在安全现状和需求的基础上, 基于需求分析结果,协助用户建立以国内外信息安全体系模型为核心结合网络安全保护等级保护体系的信息安全管理体系,在明确用户自身的IT服务体系要求和技术安全控制体系要求前提下,参考监管部门的安全要求,协助用户完善信息安全机构,落实安全管理职责、完善安全架构,强化人员意识,通过体系系统化、动态化、制定化的手段来确保安全体系的有效落地,科学地平衡业务发展与信息安全的关系,从根本上保障客户业务的持续性发展。
现状与差距分析
在正式开展安全管理体系建设项目之初,为了熟悉客户情况,必须通过深入现场、人员访谈、文件审阅等途径,对客户业务现状进行全面了解,发掘信息安全问题,并做分类描述和分析。同时,将客户的安全现状和ISO27001标准、等级保护标准进行对比,找到现实差距。
现状调研是实施人员通过现场调查和访谈,全面了解客户与信息安全相关的业务状况,发掘各种信息安全问题和隐患,分析原因,归类总结。差距分析是对客户当前信息安全管理体系进行初步诊断。通过差距分析,可以大致了解其安全管理体系现状与ISO/IEC 27001:2013和等级保护之间的差距,明确今后项目实施的重点。
现状与差距分析工作成果,将会成为风险评估活动的输入,为进一步形式化描述和分析信息资产与风险奠定基础。
风险评估
风险评估是建立信息安全管理体系的先决条件,是PDCA中Plan阶段最关键的一项活动,其结果将直接决定着后续阶段工作是否有据可循。
在风险评估阶段,项目组针对安全管理体系范围内的所有信息资产,识别并评价其面临的威胁及弱点,确定资产风险等级,选择安全控制措施,制定风险处置计划,进行残余风险分析。进行风险评估时,可将等级保护差距分析的结果进行融合,合并进行风险处置。
体系规划与设计
建立完善的信息安全管理体系是一个长期的过程,因此,在安全体系规划与设计阶段,需要规划安全管理体系建设的任务及过程,分阶段分步骤建设信息安全管理体系。同时,要编写、测试、修订并完善管理体系运行所需的文档体系。
信息安全管理体系规划与设计第一步就是准备适用性声明(SOA),其是信息安全管理工作的一部门,其不仅可以成为ISMS申请认证的重要依据之一,也可以成为等级保护的测评检查的重要依据之一。其次,安全管理体系建设规划是分析风险评估得出的风险处置结果,根据这些处置结果,制定文件体系框架,ISO27001标准要求的文件体系应该是一个层次化的体系,一般分为四级文件,分别是
一级文件:纲领、方针性文件。主要包括:1)总体安全方针政策;2)安全管理手册;3)适用性声明(SOA)。
二级文件:制度、规范性文件。主要包括:1)文件控制程序;2)记录控制程序;3)内部审核管理程序;4)管理评审管理程序;5)预防及不符合纠正控制程序;6)信息安全风险评估与管理程序。
三级文件:操作规程和操作指南性文件。包括:各种专项信息安全策略(含管理规定、办法、制度等);各种信息安全处理流程/程序;各种信息安全标准/指南/操作手册。
四级文件:记录性文件。包括所用到的记录、模板等。
最后按照文件清单列表,综合项目实施情况,制定编写计划,着手编写信息安全管理体系文档,包括1、2、3、4级文档、技术方案等。在实际文件部署过程中,应尽可能的减少文件数,尤其是执行人员一致的文件更应该考虑合并,直到最后针对某个岗位的操作手册。
体系实施与评审
组织管理者需要正式发布安全管理体系并要求开始实施,落实信息安全管理措施,部署信息安全技术措施,运行信息安全管理体系,改进信息安全管理体系不足,按照ISO 27001和等级保护要求进行信息安全管理体系内部审核和管理评审,来检查已建立的安全管理体系是否符合组织要求。
信息安全管理体系建设涵盖信息安全现状调研、风险评估、组织体系建立、策略体系建立、技术体系建立、培训体系建立、岗位职责、持续运行与监测及协助完成相关资质认证等;在此基础上可以对安全管理体系优化,以网络安全等级保护、国家监管要求、国内国际标准为依据进行体系的整合升级,实现制度、流程、技术等方面的优化。同时,可以结合云智信安优势,拓展数据生存周期安全、供应链安全的体系性优化。