◆孙 琳 于 洋

（北京市南水北调信息中心 北京 100195）

论信息安全管理体系的构建

◆孙 琳 于 洋

（北京市南水北调信息中心 北京 100195）

随着信息技术应用范围的不断扩大，公众对于信息安全的关注日益增加，而构建完善的信息安全管理系统已经成为当务之急。本文将针对信息安全管理的构建进行研究，分析其框架构成，在此基础上理清构建思路和实施保障等问题，为信息安全管理体系的进一步完善提供可行的理论支持。

信息安全；管理体系；构建优化

0 引言

信息安全管理框架的构成需要遵循一定的流程，不同组织环节需要针对自身情况，构建起与相关业务相适应的信息框架，以保障其稳定性和安全性。在信息传输过程中，需要以ISMS框架为基础，并构建与之相匹配的文件、文档管理模式，对信息安全框架内出现的各种风险隐患、安全事件等做出详细记录，构建起信息反馈制度，完善其反馈流程。

1 信息安全管理体系框架的构成

1.1 定义信息安全政策

由于组织规模不同，在信息安全政策的制定上也有一定差异。如果组织规模有限，则单一安全政策就能满足其管理需求，并在内部各部门通用。如果规模组织较大，则需要根据不同部门实际情况执行差异化安全政策。如果组织属于集团化管理模式，则需要制定政策丛书，以此适应不同管理部门、分支机构的信息安全需求。但是无论的何种形式的安全政策，都需要体现出简洁性、逻辑性和执行性，能够直奔主题不受中间环节干扰，构建起以安全政策为核心的信息管理框架。在实施过程当中，需要将安全政策作为主导方针，并形成书面格式下发给工作人员，针对相关人员进行政策指导培训，对于信息安全负责人员则需要进行强化培训，从而使组织人员对安全方针有全面把握。

1.2 定义ISMS范围

在组织内部界定ISMS框架范围，其范围界定主要以组织现有结构为依据，并根据实际情况进行调整。只有建立起覆盖层面完善的ISMS构架范围，才能将信息安全管理落实到位。因此，在安全定义环节，需要将信息安全环境进行领域划分，从而使不同领域具备与之相适应的安全管理规范。

1.3 实施信息安全评估

在信息安全评价中，其流程取决于风险敏感系数，因此在评价方式的选择上需要与信息风险监测相一致，具体实施方式有三种：

（1）对基本风险进行评估。根据风险标准对组织内信息风险进行评价，在评价标准中，列举了常见信息风险及其管理要点，这些要点针对一般性信息安全评价具有较高的适应性。但是不同组织需要根据自身信息管理特点灵活调整。如果安全等级所设置的条件过高，那么常规监管措施、实施成本也将相对增加，同时影响常规操作效率。但是，如果评估标准过低，又会影响信息安全管制力度。此外，还会造成信息安全与调度方面出现问题。因此，在信息系统做出升级、调整、优化的同时，难以实现信息安全的预期要求。

（2）风险细化评估。也就是首先对信息内容做出细化归纳，并对其进行赋值，其后根据信息类型进行风险分析。信息风险细化分解能够降低信息系统的脆弱性，并根据既有风险为未来信息安全框架的构架提供支持。组织内部的信息安全评价越完善，其安全需求方向也会更清晰。与风险基本评价模式相比，风险的细化评价将更有利于节约时间成本和人力物力，必要时可以引入外部技术支持以保证评价结构的科学性和客观性。

（3）细化风险与基本风险评价相融合。首先以一般信息安全评价对体系内的信息风险进行发掘和筛选，从而确定核心信息的安全性。其后将信息体系之内的数据进行划分，一类为常规信息，一类为特殊信息，两者要区分对待。对于特殊信息的安全评价需要制定相应的、有针对性的方法，而一般信息则可以采用常规安全评价模式。两者相结合能够实现组织资源应用效率的最大化，但是其中也有一些缺陷存在。如果对于关键性信息的风险把握不足、判断失误，则会造成评估结构失真，对组织信息安全造成严重影响，信息安全将难以得到保障。在信息安全评价时，需要将多种后果进行综合考察，尤其是针对ISMS范围之内的信息做出科学评价，对于风险威胁以及系统脆弱性进行综合评价，对既有安全监管措施做出鉴定。

