基于ISMS和信息安全等级保护两个标准的信息安全项目设计方法
2018-02-06 11:41
806 查看
通过实施一次的信息安全建设项目,使得信息安全水平达到同时符合ISMS和等级安全保护两个管理标准的要求。
目录
1 获得批准并启动项目
2 建立信息安全方针
3 识别ISMS和等保的安全要求
4 进行安全风险评估及处置
5 规划设计
6 确定正式的项目计划
一、获得批准并启动项目
1、获得管理层支持
2、指定项目负责人及推进方式
管理层要承担最终责任,需要指定一个恰当的人促进或主要负责该项目。项目的推进方式包括内部人主导、咨询机构主导两种,各有利弊。
3、确定项目实施的初步范围
确定ISMS的关键事件及初步范围、确定实施等级保护的初步范围、整合ISMS与实施等级保护的初步范围。
(1)确定ISMS的初步范围
根据ISMS范围划定边界——定义责任边界;
根据ISMS范围划定边界——定义ICT边界;
根据ISMS范围划定边界——定义物理边界;
(2)确定等级保护的初步范围
参照GB/T 25058-2010 信息系统安全等级保护实施指南的5.2.1系统识别和描述活动提供的过程方法获得信息系统的总体描述性文件。
根据等级保护范围划定边界——定义责任边界;
根据等级保护范围划定边界——定义ICT边界;
根据等级保护范围划定边界——定义物理边界;
(3)整合ISMS和等保范围及边界概要文件
指导思想是:对比两个标准中对项目责任边界、ICT边界和物理边界的定义,调整并做到以ISMS的责任边界、ICT边界、物理边界分别都涵盖了等保的责任边界、ICT边界、物理边界。
经过整合后的项目范围和边界概要文件应包括以下信息:
描述组织特性的关键点(包括业务、结构和服务等关键问题);
系统概述;
网络拓扑;
设备部署及主要配置;
用户的范围和用户类型;
信息系统的管理框架;
业务过程列表;
对项目范围和边界整合中范围删减的合理性说明。
二、建立信息安全方针
ISMS对信息安全方针概念的定义是大于等级保护标准中的信息安全方针活动范围的。因此,建立一个符合ISMS要求的ISMS方针即可满足对方针文件的要求。
一般而方,ISMS方针包括以下几部分内容:
包括设定目标的框架和建立信息安全工作的总方向和总原则;
考虑业务和法律法规要求,以及合同中的安全义务;
在组织的战略性风险管理环境下,建立和保持ISMS;
建立风险评价的准则;
获得管理者批准。
三、识别ISMS和等保的安全要求
1、分析等级保护安全要求
创建信息系统清单:选择划分信息系统的方法、划分信息系统、详细描述信息系统(信息系统列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型);
信息系统安全保护定级:对拟确定为四级以上信息系统的,应邀请国家信息安全保护等级专家评审委员会评审,定级结果应形成定级报告;
根据等保级别确定安全要求
2、分析ISMS安全要求
参照《信息安全管理体系实施指南》中第四章的“建立组织安全要求”。
四、进行安全风险评估及处置
安全风险评估是实施信息安全项目的关键步骤!
