信息安全管理中国标准探路
来源:计算机世界
[摘要] 1 月23日,国务院信息化工作办公室在深圳召开了“信息安全管理标准应用(ISMS)试点总结会”,对开展了近一年的ISMS试点工作进行全面总结。作为信息安全领域一次意义重大的试点,它为我国信息安全管理标准出台提供了哪些客观依据?国际标准能否兼顾我国具体应用中的适用性与合理性需求?将要出台的信息安全中国标准还应在哪些方面进一步完善?本报记者作为惟一受邀记者参加了这次会议,并就相关问题进行了深入采访。
各试点单位实施效果
深圳证券交易所
深圳证券交易所结合已经实施或正在实施的ITMS、BCP、CMMI等工作,历时6个月,ISMS自2006年11月开始试运行。
● 建立了符合ISO/IEC27001:2005要求的、文件化的ISMS,编制完成了四级体系文件(包括记录表单等)共计149份。
● 试点工作促进深交所建立了三年信息安全规划,推动了深交所“两网隔离工程”的实施,初步建立了实施ISMS软件的原型。
● 探索出一个在证券行业有效实施ISMS的方法-BHTP,即B-业务与策略、H人员与管理、T-技术与产品、P-流程与体系; 并从ISMS实施方式、实施范围、实施预算等各个方面对证券行业实施ISMS提出了具体建议。
● 验证了ISMS标准在证券行业的适用性,并分析了ISMS的标准的优势和缺陷。
北京公积金管理中心
北京公积金管理中心与技术支撑单位一起,结合北京公积金的实际情况,将试点工作目标细化为5项,历时8个月,ISMS自2006年11月开始运行,完成了试点工作。
● 通过试点工作,更准确、全面地把握了安全现状,在北京公积金建立了切合自身的、文件化的ISMS,形成了包括信息安全管理手册、程序文件以及记录文件在内的三级体系文件共计112份。
● 探索和研究了适合ISMS建设的风险评估方法,结合电子政务的等级保护工作,探索了等级化信息安全管理体系建立的流程和步骤。
● 通过试点,建立了信息安全管理的组织机构并明确了责任,任命了信息安全管理委员会主任、管理者代表和内审员。
北京市海淀信息办
北京海淀结合已经实施的ISO9000、等级保护、风险评估等工作,将试点工作目标细化为5项,历时8个月,ISMS自2006年11月开始试运行,完成了试点工作。
● 建立了符合ISO/IEC27001:2005要求的、文件化的ISMS,编制完成了三级体系文件(包括记录表单等)共计79份。
● 探索和研究了ISMS与风险评估和等级保护的关系。参考《电子政务信息安全等级保护实施指南》,先按照等级保护制度对其进行定级,然后将对应的等级要求体现到方针中;参考《信息安全风险评估指南》确定了ISMS要求的风险评估方法。
● 探索和研究了ISMS与QMS(质量管理体系)整合的方法,充分考虑了已经实施并通过了认证的QMS,在组织机构、内部审核、管理评审、文件控制、预防和纠正措施控制等方面,使两个管理体系实现了有机的整合。
上海市医疗保险信息中心
上海市医疗保险信息中心与其技术支撑单位上海市信息安全测评认证中心一起于2006年12月,完成了试点工作方案确定的目标。
● 通过试点工作,依据ISO/IEC27001:2005建立了相对完整的信息安全管理体系。
● 对ISMS标准实施与单位具体情况相结合方面做出了积极的实践并积累了经验,包括ISMS与医保信息系统状况融合和ISMS与已经实施的QMS(质量管理体系)的融合。
● 检验了ISMS标准的适用性。试点工作证明ISO/IEC27001:2005是适用的,并对ISO/IEC17799:2005一些具体控制措施也做出了适用性分析。
上海市宝山区信息委
上海市宝山区信息委与其技术支撑单位上海市信息安全测评中心经过7个多月的共同努力,完成了试点工作方案确定的目标。
● 建立了体系化的管理规范。从宝山区电子政务平台、接入单位和信息委三个不同层面,分别建立了《上海宝山电子政务平台信息安全管理规范》文件7份、《宝山电子政务平台接入单位信息安全管理规范》文件10份和《上海宝山信息委信息安全管理规范》文件18份。
● 改善了宝山区系统安全状况。区信息委对在试点过程中发现的安全风险,已立项并投入大量资金,实施“改进”措施,从而大大提升了宝山电子政务系统的安全性。
● 对ISMS与风险评估和等级保护工作的关系进行了研究和探索,对政府部门建立ISMS提出了建议。
福建地方税务局
福建地方税务局与技术支撑单位中国信息安全测评认证中心一起,周密计划、认真组织,完成了试点工作。
● 通过试点,对福建地税与惠普公司合作根据BS7799(ISO/IEC17799:2000)完成的19份安全策略及其实施文档,对照ISO/IEC27001:2005,进行了全面整理,并新编制体系文件11份,建立了ISMS。
● 加强了ISMS的推广与实施,计划以正式文件的形式下发ISMS体系文档,并根据税务系统的实际岗位需要制定了《办税服务厅工作人员安全手册》等四类工作人员的安全手册。
● 根据ISMS体系文件中机房安全管理守则、外部访问安全策略、内部访问安全策略等文件的规定,规范了ISMS的运行记录。
● 对ISMS标准的适用性进行了分析,福建地税认为ISO/IEC2700:2005是一个基于企业信息安全管理的通用标准,并不完全适合我们国内的实际情况,特别是税务系统这样的政府机关部门,引进时要进行本地化工作。另外,也对ISMS与风险评估、等级保护的关系进行了研究和探索。
武汉钢铁(集团)公司
武汉钢铁(集团)公司与技术支撑单位上海三零卫士信息安全有限公司一起,对试点工作进行周密计划、精心组织,将武钢的试点工作目标细化分解为九项,历时8个月完成了试点工作。
● 编制了31份信息安全管理体系文件,按照ISO/IEC27001:2005建立了武钢信息安全管理体系,为下一步通过ISMS认证奠定了基础。
● 实施了风险评估和风险处理。通过试点工作,对武钢包括应用系统、主干网、接入单位在内的关键信息资产进行了量化风险评估,分析了存在的安全风险,并编制和实施了风险处理计划付诸实施。
● 对信息安全管理标准应用进行了探索。通过试点,武钢认为IS0/IEC27001:2005和ISO/IEC17799:2005这两个ISMS标准总体上是适用的,但一些条款应考虑与我国实际情况相结合。
● 对同类系统建立和实施ISMS提供了建议,包括明确ISMS的实施范围,以信息系统可用性保障作为实施重点,注重质量管理体系与ISMS体系的融合等