據測量的結果對組織信息安全管理情況進行評價并進一步指導信息安全管理,提高信息安全管理能力和水平,目前已經成為信息安全領域的一個研究熱點[2]。
信息安全管理測評是組織圍繞信息化持續發展與信息安全保障的現狀和未來綜合能力的反映,不僅是對過去和現在的能力展現,而且為未來發展提供保障和動力。在我國,目前關于信息安全管理測評研究剛處于起步階段,還沒有一套可供使用的信息安全測評體系標準、方法等。因此,開展信息安全管理測評研究,對組織信息化建設既具有重要的現實意義也具有長遠的持續發展意義。
1 信息安全管理測評發展綜述與需求
關于信息安全測評,美國早在2002年通過的《聯邦信息安全管理法案》中就要求各機構每年必須對其信息安全實踐進行獨立測評,以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試,其頻率視風險情況而定,但不能少于每年一次。在獨立評價的基礎上,聯邦管理與預算局應向國會上報評價匯總結果;而聯邦審計署則需要周期性地評價并向國會匯報各機構信息安全策略和實踐的有效性以及相關要求的執行情況。
2003年7月,美國國家標準與技術研究所(National Institute of Standards and Technology,NIST)了NIST SP 800-55《信息技術系統安全測量指南》,其包括以下內容[3]:
1) 角色和職責:介紹發展和執行信息安全測量的主要任務和職責。
2) 信息安全測量背景:介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。
3) 測量發展和執行過程:介紹用于信息安全測量發展的方法。
4) 測量項目執行:討論可以影響安全測量項目的技術執行的各種因素。
5) 以附件的形式給出的16種測量的模板。
2004年11月17日,美國的企業信息安全工作組(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4],2005年國際標準化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems,ISMS)的系列標準——ISO27000系列。2005年1月10日又了修訂版,并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27,該文檔是根據CISWG的最佳實踐和測量小組的報告改編。
2005年8月31日,美國國際系統安全工程協會(International System Security Engineering Association,ISSEA)針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測量的貢獻背景)和“ISSEA Metrics”[6](ISSEA測量)兩個貢獻文檔。
2009年國際標準化組織(ISO)了ISO/IEC 27004:2009(信息技術一安全技術一信息安全管理測量)標準,為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。
信息安全管理體系是信息安全保障體系的重要組成部分。近年來,隨著組織對信息安全保障工作重視程度的日益增強,不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產,但是體系建立起來了,不少管理者都對ISMS的運行效果極其控制措施的有效性,持懷疑的態度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進行科學的評價,進一步提升ISMS的執行力。該文研究的信息安全管理測評將為確定ISMS的實現目標,衡量ISMS執行的效力和效率提供一些思想、方法,其結果具有客觀的可比性,還可以作為信息安全風險管理、安全投入優化和安全實現變更的客觀依據,有助于降低安全風險,減少安全事件的概率和影響,改進安全控制和管理過程的效率或降低其成本。
2 信息安全管理測評研究內容
信息安全管理測評是信息安全管理體系的重要部分,是信息安全管理測量與評價的綜合。信息安全管理測量的結果是信息安全績效評價的依據。信息安全管理測量比較具體,信息安全管理評價則通過具體來反映宏觀。
2.1 信息安全管理測評要素及其框架
信息安全管理測評要素包括:測評實體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等,其框架如圖3.1信息安全測評框架所示,包括:基于什么樣的需求來測評(即測評需求),對什么進行測評(即實體及其屬性),用什么指標體系來測評(包括測評制式、測評變量和測評尺度),用什么方法來測評(即測評方法),用什么函數來計算測評結果(即測評函數),用什么模型來分析測評結果(即分析模型),用什么方式來使分析結果能夠輔助決策(即指示器)等問題。
信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業務目標,與相關利益者的利益訴求密切相關。指示器的生成和分析模型的選擇是以信息需求為導向的。
決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出,或作為統計控制限度或統計信心限度計算出來。