1.4 信息安全管理

在实施风险转嫁之前，首先需要对采取一定措施，尽量减少风险影响。一些风险是可以规避的，例如利用技术优化、调整操作程序等技术手段就可以实现。一般情况下，只有在风险确定不可回避、无法降低的情况下，才会考虑风险转嫁问题。通常来说，风险转嫁应用在低概率风险事件中，尤其是能够对组织整体运行构成重大影响风险，会考虑采取风险转嫁模式。组织出于技术条件限制或者经济条件制约，需要慎重选择这一安全管理模式。

1.5 确定管理目标及管制措施

在信息安全管理措施的制定中，核心原则在于成本必须低于风险损失。但是还需要注意到，有些特殊的风险后果并不是在经济控制范围之内，如商誉损失。信息安全始终处于动态管理体系下，管理人员需要根据管理目标、实施措施等对其进行动态调整和检验，从而使其与动态发展需求相匹配，进一步发挥信息安全管理的重要作用。

1.6 信息安全适用性申明

该申明能够有效记录信息风险的管控目标，并针对不同信息风险类型制定相应的管理对策。该申明的准备能够明确组织人员对于信息安全、风险防御的态度，而最为明显的作用则在于对外部环境出示其信息安全态度和行为，从而使外界环境对其信息系统的安全性、稳定性、防御性有更全面的认识，将框架之内的防线管理控制在最低限度范围。

2 信息安全管理体系构架的实现

2.1 建立ISMS管理框架

信息安全管理体系的构建，首先需要具备完善的ISMS框架。在具体操作过程中，需要兼顾多方因素。譬如落实框架的成本，其中包括培训成本和报告成本，尽量协调原有工作惯性与管理框架的冲突，实现部门之间的协调合作等。

2.2 建立ISMS文档并实现规范化管理ISMS框架的构建与实施，需要有相关文档、文件为基础。譬如在ISMS框架内，需要对文档内容、框架等进行梳理和总结，其中包括了信息政策、管理目标以及申明措施等。明确ISMS框架的管制流程，明确具体操作过程，其中包括了IT服务、系统监管、管理人员配置、用户终端管理、相关人员责任等多种事项。文档存储形式较为多样，但是需要对其类型和等级进行严格区分。同时还需要以未来信息认证、信息系统升级为目标，构建起适于第三方进行访问的文档类型。信息管理人员需要对文档实施严细化管理，结合业务范围变化，对文档信息进行修订和归纳，如果一些文档已经与信息安全政策产生冲突，或者不再具备相应效能，则需要对其进行及时清理。处于知识产权考虑，还可以将文档进行确定，其后保留。

2.3 安全事件记录、回馈

在ISMS框架当中，需要对可能威胁信息安全的事件作出详细记录。该记录能够为组织制定安全政策、采取信息安全措施等提供必要依据。在事件记录中需要调理清晰，能够准确反映管理人员的具体活动和措施。对于安全记录需要拓展保存，以书面或者电子文档形式进行储存，以便日后查询或者作为补充材料使用。国家信息安全部已经出台了信息安全管理标准，但是这些标准多数属于原则性建议。而将这些建议结合自身情况进行落实，从而构建起与组织发展相适应的ISMS框架才是当务之急，同时也是工作的重点和难点。在信息安全管理体系的构建中，需要体现以人为本的管理理念，因为管理理念、信息素养、管理水平、管理决策都会对信息安全造成决定性影响，而这些因素的主导核心在于“人”，这就需要组织重视信息管理人员的专业素质，强化其安全管理意识，在信息安全框架的构建中体现出便捷化、精准化、安全化、灵活化的特点。

3 结语

ISMS信息安全管理体现出目标叠加的典型特点，是基于信息技术不断发展完善之上的，呈现出动态化、闭环式管理特征。信息安全管理体系的构建，需要从安全评价、信息风险防御、监督监管、信息反馈等多个层面进行，需要建立起从上而下的监督监管体制，否则，信息安全管理体系将流于形式化，难以起到真正的控制管理目的。

[1]徐东华，封化民.信息安全管理的概念与内容体系探究[J].现代情报，2013.

[2]成芳.信息安全管理体系标准（ISO27001）对我们的帮助[J].中国标准化，2014.

[3]程秀权.信息安全管理体系建设研究[J].电信网技术，2013.