安全风险评估及处置的时间顺序是:进程等保评估+风险评估-->选择控制目标和控制措施-->准备适用性声明SOA
1、进行等保评估
根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等保标准之间的差距,找出信息系统需要改进的基本安全保护需求。
主要包括以下子活动:
整理项目范围内各定级系统的详细情况;
为各定级系统确定评价指标,该指标的数量与定级的级别有直接关系;
准备测评文档和工具,等保测评工作是需要事先准备好测试文档的,即要根据测评对象和评价指标提前准备好测评表单,将每项测评结果记录在测评文档中,以利于追根索源。测评工具包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
制定测评方案,开发与被测系统相适应的测评内容及实施方法,充分识别测评过程中可能存在的风险,采取适当归避措施。
实施等保测评,通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的测评,将测评结果记录到准备好的测评文档中,并由被测方签字确认。
分析判断测评记录并编写等级保护测评报告,判断安全技术和安全管理的各个方面与评价指标的符合程度(符合、部分符合、不符合),对所有的部分符合项和不符合项进行风险分析,有问题无明显风险则不需整改。
2、进行ISMS风险评估
组织应做以下几方面的工作:
确定组织的风险评估方法;
识别风险;
分析和评价风险;
ISMS的风险评估方法包括以下活动内容:
识别威胁及其来源;
识别现有的和计划实施的控制措施;
识别可能被威胁利用的脆弱点,以及该脆弱点给资产或组织造成影响或损坏;
识别资产丧失CIA或其他安全要求可能造成的后果;
评估信息安全事故可能会导致预期或实际的业务影响;
评估事件发生的可能性;
估计的风险级别;
将获得的风险级别与风险评价准则和风险接受准则比较。
ISMS风险评估工作中应考虑以下风险或问题:
组织的业务目标
组织的安全目标
法律要求和规章制度
客户要求和现有合同
内部的主要条件(如,组织范围内的风险管理或IT基础设施)
(IT支持的)业务流程和任务
由于信息安全风险而造成对商业活动的全球性威胁;
当残余风险低于可接受风险级别时,管理者应检查和批准业务保持适当的风险。
根据风险评估的结果,评审ISMS的范围、边界定义和ISMS方针,并确定其适用性。根据风险评估结果编写风险评估报告。
3、整合等保测评和风险评估的结果
4、风险处理计划及控制措施
在ISMS中对风险评估确认的安全风险有4种处理方法:
风险减缓,采用适当的控制措施;
风险保持,在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险;
风险规避,避免风险;
风险转移,将相关业务风险转移动其他地方,如保险、供应商等;
等保标准对等保测评确认的安全问题只有一种处理办法,即风险规避(整改)。
风险处理计划
风险处理计划就是要确认风险处理方案和制定风险处理列表。
使用上述中的ISMS(或等保)处理安全风险的方法,针对存在的风险设计处理方案。编制风险处理列表,阐明各种风险与风险处理方案之间详细的关系。在降低风险的方案中风险列表应指定哪些控制目标与控制措施降低风险。
选择控制目标和控制措施
控制措施的选择应形成文件并编写于适用性声明(SOA)中。
根据风险处理计划选择风险控制目标和控制措施,ISMS和等保分别都提供了可参考的模板资料:
ISO/IEC 27001:2011的附录A控制目标和控制措施
GB/T 22239-2008的信息系统安全等级保护基本要求
如果在以上二者中没有适当的控制目标和控制措施,则可以自行创建另外的作为补充。
5、准备适用性声明(SOA)
适用性声明可以成为ISMS申请认证的重要依据之一,也可以作为等级保护的测评检查的重要依据。
ISMS适用性声明示例:
等级保护适用性声明示例:
五、规划设计
本阶段主要规划设计组织处理风险选择的控制目标和控制措施以及其他相关的内容。
包括规划设计管理类安全措施、技术类安全措施、物理安全措施、特定安全措施和设计管理体系要素,主要活动如下图所示。
(一)规划管理类安全措施
1、设计安全组织
要求与信息安全相关的组织职能、角色和责任应与风险处理相对应。
ISMS对安全组织的定义与设计上面比较模糊,等级保护则提供了相对清晰的安全组织要求,如下图所示:
2、设计文件体系
3、设计信息安全策略
4、开发安全制度及规程
(二)规划技术和物理安全措施
通过等保测评发现的技术安全风险需要通过设计、实施技术安全控制措施控制风险,不符合ISMS控制措施的项目也需要通过技术措施进行安全加固。
技术安全:涉及信息系统和网络安全,以及操作安全。
物理安全:涉及所有的访问控制、信息资产及其存储/保存的物理保护,以及安全控制措施本身的保护手段。
信息安全项目范围内的每一项控制措施的记录要求,至少要包括:
实施控制措施的负责人姓名
控制措施的优先级
实施控制措施的具体任务或活动
控制措施实施的时间点
一旦完成,需要报告给谁
所需要的资源(包括人力、费用和空间等)
技术和物理控制措施的设计方法:
