電力信息安全管理體系應用及發展研究

2013-11-27 15:47:53 智能電網知識庫網　點擊量：評論 (0)

摘要信息安全管理體系作為組織對信息安全工作實施管理的有效方法之一，在信息安全領域獲得了廣泛的應用。本文從信息安全管理體系的特點出發，基于風險管理和持續改進的思想，從實踐出發，提出了行之有效的實

摘要 信息安全管理體系作為組織對信息安全工作實施管理的有效方法之一，在信息安全領域獲得了廣泛的應用。本文從信息安全管理體系的特點出發，基于風險管理和持續改進的思想，從實踐出發，提出了行之有效的實施方法，此外，本文還跟蹤研究了信息安全管理體系的最新發展，介紹了信息安全管理體系在架構、內容等方面的重大變化，指出了這種變化對未來實施信息安全管理體系的影響。

1 引言

隨著信息技術的發展逐漸涌現眾多信息安全問題，例如病毒、漏洞、黑客、安全事件等，這些安全問題不斷對信息系統造成影響，進而對組織，甚至國家安全產生影響。如何解決信息安全問題也成為大家關注的焦點，防病毒、防火墻、入侵檢測等信息安全產品逐步在各組織得到了部署。眾所周知，技術和管理是相輔相成的，信息安全并不僅是技術過程，而是一個綜合防范的過程，信息安全管理是綜合防范過程中的一個重要部分，在信息安全保障工作中必須管理與技術并重，進行綜合防范，才能有效保障安全，這也是實現信息安全目標的必由之路。

信息安全管理體系(Information Security Management Systems, 簡稱ISMS)是管理體系方法在信息安全領域的運用，它可以從組織整體的角度來識別安全風險，通過采取相應的安全控制措施(既包括安全技術措施，也包括安全管理措施)，達到綜合防范、保障安全的目標。信息安全管理體系的概念已經跳出了傳統的“為了安全而安全”的理解，它強調的是基于業務風險方法來組織信息安全活動，其本身是組織整個管理體系的一部分。

2 信息安全管理體系方法及應用

2.1 信息安全管理體系的風險管理思想

風險管理是信息安全管理體系建設中的關鍵。風險管理包括風險評估和風險處理兩個階段，風險評估是信息安全管理體系建設中提出信息安全要求的關鍵依據，風險處理是解決信息安全問題，采取控制措施的指導規范。

1)風險管理是信息安全的基礎性工作

信息安全中的風險管理是傳統風險理論和方法在信息安全領域的運用，是科學分析和理解信息資產在保密性、完整性、可用性等方面所面臨風險，并針對重要風險作出接受、減緩、轉移和規避等控制方法的過程。

風險評估將導出信息資產的安全保護需求，因此，信息安全建設應以風險評估為起點，以控制安全風險，減少安全事件發生為目標。只有在正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在信息安全投資、信息安全措施選擇、信息安全保障體系建設等方面作出合理決策。持續的風險管理工作將成為檢查信息安全工作績效的有力手段，并為信息化項目的立項、投資、運行產生影響，促進組織信息化的進一步發展。

2)風險評估和處理在信息安全管理體系建設中的重要性

信息安全管理體系的建立需要首選確定信息安全需求，而信息安全風險評估獲取信息安全需求的主要手段，因此，信息安全風險評估是信息安全管理體系建立的基礎，沒有風險評估，信息安全管理體系的建立就沒有依據。而風險處理的過程則是信息安全管理體系實施與運行階段的重要內容，殘余風險的水平將直接影響體系的運行效果。

因此風險評估和風險處理是信息安全管理體系建設運行過程中最重要的活動之一，風險評估和風險處理所生成的兩個文件：風險評估報告和風險處理計劃，也是體系運行的重要證據之一。信息安全