北京市水務(wù)局信息安全管理體系建設(shè)的思考

北京市水務(wù)局信息安全管理體系建設(shè)的思考
　　
　　摘要
　　
　　從北京市水務(wù)局信息安全現(xiàn)狀入手，在充分理解BS7799標(biāo)準(zhǔn)的基礎(chǔ)上，闡述了信息安全管理體系(ISMS)建設(shè)的必要性，并重點(diǎn)論述了風(fēng)險(xiǎn)評(píng)佑在ISMS建設(shè)階段的重要性，同時(shí)時(shí)ISMS試運(yùn)行時(shí)需要關(guān)注的關(guān)鍵點(diǎn)進(jìn)行了思考和說明。
　　關(guān)鍵詞　信息安全管理體系(ISMS)風(fēng)險(xiǎn)評(píng)估ISMS試運(yùn)行
　　中圖分類號(hào)TP393.01文獻(xiàn)標(biāo)志碼B　文章編號(hào)1673-4637(2008)02-0049-04
　　
　　北京市水務(wù)局建立ISMS體系的必要性經(jīng)過多年建設(shè)，北京市水務(wù)局電子政務(wù)工程取得了長(zhǎng)足發(fā)展，目前已建設(shè)了水務(wù)信息平臺(tái)、水務(wù)決策信息服務(wù)平臺(tái)、項(xiàng)目管理系統(tǒng)等多個(gè)重要業(yè)務(wù)系統(tǒng)。
　　在信息安全技術(shù)上，已經(jīng)進(jìn)人了一個(gè)比較深人的階段，具備了一定的信息安全基礎(chǔ)。
　　(1)針對(duì)不同的業(yè)務(wù)功能，劃分了相應(yīng)的工作域，每個(gè)工作域具有不同的安全策略，形成了初步的分域保護(hù)，縱深防御策略。
……（新文秘網(wǎng)http://120pk.cn省略675字，正式會(huì)員可完整閱讀）……　
rmationTechnology)系統(tǒng)。ISMS模型一般被認(rèn)為是安全策略的正式陳述(formalpresentation),并由系統(tǒng)組織強(qiáng)制實(shí)施，用以檢驗(yàn)安全策略的完整性和一致性，它描述的是組織為貫徹實(shí)施安全策略而必須采取的所有安全機(jī)制的組合。它也遵循著一般性的循環(huán)模式.見圖toiI-}}1II:}N圖1ISMS模型市水務(wù)局通過ISMS體系建設(shè)，將會(huì)形成規(guī)范有序的信息安全工作流程和策略，健全信息安全管理制度，提高工作人員的安全意識(shí)和技能，能有效提高整體安全防護(hù)能力，對(duì)于保障汛期市水務(wù)局電子政務(wù)信息系統(tǒng)的持續(xù)可靠運(yùn)行具有重要意義。
　　2風(fēng)險(xiǎn)評(píng)估在ISMS建設(shè)中的重要性(ISMS)建設(shè)包括確定ISMS范圍和邊界、確定ISMS目標(biāo)和方針、確定風(fēng)險(xiǎn)評(píng)估方法、實(shí)施風(fēng)險(xiǎn)評(píng)估、制定風(fēng)險(xiǎn)處理計(jì)劃、編寫適用性聲明、編寫ISMS文件、制定ISIVIS實(shí)施計(jì)劃、實(shí)施ISMS等多個(gè)階段的多項(xiàng)工作。每個(gè)建設(shè)階段所涉及的工作都是必不可少的，都具有重要的意義。在此，僅重點(diǎn)闡述一下風(fēng)險(xiǎn)評(píng)估在ISMS建設(shè)中的重要性。
　　
　　2.1風(fēng)險(xiǎn)評(píng)估概念及過程
　　風(fēng)險(xiǎn)評(píng)估(RiskAssessment)是對(duì)一個(gè)組織的信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估作為風(fēng)險(xiǎn)管理的基礎(chǔ)，是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。
　　風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括以下5點(diǎn)。
　　(1)識(shí)別組織面臨的各種風(fēng)險(xiǎn)。
　　(2)評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響。
　　(3)確定組織承受風(fēng)險(xiǎn)的能力。
　　(4)確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)。
　　(5)推薦風(fēng)險(xiǎn)消減對(duì)策。
　　在風(fēng)險(xiǎn)評(píng)估過程中，有幾個(gè)關(guān)鍵的問題需要考慮。
　　首先，要確定保護(hù)的對(duì)象(或者資產(chǎn))是什么?它的直接和間接價(jià)值如何?其次，資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?第三，資產(chǎn)中存在的哪些弱點(diǎn)可能會(huì)被威脅利用?利用的容易程度又如何?第四，一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?最后，組織或單位應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程度?解決以上問題的過程，就是風(fēng)險(xiǎn)評(píng)估的過程。
　　這里需要注意，在談到風(fēng)險(xiǎn)管理的時(shí)候，我們經(jīng)常提到的還有風(fēng)險(xiǎn)分析(RiskAnalysis)這個(gè)概念。實(shí)際上，對(duì)于信息安全風(fēng)險(xiǎn)管理來說，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估基本上是同義的。當(dāng)然，如果細(xì)究起來，風(fēng)險(xiǎn)分析應(yīng)該是處理風(fēng)險(xiǎn)的總體戰(zhàn)略(它包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理兩個(gè)部分)，風(fēng)險(xiǎn)評(píng)估只是風(fēng)險(xiǎn)分析過程中的一項(xiàng)工作，即對(duì)可識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估，以確定其可能造成的危害。進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，我們有幾個(gè)對(duì)應(yīng)關(guān)系必須考慮。
　　(1)每項(xiàng)資產(chǎn)可能面臨多種威脅。
　　(2)威脅源可能不止一個(gè)。
　　(3)每種威脅可利用一個(gè)或多個(gè)弱點(diǎn)。
　　
　　2.2實(shí)施風(fēng)險(xiǎn)評(píng)估的重要性
　　風(fēng)險(xiǎn)評(píng)估本身是一個(gè)管理過程。我們都知道，管理過程是一個(gè)持續(xù)改進(jìn)的周期性往復(fù)循環(huán)過程，也就是一句話“沒有最好，只有更好”。所以雖然這套理論和方法不是100%嚴(yán)謹(jǐn)?shù)目茖W(xué)體系(也不可能100%嚴(yán)謹(jǐn)，畢竟涉及到統(tǒng)計(jì)或者概率，不確定性是客觀存在的)，但是不應(yīng)該否認(rèn)其重要價(jià)值和意義，尤其是做好風(fēng)險(xiǎn)評(píng)估對(duì)建立ISMS體系的重要性。風(fēng)險(xiǎn)評(píng)估是ISMS建立的基礎(chǔ)，是任何一個(gè)單位或組織平衡安全風(fēng)險(xiǎn)和安全投人的依據(jù)，被公認(rèn)為ISMS實(shí)施過程最關(guān)鍵和難以操作的環(huán)節(jié)，也是ISMS測(cè)量業(yè)績(jī)、發(fā)現(xiàn)改進(jìn)機(jī)會(huì)的最重要 ……（未完，全文共5395字，當(dāng)前僅顯示1894字，請(qǐng)閱讀下面提示信息。收藏《北京市水務(wù)局信息安全管理體系建設(shè)的思考》）