信息安全管理与管理体系 科飞管理咨询有限公司 吴昌伦 王毅刚 目前我国的信息安全管理主要依靠传统的管理方法和手段来实现,传统的管理模式缺乏现代的系统管理思想,而技术手段又有其局限性。保护信息安全,国际公认的、最有效的方式是采纳系统的方法(管理+技术).目前国际性标准 ISO/IEC 17799 就是这样一套系统的信息安全管理方法。 本栏目特别邀请出版了《信息安全管理概论—BS7799 理解与实施》、《BS7799 和 ISO/IEC17799 信息安全管理体系及其认证认可相关知识问答》两书的科飞管理咨询有限公司的顾问专家 ,阐述运用相关国际标准实施信息安全管理体系应该注意的问题。 组织的信息资产和其他资产一样对组织具有重要作用,组织为了保证这些信息资产的安全 ,需要付出持续的努力。在实行行动之前,需要首先理解信息安全的目标。 明确信息安全管理目标 为了保障组织信息资产的安全,为了更好的理解和便于操作,信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三个性质:保密性( Confidentiality)、完整性(Integrity)和可用性(Availability)。 保密性 保障信息只有被授权使用的人可以访问。 完整性 保护信息及其处理方法的准确性和完整性. 可用性 保障授权使用人在需要时可以猎取信息和使用相关的资产。 各类组织,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性。 假如把组织的信息安全管理行为作为一个过程(一组将输入转化为输出的相互关联或相互作用的活动,见 ISO 9000:2000《质量管理体系—基础和术语》)来看待,其输入应该是组织和其他相关方对组织信息安全管理的要求和期望,而输出应该是令组织和相关方满意的信息安全状态(见图 1)。 图 1:信息安全管理过程作用示意图 组织不仅需要达到满意的信息安全状态,而且要持续地保持这种状态。这要求组织建立保持机制,保证组织能够不断的识别并适应自身情况和环境的变化。 应用系统方法解决系统问题 实践证明,信息安全是个复杂的系统问题,必须以系统的方法来解决。建立管理体系(建立方针和目标并实现这些目标的体系,见 ISO 9000:2000《质量管理体系—基础和术语》)是系统解决复杂问题的有效方法.正如同为了保证质量管理的有效性、充分性和适宜性,组织需要建立质量管理体系(QMS);为了保证信息安全管理的有效性、充分性和适宜性,组织需要建立信息安全管理...