可測評概念是實體屬性與信息需求之間的抽象關系,體現將可測評屬性關聯到信息需求以及如何關聯的思想。可測評概念的例子有生產力、質量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象,例如,過程、產品、系統、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中,一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項(信息安全管理測評要素)。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區分的一個實體的某一特性或特征。一個實體可能有多個屬性,其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性(信息安全管理測評指標)。
測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作,可以有多種測評方法。基礎測評是依照屬性和定量方法而定義的測評方法,是用來直接測評某一屬性的,是根據屬性和量化他的方法來定義,他捕獲單獨屬性的信息,其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評,是根據屬性之間的關系來定義,他捕獲多個屬性或多個實體的相同屬性的信息,其功能依賴于基礎測評的,是兩個或更多基礎測評值得函數。
測評尺度是一組連續或離散的數字量值(如小數/百分比/自然數等)或離散的可數量值(如高/中/低/等)。測評尺度是規范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。
測評尺度根據尺度上量值之間關系的性質分為四種類型:
名義(Nominal) :測評值是直呼其名。
序數(Ordinal) :測評值是有等級的。
間隔(Interval) :測評值是等距離的,對應于屬性的等量,不可能是零值。
比率(Ratio) :測評值是等距離的,對應于屬性的等量,無該屬性為零值。
測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準,以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。
測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析模型的選擇。
測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執行頻率。測評計劃應按規定的頻度定期地或在必要的時候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的成本之間的折中,可以是每周、每月、每季度或每年等。不定期執行的必要時候包括ISMS初始規劃和實施以及ISMS本身或運行環境發生重大變化。
2.2 信息安全管理測評量表體系
任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎,是對指定屬性的評價,這些屬性與測評需求方的信息保障需求相關聯,對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準,其從信息安全方針、信息安全組織、法律法規符合性等11個方面,提出了133個控制措施供使用者在信息安全管理過程中選擇適當的控制措施來加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中,通常以控制措施的實施情況作為指標,建立預選指標集,通過對預選指標集的分析,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。
3 信息安全管理測評方法探討
測評方法通常影響到用于給定屬性的測評尺度類型。例如,主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而,每一個屬性和測評方法的獨特結合產生一個不同的基礎測評。測評方法可能采用多種方式實現。測評規程描述給定機構背景下測評方法的特定實現。
測評方法根據量化屬性的操作性質分為兩種類型:
主觀:含有人為判斷的量化。
客觀:基于數字規則(如計數)的量化。這些規則可能通過人或自動手段來實現。
測評方法的可能例子有:調查觀察、問卷、知識評估、視察、再執行、系統咨詢、測試(相關技術有設計測試和操作有效性測試等)、統計(相關技術有描述統計、假設檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統計過程控制(SPC, statistical Process control) 圖和時序分析等)。
4 結束語
當前,信息安全領域的測評研究多側重于對技術產品、系統性能等方面的測評,其中信息安全風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息安全狀況;信息安全審計則只是對信息安全相關行為和活動提供相關證據;而信息安全管理評審則是符合性審核,他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此,非常有必要對信息安全管理的有效性進行測評,這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執行情況,為管理者決策提供依據,也能為組織信息安全管理過程的持續改進提供足夠的幫助,達到更好地管理信息安全的最終目的。
參考文獻:
[1] 閆世杰,閔樂泉,趙戰生.信息安全管理測量研究[J].信息安全與通信保密,2009,5:53.