概要设计部分
定义控制措施的目标;
分配资源(工作量及财务资源);
实施的时间目标;
控制措施的完整性分析;
详细设计部分
在操作层次设计每个选择的控制措施;
实例化每一个控制措施;
提高安全意识、安全培训课程或程序的相关控制规定;
在工作场所实施控制的相关规定;
(三)设计管理体系关键要素
这些要素是一个有效的完整管理体系中不可缺少的组成部分,包括:
文件规程
记录规程
管理者承诺
人员意识与培训
监视与测量(自控操作)
内部审核(内审,上级对下级)
管理评审(自控操作)
管理体系的持续改进
监视:检测运行过程中的错误、漏洞,及时发现信息安全事件,从而可以立即采取纠正措施。监视活动由专人负责,应正式、系统、广泛地应用。监视的目标涉及环境管理、介质管理、设备管理、监控管理、安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理。应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全项目进行集中管理。
审核:内审。有两个目的,一是发现各管理制度、操作手册等是否符合等保要求和组织管理要求;二是发现与SOA中控制措施不符合的项,找改进机会,保证控制措施得到了有效的应用。需确立内审周期,内审小组成员。审核一般需要出具审核报告。审核的内容包括信息安全工作的控制目标、控制措施、安全策略、过程和程序是否符合以下几项要求:
信息安全体系和法律法规要求;
已确定的信息安全要求;
得到有效实施和保持;
按预期执行;
对内审中发现不足或不符合项进行了改进处理。
管理评审:这是从制度层面提出的评审要求,要比内部审核高一个层次。管理评审制度应该包括以下的6方面内容。
评审小组,须由管理者主持。
管理评审周期,一般为一年。
评审内容:
安全管理制度体系的合理性和适用性;
信息安全管理体系的持续的适宜性、充分性和有效性;
信息安全管理体系改进的机会和变更的需要,包括信息安全方针和信息安全目标;
评审的输入;
评审的输出;
评审结果的要求。
六、确定正式的项目计划
将上述各步骤中讨论的主要活动做成正式的项目计划,建议结合项目管理专业知识,将项目计划以甘特图的形式表现出来。
参考:《ISO/IEC 27001与等级保护的整合应用指南》
目录
1 获得批准并启动项目
2 建立信息安全方针
3 识别ISMS和等保的安全要求
4 进行安全风险评估及处置
5 规划设计
6 确定正式的项目计划
一、获得批准并启动项目
1、获得管理层支持
2、指定项目负责人及推进方式
管理层要承担最终责任,需要指定一个恰当的人促进或主要负责该项目。项目的推进方式包括内部人主导、咨询机构主导两种,各有利弊。
3、确定项目实施的初步范围
确定ISMS的关键事件及初步范围、确定实施等级保护的初步范围、整合ISMS与实施等级保护的初步范围。
(1)确定ISMS的初步范围
根据ISMS范围划定边界——定义责任边界;
根据ISMS范围划定边界——定义ICT边界;
根据ISMS范围划定边界——定义物理边界;
(2)确定等级保护的初步范围
参照GB/T 25058-2010 信息系统安全等级保护实施指南的5.2.1系统识别和描述活动提供的过程方法获得信息系统的总体描述性文件。
根据等级保护范围划定边界——定义责任边界;
根据等级保护范围划定边界——定义ICT边界;
根据等级保护范围划定边界——定义物理边界;
(3)整合ISMS和等保范围及边界概要文件
指导思想是:对比两个标准中对项目责任边界、ICT边界和物理边界的定义,调整并做到以ISMS的责任边界、ICT边界、物理边界分别都涵盖了等保的责任边界、ICT边界、物理边界。
经过整合后的项目范围和边界概要文件应包括以下信息:
描述组织特性的关键点(包括业务、结构和服务等关键问题);
系统概述;
网络拓扑;
设备部署及主要配置;
用户的范围和用户类型;
信息系统的管理框架;
业务过程列表;
对项目范围和边界整合中范围删减的合理性说明。
二、建立信息安全方针
ISMS对信息安全方针概念的定义是大于等级保护标准中的信息安全方针活动范围的。因此,建立一个符合ISMS要求的ISMS方针即可满足对方针文件的要求。
一般而方,ISMS方针包括以下几部分内容:
包括设定目标的框架和建立信息安全工作的总方向和总原则;
考虑业务和法律法规要求,以及合同中的安全义务;
在组织的战略性风险管理环境下,建立和保持ISMS;
建立风险评价的准则;
获得管理者批准。
三、识别ISMS和等保的安全要求
1、分析等级保护安全要求
创建信息系统清单:选择划分信息系统的方法、划分信息系统、详细描述信息系统(信息系统列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型);
信息系统安全保护定级:对拟确定为四级以上信息系统的,应邀请国家信息安全保护等级专家评审委员会评审,定级结果应形成定级报告;
根据等保级别确定安全要求
2、分析ISMS安全要求
参照《信息安全管理体系实施指南》中第四章的“建立组织安全要求”。
四、进行安全风险评估及处置
安全风险评估是实施信息安全项目的关键步骤!
