HIT专家网
来源:HIT专家网 编辑:小 虫
作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。
信息安全管理的体系化要求
信息安全管理工作种类繁多,涉及到组织的方方面面,不同部门、不同人员之间需要协调,而且必须尽心尽力才能共同实现组织的安全目标。
但现实情况是,大量组织的不同部门之间缺乏沟通,协调不畅,甚至工作内容还存在矛盾的地方,出现信息安全事件时,互相推诿责任,这些都致使信息安全管理工作效率低下,信息安全技术和管理存在漏洞,信息安全事件频频出现,不可避免地对正常业务的开展带来影响,甚至是毁灭性的影响。
要做好信息安全工作,提升组织的信息安全防护能力,达到预期目标,必须理顺各项安全工作之间的关系,将各种资源的利用率最大化,确保信息安全管理工作有序开展,持续改进信息安全水平,满足各方信息安全要求,信息安全管理工作必须与其他领域的管理活动一样,采用体系化的方法来实施。
实际上,信息安全管理体系(ISMS)早就将体系化方法应用到了信息安全管理工作中。ISO/IEC 27001:2005,《信息安全管理体系要求》,提出了信息安全管理体系化的方法,利用过程方法和PDCA模型开展信息安全管理的各项工作,在整个过程中,规定了管理职责、资源管理、持续改进等多方面的要求,完全从体系化的角度,对信息安全管理工作加以规范,如图1所示。
图1 信息安全管理体系示意图
在信息安全管理体系中,充分利用了PDCA模型,将整个体系的建设划分成了四个阶段:建立、实施和运行、监视和评审、保持和改进,对应PDCA的四个环节。
体系化管理的一个突出的特点是持续改进,一方面持续满足原有要求,另一方面也要做到满足新的要求。这就需要不断对管理活动进行检查,发现问题及时采取纠正措施,从而实现持续的改进。
信息安全等级保护的体系化需求
信息安全等级保护工作涉及众多过程,例如定级备案、建设改建、等级测评、自查、检查等。无论是等级保护主管部门的规划,还是信息系统运营、使用单位的落实,虽然在相关政策和标准中,没有明确说明,但其实都体现了部分体系化要素,最明显的就是过程方法和PDCA模型。
从整体来看等级保护的工作,也体现出了PDCA模型的持续循环机制。定级阶段作为整个等级保护工作的先决条件,定级之后便可开展系统的建设和整改,其中包含系统的规划和设计,即P(规划)阶段的内容,还包含规划工作的具体实施,以及系统的运行,即D(实施)阶段的内容。而后实施的测评、自查和检查等活动都可作为C(检查)阶段的工作内容,对于发现的问题,需要及时整改,即A(处置)阶段的工作内容。
从实践中看,这些方法在信息安全等级保护工作过程中都得到了充分的运用,但过程方法和PDCA模型并不是体系化管理方法的全部内容,还有诸如资源管理、管理职责等要素。ISO 27001在信息安全管理体系中,充分运用了体系化方法,也取得了良好的效果,因此,等级保护工作可以借鉴信息安全管理体系的思路,完善体系化要素在工作中的体现,运用体系化管理方法来实施等级保护工作。
等级保护的各项工作应谨慎的加以规划、实施,通过测评、自查等手段实现系统改进,确保满足相关标准和制度的要求,宜采用PDCA模型,对规划、实施、测评、改进等各项活动加以管理。
此外,等级保护工作的出发点在于对信息系统进行定级和分级保护,围绕着系统而实施一系列的保护活动。信息系统运营、使用单位可能会存在多个系统,尤其当系统处于不同级别的时候,不同系统之间接口的处理就会比较麻烦,需要在规划阶段谨慎规划。
从这个角度,信息安全等级保护工作更应该采用体系化的方法加以实施,首先定义等级保护工作的总体方针和目标,从组织整体业务的角度,利用过程方法梳理不同过程,甚至不同系统之间的联系,通过PDCA模型实现每个过程和等级保护整体工作的不断改进,在管理职责和资源管理方面采用定义清晰、职责明确的要求加以规范,从而确保等级保护工作的有序开展,实现等级保护工作的总体目标,持续满足国家相关要求。
评论前必须登录!
注册