[2] 朱英菊,陳長松.信息安全管理有效性的測量[J].信息網絡安全,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics , Adapted from the report of the Best Practices and Metrics Teams , Corporate Information Security Working Group ( CISWG ) , 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl),2005-08-31
第9篇:信息安全管理要求范文
【關鍵詞】 等級保護 電力調度 管理制度
引言
我單位開展了信息安全等級保護安全建設整改、等級測評等工作。然而,隨著整改進程的深入,建立規范、高效、安全的信息系統運行維護和管理體系,如何將等級保護中的管理制度與本單位自身的安全生產、班組文化等制度結合,給管理工作帶來了新的挑戰,通過建立等級保護管理制度體系能夠更全面的提高電力調度系統運維管理層次,實現信息系統、數據資源集成整合和綜合高效利用,支撐實現電力調度的信息化發展目標。本文結合筆者在信息安全管理中的實踐和理解,對等級保護管理體系在工作中的應用提出一些個人的想法,供讀者借鑒。
一、建立等級保護制度體系目的和意義
為更好的提高信息安全保障能力和水平,依據《信息安全等級保護管理辦法》(公通字[2007]43號)、國家電網公司《信息系統安全等級保護建設的實施指導意見》(信息運安[2009]27號)、《SG186工程信息系統安全等級保護驗收標準(試行)》(信息運安[2009]44號)、《關于加強電力二次系統安全防護和等級保護工作的通知》(調自〔2012〕65號)等要求。進一步加強電力調度系統重要信息系統的安全保護,落實國網公司關于信息安全等級保護和安全防護體系建設的總體要求,我單位開展了信息安全等級測評和整 改工作。
二、等級保護管理制度體系分析
等級保護管理制度體系提供了對組織機構中信息系統全生存周期過程實施符合安全等級責任要求的管理,包括落實安全管理機構及人員,明確角色與職責,制定安全規劃、開發安全策略、實施風險管理、進行監控、檢查,處理安全事件等,具體落實在要求則體現在等級保護測評指標中,等級保護管理要求如圖1所示。
三、等級保護管理體系建設實踐
在具體落實管理體系過程中,應結合原有的信息化管理制度,貫徹建立管理制度文件層級化和流程化管理概念,將方針策略、管理制度、操作規程和記錄表單等文件科學的管理運作;將信息化安全管理方針策略定義為一層策略文件;將溝通管理、信息化人員管理、授權與審批管理、文件規范性管理、介質管理、資產管理、網絡管理、系統管理、安全事件與應急管理、備份與恢復管理等方面定義為二層制度文件,落實一層文件中涉及的各方面運維和安全管理內容;將信息化運維管理的操作指導規范等定義為三層流程文件,支撐二層制度文件的具體操作;將所有信息化運維相關的表格定義為四層表格文件,落實并規范化所有運維操作,融合和動態的管理當前使用的管理制度體系結構,如圖2所示。
3.1安全管理的原則
1)基于安全需求原則:組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
2)主要領導負責原則:主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;
3)全員參與原則:信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
4)持續改進原則:安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的分布變化,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系;
5)分權和授權原則:對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。
3.2管理制度體系框架構建
3.2.1工作目標
建立安全管理組織并落實各個部門信息安全責任人,明確組織內各機構人員責任和工作職能,確定信息安全管理體系方針策略,編制形成信息安全方針策略文件。
3.2.2建立信息安全管理組織
(1)建立信息安全管理組織架構
信息安全領導機構:供電公司信息化領導小組,主要負責對單位信息安全制定總體安全策略、監督和協調各項安全措施在單位的執行情況、設立落實信息安全責任。由供電公司分管領導擔任組長,小組成員為各個部門負責人組成。
(2)明確各相關機構和崗位角色的責任和職能
建立相應的職責文件,明確各相應領導、部門、崗位的職責。調度通信中心應設立信息安全工作的各關鍵崗位,如安全管理員、網絡管理員、操作系統管理員和數據庫管理員等,并將之與班組人員結合,并重視信息化人員的培養。
3.2.3確定安全管理總體方針策略
安全管理方針策略是為組織的每一個人提供基本的規則、指南、定義,從而在組織中建立一套信息資源保護標準,防止員工的不安全行為引入風險。同時,還是進一步制定控制規則、安全程序的必要基礎。應當目的明確、內容清楚,能廣泛地被組織成員接受與遵守,且要有足夠靈活性、適應性,能涵蓋較大范圍內的各種數據、活動和資源。可以使員工了解與自己相關的信息安全保護責任,強調安全對組織業務目標的實現、業務活動持續運營的重要性。
安全方針策略屬于高層管理文件,簡要陳述信息安全宏觀需求及管理承諾,應該篇幅短小,內容明確。信息安全方針應當簡明、扼要,便于理解,至少應包括以下內容:
(1)信息安全的定義,總體目標、范圍,安全對信息共享的重要性;
(2)管理層意圖、支持目標和信息安全原則的闡述;
(3)信息安全控制的簡要說明,以及依從法律、法規要求對組織的重要性;
(4)信息安全管理的一般和具體責任定義,包括報告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及執行程序,定義安全角色賦予管理職責,陳述組織的安全目標,為安全措施在組織的強制執行建立相關輿論與規則的基礎。