安全风险评估及处置的时间顺序是:进程等保评估+风险评估-->选择控制目标和控制措施-->准备适用性声明SOA
1、进行等保评估
根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等保标准之间的差距,找出信息系统需要改进的基本安全保护需求。
主要包括以下子活动:
整理项目范围内各定级系统的详细情况;
为各定级系统确定评价指标,该指标的数量与定级的级别有直接关系;
准备测评文档和工具,等保测评工作是需要事先准备好测试文档的,即要根据测评对象和评价指标提前准备好测评表单,将每项测评结果记录在测评文档中,以利于追根索源。测评工具包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
制定测评方案,开发与被测系统相适应的测评内容及实施方法,充分识别测评过程中可能存在的风险,采取适当归避措施。
实施等保测评,通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的测评,将测评结果记录到准备好的测评文档中,并由被测方签字确认。
分析判断测评记录并编写等级保护测评报告,判断安全技术和安全管理的各个方面与评价指标的符合程度(符合、部分符合、不符合),对所有的部分符合项和不符合项进行风险分析,有问题无明显风险则不需整改。
2、进行ISMS风险评估
组织应做以下几方面的工作:
确定组织的风险评估方法;
识别风险;
分析和评价风险;
ISMS的风险评估方法包括以下活动内容:
识别威胁及其来源;
识别现有的和计划实施的控制措施;
识别可能被威胁利用的脆弱点,以及该脆弱点给资产或组织造成影响或损坏;
识别资产丧失CIA或其他安全要求可能造成的后果;
评估信息安全事故可能会导致预期或实际的业务影响;
评估事件发生的可能性;
估计的风险级别;
将获得的风险级别与风险评价准则和风险接受准则比较。
ISMS风险评估工作中应考虑以下风险或问题:
组织的业务目标
组织的安全目标
法律要求和规章制度
客户要求和现有合同
内部的主要条件(如,组织范围内的风险管理或IT基础设施)
(IT支持的)业务流程和任务
由于信息安全风险而造成对商业活动的全球性威胁;
当残余风险低于可接受风险级别时,管理者应检查和批准业务保持适当的风险。
根据风险评估的结果,评审ISMS的范围、边界定义和ISMS方针,并确定其适用性。根据风险评估结果编写风险评估报告。
3、整合等保测评和风险评估的结果
4、风险处理计划及控制措施
在ISMS中对风险评估确认的安全风险有4种处理方法:
风险减缓,采用适当的控制措施;
风险保持,在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险;
风险规避,避免风险;
风险转移,将相关业务风险转移动其他地方,如保险、供应商等;
等保标准对等保测评确认的安全问题只有一种处理办法,即风险规避(整改)。
风险处理计划
风险处理计划就是要确认风险处理方案和制定风险处理列表。
使用上述中的ISMS(或等保)处理安全风险的方法,针对存在的风险设计处理方案。编制风险处理列表,阐明各种风险与风险处理方案之间详细的关系。在降低风险的方案中风险列表应指定哪些控制目标与控制措施降低风险。
选择控制目标和控制措施
控制措施的选择应形成文件并编写于适用性声明(SOA)中。
根据风险处理计划选择风险控制目标和控制措施,ISMS和等保分别都提供了可参考的模板资料:
ISO/IEC 27001:2011的附录A控制目标和控制措施
GB/T 22239-2008的信息系统安全等级保护基本要求
如果在以上二者中没有适当的控制目标和控制措施,则可以自行创建另外的作为补充。
5、准备适用性声明(SOA)
适用性声明可以成为ISMS申请认证的重要依据之一,也可以作为等级保护的测评检查的重要依据。
ISMS适用性声明示例:
等级保护适用性声明示例:
| 序号 | 要求名称 | 子项序号 | 核查要求 | 涉及文件和记录 或不选择的理由 |
| 7.2.5.2 | 资产管理 | a | 应编制并保存与信息系统相关的资产清单包括资产责任部门、重要程度和所处位置等内容。 | |
| b | 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。 |
本阶段主要规划设计组织处理风险选择的控制目标和控制措施以及其他相关的内容。
包括规划设计管理类安全措施、技术类安全措施、物理安全措施、特定安全措施和设计管理体系要素,主要活动如下图所示。
