信息安全管理

1信息安全管理是什么
2信息安全管理的范围

3信息安全管理的主要内容
4信息安全管理体系

5信息安全管理模型
6信息安全管理体系的构建

信息安全管理是什么

信息安全管理就是通过合理的规划、组织和协调，综合运用信息技术手段和管理手段，以达成信息安全目标的实现。其中，人、管理和技术是影响企业信息安全的三大要素，三者缺一不可，单方面的依靠人、技术或者管理，根本无法有效保护企业的信息安全。企业必须全方位综合考虑，综合运用物理控制措施、信息安全技术控制措施和人员控制措施(管理制度等)，使三者形成有机的结合，从而实现对三大因素的有效管控。只有这样才能够最大限度的降低企业所面临的信息安全风险，促进企业业务战略的发展。

信息安全管理的范围

关于信息安全管理的范围，国际标准化组织IS0/IEC认为，信息安全管理包括以下几个方面：信息安全管理策略的制定和评价、信息安全管理组织、人员和培训工作、信息系统安全管理、信息系统访问权限控制、软件开发与维护的安全控制、信息资产的安全管理、物理和环境安全、业务规划和信息安全法律法规等。该范围的界定受到大多数企业的认可和借鉴，并根据自身的实际情况对不同方面的内容实施选择并建立相应的安全控制措施。

信息安全管理的主要内容

(1)设施的安全管理

设施的安全管理包括网络的安全管理、保密设备的安全管理、硬件设施的安全管理、场地的安全管理等。

①管理网络的安全管理。信息管理网络是一个用于收集、传输、处理和存储有关信息系统与网络的维护、运行和管理信息的、高度自动化网络化的综合管理系统。它包括性能管理、配置管理、故障管理、计费管理、安全管理等功能。而安全管理又包括系统的安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。

②硬件设施的安全管理。对硬件设施的安全管理主要考虑配置管理、使用管理、维修管理、存储管理、网络连接管理。常见的网络设备需要防止电磁辐射、电磁泄漏和自然老化。对集线器、交换机、网关设备或路由器，还需防止受到拒绝服务、访问控制、后门缺陷等威胁。对传输介质还需防止电磁干扰、搭线窃听和人为破坏，对卫星信道、微波接力信道等需防止对信道的窃听及人为破坏。

③保密设备主要包括保密性能指标的管理、工作状态的管理、保密设备类型、数量、分配、使用者状况的管理、密钥的管理。场地设施的安全管理。

④场地设施的安全管理需要满足防水、防火、防静电、防雷击、防辐射、防盗窃等国家标准。人员出入控制，需要根据安全等级和涉密范围，采取必要的技术与行政措施，对人员进入和退出的时间及进入理由进行登记等。电磁辐射防护，需要根据技术上的可行性与经济上的合理性，采取设备防护、建筑物防护、区域性防护、磁场防护。

(2)运行的安全管理

信息系统和网络在运行中的安全状态也是需要考虑的问题，目前常常关注安全审计和安全恢复两个安全管理问题。

①安全审计。安全审计是指对系统或网络运行中有关安全的情况和事件进行记录、分析并采取相应措施的管理活动。目前主要对操作系统及各种关键应用软件进行审计。安全审计工作应该由各级安全机构负责实施管理，安全审计可以采用人工、半自动或自动智能三种方式。人工审计一般通过审计员查看、分析、处理审计记录；半自动审计一般由计算机自动分析处理，再有审计员作出决策和处理；自动智能审计一般由计算机完成分析处理，并借助专家系统作出判断，更能满足不同应用环境的需求。

②安全恢复。安全恢复是指网络和信息系统在收到灾难性打击或破坏时，为使网络和信息系统迅速恢复正常，并使损失降低到最小而进行的一系列活动。安全恢复的管理主要包括安全恢复策略的确立、安全恢复计划的制定、安全恢复计划的测试和维护、安全恢复计划的执行。

(3)信息安全风险管理

信息安全管理是一个过程，而不是一个产品，其本质是风险管理。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。信息安全风险管理是为保护信息及其相关资产，指导和控制一个组织相关信息安全风险的协调活动。我国《信息安全风险管理指南》指出，信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询六个方面，其中前四项是信息安全风险管理的四个基本步骤，监控与审查和沟通与咨询则贯穿于前四个步骤中。

(4)信息的安全管理

根据信息化建设发展的需要，信息包括三个层次的内容:一是在网络和系统中被采集、传输、处理和存储的对象，如技术文档、存储介质、各种信息等；二是指使用的各种软件；三是安全管理手段的密钥和口令等信息。软件设施的安全管理。对软件设施的安全管理主要考虑配置管理、使用和维护管理、开发管理、病毒管理。软件设施主要包括操作系统、数据库系统、应用软件、网络管理软件以及网络协议等。操作系统是整个计算机系统的基石，由于它的安全等级不高，需要提供不同安全等级的保护。对数据库系统，需要加强数据库的安全性，并采用加密技术对数据库中的敏感数据加密。目前使用最广泛的网络通信协议是TCP/IP协议。由于存在许多安全设计缺陷，常常面临许多威胁。网络管理软件是安全管理的重要组成部分，常用的有:HP公司的OpenView，IBM公司的NetView，SUN公司的NetManager等，也需要额外的安全措施。

