通常体系运行初期处于体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中体验体系的充分性,适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施ISMS手册,程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系本身存在的问题,找出问题的根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
11.4.1信息安全管理体系的试运行
在具体实施ISMS的过程中,必须充分考虑各种因素,例如宣传贯彻,实施监督,考核评审,及时改进等,此外还要考虑实施的各种费用(例如培训费,报告费等),与组织员工原有工作习惯的冲突,不同部门,机构之间在实施过程中的相互协作问题等。
在信息安全体系试运行过程中,重点注意以下问题:
1.严格执行
最高管理层的支持是ISMS有效运行的重要基础,ISMS试运行前应该召开全体员工大会,由最高管理层作宣传动员,并以承诺对组织中实施信息安全体系的支持,明确提出对各级员工信息安全职责要求,并以身作则,带头执行ISMS的有关规章制度。
2.有针对性地宣传贯彻ISMS文件
ISMS文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运营的结果。组织应该按照培训工作计划的安排,并按培训程序的要求全体员工实施各种层次的培训。培训包括信息安全意识,信息安全知识与技能和ISMS运行程序的培训。
3.完善信息反馈与信息安全协调机制
体系运行过程中必然会出现一些问题,全体员工应该将实施中出现的问题,如体系设计不周,项目不全等进行协调,改进。信息安全管理体系的运行涉及组织体系范围的各个部门,在运行过程中,各项活动往往不可避免地发生偏离标准的现象。因此,组织应按照严密,协调,高效,精简,统一的原则,建立信息反馈与信息安全协调机制,对异常信息反馈和处理,对出现的问题加以改进,完善并保证体系的持续正常运行。
4.加强ISMS运行信息的管理
加强有关体系运行信息的管理,不仅是信息安全管理体系本身的需要,也是保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应该按照体系文件的要求,做好信息安全的收集,分析,传递,处理和归档工作。
11.4.2安全管理体系的认证
1.信息安全管理认证
认证是第三方依据程序对产品,过程,服务符合规定的要求给予书面保证(合格证书),认证的基础是标准,认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定,认证的证明方式是认证证书与认证标志。
目前,世界上普遍采用的信息安全管理体系的认证标准是在英国标准协会的信息安全管理委员会指导下的BS7799-2:2002《信息安全管理体系规范》。
2.认证的目的和作用
信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价,使组织在信息管理方面有更大的可信性,并且能够使用证书向利益相关的组织提供保证;同时,认证能够促进组织间的贸易关系,提高跨行业的信息安全管理水平,从整体上有利于各国全球贸易的展开。
信息安全管理体系可以保证组织提供可靠的信息安全服务,对该体系进行认证可以树立组织上信息安全形象,为客户,合作者提供信息安全信任感,有利于组织业务活动的开展,特别是当信息安全构成组织所提供产品或服务的一个质量特性时。如金融、电信等服务组织,开展BS7799体系认证对外具有很强的质量保证作用。
组织需要进行信息安全运行方式包括:获得最佳的信息安全运行方式;保证运行安全;降低风险,避免损失;保护核心竞争优势;提高商业活动中的信誉;增加竞争能力;满足客户要求;保证可持续发展;符合法律法规要求。
3.认证范围
在向认证机构表达认证范围时要注意,组织寻求的认证范围应该与信息安全管理体系的范围是相同的。例如,组织可能有几个办公地点,安全管理系统在这几个地点进行,但是可能只需要申请对一个办公地点的认证。