(一)规划管理类安全措施
1、设计安全组织
要求与信息安全相关的组织职能、角色和责任应与风险处理相对应。
ISMS对安全组织的定义与设计上面比较模糊,等级保护则提供了相对清晰的安全组织要求,如下图所示:
2、设计文件体系
3、设计信息安全策略
4、开发安全制度及规程
(二)规划技术和物理安全措施
通过等保测评发现的技术安全风险需要通过设计、实施技术安全控制措施控制风险,不符合ISMS控制措施的项目也需要通过技术措施进行安全加固。
技术安全:涉及信息系统和网络安全,以及操作安全。
物理安全:涉及所有的访问控制、信息资产及其存储/保存的物理保护,以及安全控制措施本身的保护手段。
信息安全项目范围内的每一项控制措施的记录要求,至少要包括:
实施控制措施的负责人姓名
控制措施的优先级
实施控制措施的具体任务或活动
控制措施实施的时间点
一旦完成,需要报告给谁
所需要的资源(包括人力、费用和空间等)
技术和物理控制措施的设计方法:
概要设计部分
定义控制措施的目标;
分配资源(工作量及财务资源);
实施的时间目标;
控制措施的完整性分析;
详细设计部分
在操作层次设计每个选择的控制措施;
实例化每一个控制措施;
提高安全意识、安全培训课程或程序的相关控制规定;
在工作场所实施控制的相关规定;
(三)设计管理体系关键要素
这些要素是一个有效的完整管理体系中不可缺少的组成部分,包括:
文件规程
记录规程
管理者承诺
人员意识与培训
监视与测量(自控操作)
内部审核(内审,上级对下级)
管理评审(自控操作)
管理体系的持续改进
监视:检测运行过程中的错误、漏洞,及时发现信息安全事件,从而可以立即采取纠正措施。监视活动由专人负责,应正式、系统、广泛地应用。监视的目标涉及环境管理、介质管理、设备管理、监控管理、安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理。应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全项目进行集中管理。
审核:内审。有两个目的,一是发现各管理制度、操作手册等是否符合等保要求和组织管理要求;二是发现与SOA中控制措施不符合的项,找改进机会,保证控制措施得到了有效的应用。需确立内审周期,内审小组成员。审核一般需要出具审核报告。审核的内容包括信息安全工作的控制目标、控制措施、安全策略、过程和程序是否符合以下几项要求:
信息安全体系和法律法规要求;
已确定的信息安全要求;
得到有效实施和保持;
按预期执行;
对内审中发现不足或不符合项进行了改进处理。
管理评审:这是从制度层面提出的评审要求,要比内部审核高一个层次。管理评审制度应该包括以下的6方面内容。
评审小组,须由管理者主持。
管理评审周期,一般为一年。
评审内容:
安全管理制度体系的合理性和适用性;
信息安全管理体系的持续的适宜性、充分性和有效性;
信息安全管理体系改进的机会和变更的需要,包括信息安全方针和信息安全目标;
评审的输入;
评审的输出;
评审结果的要求。
六、确定正式的项目计划
将上述各步骤中讨论的主要活动做成正式的项目计划,建议结合项目管理专业知识,将项目计划以甘特图的形式表现出来。
参考:《ISO/IEC 27001与等级保护的整合应用指南》
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ISMS信息安全体系与等级保护管理的四层文件架构设计
- 最新信息安全等级保护三级系统基线要求判分标准之应用安全
- 信息安全等级保护相关标准体系(合集)
- 最新信息安全等级保护三级系统基线要求判分标准之应用安全
- 国家信息安全等级保护标准介绍
- 浅谈信息安全等级保护与ISO27000系列标准的异同
- 堡垒主机在信息安全等级保护制度中的探究与应用
- 公安部发布信息安全等级保护整改工作的指导意见
- 堡垒主机在信息安全等级保护制度中的探究与应用
- 信息安全等级保护
- 安全保护项目: 一种分阶段的数据库基础架构保护方法 (第四阶段)
- 信息安全等级保护能否为你构建安全的信息网络环境
- 信息安全等级保护的思考
- 关于信息安全制度中等级保护与分级保护的异同
- 信息安全等级保护重在内网安全体系建设!
- 《系统工程——基于信息的设计方法》笔记
- 关于进一步推进中央企业信息安全等级保护工作的通知
- 关于2012年推动信息安全等级保护有关问题的通知
- 朱建平:等级保护评测是信息安全首要环节
- 安全保护项目: 一种分阶段的数据库基础架构保护方法 (第二阶段)