3.3管理制度體系策略建立
3.3.1工作目標
建立覆蓋信息工作的全部文件,包含安全策略、制度、規定規范、表單,完善所有活動流程管理。
3.3.2建立體系策略制度文件
信息安全策略是組織信息安全活動的最高方針,需要根據信息工作的實際情況,分別制訂不同的信息安全策略。應該簡單明了、通俗易懂,并形成書面文件,發給單位內的所有成員。同時要對所有相關員工進行信息安全策略的培訓,以使信息安全方針真正植根于單位內所有員工的腦海并落實到實際工作中。根據本單位實際情況,建立的策略文件,所有文件均需進行論證和評審。
(1)信息安全管理策略
作為所有系統的指導性方針文件,提供信息安全的基本規則、指南、定義。依據本策略應制定各管理制度、操作和使用規范。
(2)系統運維安全管理策略
作為所有系統運行維護的指導性方針文件,提供系統安全運行維護的基本規則、指南、定義。依據本策略應制定系統運行維護中相關的各種管理制度和規定,以及控制各項活動的記錄表單和審批流程。應覆蓋機房、網絡、系統、資產、備份、日常運維等所有運行維護工作的范圍。
(3)系統建設安全管理策略
作為所有信息化工作建設的指導性方針文件,提供信息工作相關的建設安全管理的基本規則、指南、定義。依據本策略應形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設管理的全過程管理制度,相應的控制表單和審批規定。
(4)人員安全管理策略
由于在系統、運維、建設方面已經對人員在該活動中的行為做了要求,人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理,也可以直接制定比較詳細的人員安全管理制度。
(5)管理流程
梳理并完善各種活動的詳細流程圖,任何針對信息系統的活動均有流程可依據進行控制管理。如事件管理流程、變更管理流程等。
(6)其他輔助制度
建立輔助文件,如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息規定等。
3.4管理制度體系運作落實
3.4.1工作目標
逐項實施,直至體系全面運行,監督落實安全策略制度,找出體系中的不適用和缺陷。
3.4.2實施
經過第一和第二階段的工作,理論上單位已初步形成完整的信息安全管理體系,但體系是否能正常運作發揮作用,需要對體系進行驗證,驗證的方法就是運行體系。
體系的運行分幾步進行:
對通過論證評審的文件,通過正規渠道正式發文的方式進行,的文件根據情況決定是否采取“征求意見稿”或“暫行”;
文件前召集相關部門的負責人學習文件,并要求確保落實力度;
的文件要求相關部門組織學習,并依照實施;
各相關部門對運行的文件制度運行情況進行收集,存在實際困難無法落實的報評審組織評審適用性;
對“征求意見稿”的文件,必須從實施的相關部門采集意見。
體系實施階段可以在體系建立階段同步開展,建立部門策略制度后,通過論證評審即可進行試運行,不需等全套文件完成。
3.4.3監督
指定或成立跨部門監督機構、人員,對文件實施的過程進行監督管理,制定相應的懲戒措施,對落實情況進行監督檢查,對違反文件實施和實施不力的部門或人員進行懲戒,切實落實文件的有效實施。收集監督過程中發現的文件問題、人員實施問題方面資料,反饋到編制組織。
本階段是系統建立的關鍵階段,是信息安全管理體系要分析運行效果,尋求改進機會的階段。如果發現一個控制措施不合理、不充分,就要采取糾正措施,以防止信息系統處于不可接受風險狀態。必須強調相關領導應重視本階段工作,并且從實際上支持和推動實施工作。且應加大學習培訓和監督力度,落實懲戒措施。讓文件涉及的相關部門和相關人員熟知該文件并能按要求準確執行。
3.5管理制度體系細化調整
3.5.1工作目標
總結體系運行情況,調整不適用和無法落實的部分,完善體系,使之能高效、有序的運作。
3.5.2評審
評審有兩個環節,第一個環節是針對出現的問題進行審核,論證其原因,進行改正完善。第二個環節是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預期目標。
首先,信息安全領導小組組織相關部門人員,對體系實施中發現的問題進行審核,對落實不力的部門責成落實;對實際存在的問題進行論證,提出解決辦法;對不適用的文件或部分進行論證評審,確實存在不適用的文件則組織相關人員進行修訂,轉入修訂環節,對于不適用且沒必要存在的文件進行廢止。
而后,對于本階段計劃時間內反饋沒發現問題的文件,組織相關部門評審試行效果,達到預期要求則作為正式版運行,并采用持續優化階段的方式進行管理,未達預期目的則轉入重新編制程序。
3.5.3修訂
對于存在問題的策略文件,組織該策略文件涉及最多的主體部門和其他相關部門人員成立臨時修訂機構,針對文件存在問題進行修訂。修訂后進行新版本的頒布,同時該文件轉入落實階段。
3.5.4測評
經過細化調整,不斷地審核修訂后,體系應已基本完善,此時轉入評審的第二環節。按照符合等級保護要求的預期目標,委托等級保護測評機構進行等級保護測評,在保證客觀、合規、公正的前提下,對單位信息安全體系進行全面評審。整體測評后,對不滿足要求的部分進行整改,整改完成后轉入實施階段,直至符合要求。
3.6管理制度體系持續優化
通過前四個階段的工作,信息安全管理體系應基本穩定、成熟,后期的工作在于保持并進行不斷地優化。把經過檢驗的文件作為常態的管理遵循依據,在日常工作中保持,不因試行結束而松懈。部門和人員應把試行期間依照文件要求形成的工作模式進一步完善保持,在未發生異常情況之前,始終按照正式版本執行。定期進行評審,找出不適用部分進行優化調整;結合工作實際,尋求更高效安全的方法優化體系,提高效能。