认证范围的定义是审核员确定评估计划的基础。认证机构将选择需要评估的功能和活动,并评估审核的时间,以及选择有适当背景的审核员与技术专家。
认证范围的声明应该表达清楚,易于阅读,吸引潜在的贸易伙伴的注意,并保持准确性和完整性。在拟定认证范围时,需要考虑下列因素:文件化的适用性声明;组织的相关活动;要包含在内的组织的范围;地理位置;信息系统边界,平台,应用;所包含的支持活动;例外情况;在开展认证过程之前认证机构需要对认证范围进行认可。
4.认证条件与认证机构的选择
组织要得到信息安全管理认证,必须在符合一定条件的基础上,通过认证机构派出的审核员依据BS7799标准进行审核。
组织按照BS7799-2标准与适用的法律法规要求建立并实施文件化的信息安全管理体系,在满足一定条件后,即可向被认可的认证机构提出认证申请。在选定认证机构后,双方在协商一致的情况下签订认证合同。合同中应明确认证机构保守组织商业秘密,在组织现场遵守组织的有关信息安全管理规章的要求。
5.安全管理体系的认证过程
(1)认证的准备。
在认证之前,认证方与被认证方都要进行相应的准备活动。被认证方需要按照BS7799-2:2002建立信息安全管理体系,在确认满足认证基本条件的情况下,被认证方向认证机构递交正式申请;认证机构对认证方的申请资料进行初步检查,确定是否受理申请。如受理申请;认证机构对认证方的申请资料进行初步检查,确定是否受理申请。如受理申请,认证机构将评估认证费用和正式审核时间。
组织可以寻求认证的类型。要么整个组织,包括所有的信息设施,信息系统和服务,要么只是其中特定的信息系统。
组织要为认证做的准备工作包括以下各项:
①文件化的信息安全方针,策略,程序,适用性声明及其他文件;
②确定ISMS范围,以及此范围内的组织结构,人员组成,业务场所的数目,功能,信息安全的应用,业务特性,风险程序等相关材料;
③已建立适当的安全组织和必要的基础设施,与信息安全相关的员工已落实明确的安全责任的相关说明资料;
④ISMS范围内业务体系的描述,与外界的接口;
⑤法律,法规,合同的附加条款;
⑥采用了有效的风险评估和风险管理办法,对所有信息系统进行了风险评估;
⑦根据BS7799的标准要求,建立了有效文件,将所有类型的安全风险和BS7799控制联系起来,并成功地选择了安全控制目标与控制措施;
⑧组织适当的风险接受的处理程序;
⑨文件化的信息安全检查列表,可以证明安全控制正式被正确地、有效地实施,并经过了相关测试;
⑩文件化的安全维护和管理的过程;
[11]文件化的体系审核和管理评审报告。
(2)认证的实施。
第一阶段——文件审核与初访。第一阶段主要是从总体上了解受审核方ISMS的基本情况,确认受审核方是否具备认证审核条件,为第二阶段的审核策划提供依据。审核的重点在于审核ISMS文件是否符合BS7799标准的要求。了解受审方的活动,产品或服务的全过程,判断风险评估与风险管理状况,并对受审方ISMS的策划及内审情况等进行初步审查。
第二阶段——全面审核与评价。第二阶段审核是对信息安全管理体系的全面审核与评价,目的是验证组织的信息安全管理体系是否按照认证标准与组织体系文件要求予以有效实施,组织的安全风险是否被控制在组织可以接受的水平内,根据审核发现对组织的信息安全管理体系运行状况是否符合标准与文件规定做出判断,并据此对受审核方能否通过信息安全管理体系认证做出结论。
(3)认证证书与认证标志。
组织采取了必要的纠正措施之后,并由认证机构验证通过,认证机构将为组织颁发ISMS证书,证书包括下述内容:
关于认证组织的信息;
适用性声明和特定版本的描述;
关于信息安全系统满足BS7799认证的声明;
证书开始生效时间;
证书号。
只有认证机构认可了组织的认证范围,才能在证书上显示认可标志。
(4)维持认证。
审核和证书颁发并不代表认证的结束。认证机构将继续监控ISMS符合标准的情况,通过执行每年至少一次的监督审核。审核时间约为初始审核时间的1/3,认证的有效期一般为3年,3年之后,系统需要认证机构重新进行审核。
“思考题”
1.什么是风险和风险管理?
2.简述电子商务的风险管理与控制。
3.信息安全管理体系是什么?
4.安全管理的PDCA模型构成。
5.安全管理体系的建立过程是什么?
6.如何保持信息安全管理体系的持续有效?
7.说明安全管理体系的评审与认证。