電力信息安全管理體系應用及發展研究

PDCA模型在實施時，呈現出如下特點：

1)循環進行

2)相互嵌套

3)不斷改進

(3)內部審核

信息安全管理體系內部審核的總目標是以規定的時間間隔(一般不超過一年)檢查信息安全管理體系的各方面是否按預期功能運行。審核的次數應按計劃進行，使得審核工作能均勻地分布在所確定的期間。當信息安全管理體系有重大變化或發生重大不符合項時，要增加審核頻次。

(4)管理評審

信息安全管理體系管理評審是管理者按照計劃的時間間隔組織實施的信息安全管理體系的評審，其目標是要檢查信息安全管理體系是否有效，識別可以改進的地方，并采取措施，以保證信息安全管理體系保持持續的適宜性、充分性和有效性。當確定當前的安全狀況是滿意時，為了預見未來信息安全管理體系的變化和確保其持續的有效性，注意力應放在變化中的技術與業務要求、新威脅與脆弱性的攻擊上。

(5)糾正和預防措施

首先應該認識到糾正與糾正措施的區別：糾正是指為消除已發現的不符合所采取的措施，而糾正措施是指為消除已發現的不符合或其他不期望情況的原因所采取的措施，其目的是消除不符合的原因，防止不符合項的再次發生。采取糾正措施的范圍和程度要根據不符合項對組織的綜合影響程度而定，包括風險、利益和投入成本等，要評價確保不符合項不再發生的措施需求。

2.3 信息安全管理體系的實施方法

組織需要信息安全，一方面是業務連續性發展的要求，另一方面是適用的法律法規和標準的要求。這些要求是不斷發展和變化的，組織必須持續的增強其信息安全能力和改進其信息安全水平以滿足不斷發展的信息安全要求。

信息安全管理體系方法指導組織分析信息安全要求，識別和規定相關過程，并使其持續受控，以實現組織能接受的信息安全目標。信息安全管理體系提供持續改進的框架，以增強組織信息安全能力，同時向組織的其它利益相關方提供信心和信任。信息安全管理體系的實施方法應重點關注下列三個方面：

1)應用PDCA模型

在信息安全管理體系的建設過程中，應用PDCA模型，可以有效規范各類活動的階段性，充分體現其持續改進機制，最大程度發揮信息安全管理體系的特點，應用PDCA模型的信息安全管理體系建設過程如圖3所示。

圖3 應用PDCA模型的信息安全管理體系建設過程

2)實施安全風險評估和處理

安全風險評估和風險處理的實施，對于體系的建設和運行而言異常關鍵，在體系建設運行過程中，需要完成下列活動：

a) 確定信息安全風險評估方法;

b) 識別信息安全風險;

c) 分析和評價信息安全風險;

d) 識別和評價風險處理的可選措施;

e) 為處理風險選擇控制目標和控制措施;

f) 獲得管理者對建議的殘余風險的批準;

g) 實施風險處置計劃以達到已識別的控制目標;

h) 按照計劃的時間間隔進行風險評估的評審。信息安全風險管理流程如圖4所示。

圖4 信息安全管理過程

3)編制安全體系文件

信息安全管理體系是一個文件化的體系，所制定的所有安全策略應形成文件，應將為降低風險所選擇的控制措施以及之前已實施的控制措施形成體系文件，建立完善的信息安全管理制度體系，涵蓋安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、信息安全業務連續性管理、符合性等方面。

3 信息安全管理體系的最新發展

3.1 背景

目前存在多個管理體系標準，例如ISO 9001、ISO 14000、ISO 22000、ISO/IEC 27001等，其他諸如交通、社會安全、記錄管理、事件管理和能源等領域也正在開發管理體系標準。基于如此眾多的管理體系標準以及巨大的市場，國際標準化組織的技術委員會(TMB)意識到應找出一種協調不同管理體系實施的方法。TMB的聯合技術協調組/管理體系(JTCG/MS)承擔該項任務，將為任何一個管理體系開發一個統一架構和部分同一文本。

3.2 信息安全管理體系標準的修訂

正在修訂中的ISMS的要求標準ISO/IEC27001，將采用ISO/TMB/JTCG MSS的統一結構，將原來的架構做比較大的調整，并采用標準的文本，只是在信息安全方面做相應的擴充。

為適應新的ISO/TMB/JTCG MSS架構，ISO/IEC 27001原有架構和內容將有相應的調整，如圖5所示。

上一頁 1 2 3 下一頁