存储介质的安全管理。存储介质包括:纸介质、磁盘、光盘、磁带、录音/录像带等，它们的安全对信息系统的恢复、信息的保密、防病毒起着十分关键的作用。对不同类别的存储介质，安全管理要求也不尽相同。对存储介质的安全管理主要考虑存储管理、使用管理、复制和销毁管理、涉密介质的安全管理。技术文档的安全管理。技术文档是系统或网络在设计、开发、运行和维护中所有技术问题的文字描述。技术文档按其内容的涉密程度进行分级管理，一般分为绝密级、机密级.秘密级和公开级。对技术文档的安全管理主要考虑文档的使用、备份、借阅、销毁等方面，需要建立严格的管理制度和相关负责人。

密钥和口令的安全管理。密钥是加密解密算法的关键，密钥管理就是对密钥的生成、检验、分配、保存、使用、注入、更换和销毁等过程所进行的管理。口令是进行设备管理的一种有效手段，对口令的产生、传送、使用、存储、更换均需要有效的管理和控制^[1]。

信息安全管理体系

20世纪90年代末，管理体系的思想和方法率先在英国的信息安全领域得到了蓬勃的发展，1995年，英国标准协会首次提出和编制完成了全球首份信息安全管理体系标准BS7799，该标准包括BS7799.1《信息安全管理实施规则》和BS7799.2《信息安全管理体系规范》两个部分的内容。

在国家标准GB/T29246.2017《信息技术安全技术信息安全管理体系概述和词汇》中，将信息安全管理体系定义为：组织为了保护其信息资产，通过统一管控的形式，构建、实施、运行、监督评审、持续改进组织信息安全来实现组织业务目标的系统性方法。包括信息安全管理政策、相关流程制度、操作指引和相关支持资源及管理活动等内容

2005年，国际标准化组织在充分吸收与借鉴BS7799.2《信息安全管理体系规范》的基础上，形成了目前国际上流行的信息安全管理体系标准族：ISO/IEC27000，其中，ISO/IEC27001《信息安全管理体系要求》是该族标准中的一般性要求，涵盖了人员、设备、信息、流程和环境五个方面及信息安全策略、信息安全组织、信息安全事件管理、信息安全业务连续性管理和法律法规符合性等14大项的内容。

ISOfiEC27000系列是一个不断更新的ISO/IEC标准清单，目前已经发布并实施了30多项相关标准，涵盖了信息安全管理的不同层面。企业通过获得ISOfiEC27001认证，可以获得来自于第三方的认可，第三方根据ISOfiEC27001制定的信息安全管理体系要求对组织进行评估，证明组织符合该体系的相关要求，这有助于提升相关方(客户或供应商)对组织信息安全管理能力的信任程度。同时，对于组织自身来讲，通过实施ISOfiEC27001建设信息安全管理体系，有助于组织规范员工的信息安全工作行为，降低组织的信息安全风险等级，提升组织的业务连续性管理意识，使组织能够预防和避免因信息安全事件而造成损失。

信息安全管理模型

信息安全管理模型是企业实施信息安全管理的一种抽象化的描述，是企业构建信息安全管理体系的框架依据。随着信息技术的不断发展，国内外学者通过对相关理论、技术和标准的研究，发展出了不同形态的信息安全管理模型，例如：OSI、PDR、IATF、WPDRRC等。

(1)OSI安全结构是国际标准化组织(ISO)通过对开放系统互连环境安全性的研究，基于OSI七层模型进行扩展而形成，包括五类安全服务、八类安全机制和三大安全管理

(2)PDR安全防护体系是由美国的ISS公司提出的一种展示积极安全防御意识的网络安全模型，它主要是引导公司的安全管理人员从信息安全技术的视角，通过防护、检测和响应三个层面对信息安全进行防护。随后又衍生出了PPDR、PDRR、等信息安全管理模型

(3)IATF是美国国家安全局的信息安全专家从技术、管理、策略、工程、运维等影响信息安全的因素出发，建立的一个信息安全框架模型，它对信息安全保障体系进行了较为全面描述。同时，该模型还首次阐述了人、技术和运营在信息安全管理中的重要作用

(4)WPDRRC信息安全管理模式是我国“863”信息安全专家根据当时我国信息化发展现状提出的一种信息安全管理模式，它包括六个过程(预警、保护、检测、响应、恢复和反击)和三个因素(人员、策略和技术)，针对企业的实际工作环境和业务需求，通过集成管理、技术等优势建立信息安全管理体系。企业应结合自身的实际业务需求和信息安全的实际需要，来选择适合企业自身的信息安全管理架构模型，系统的、全面的提升企业信息安全^[2]。

信息安全管理体系的构建

信息安全管理体系ISO/IEC27001一共分为两个部分，一个是信息安全管理实施的原则，另一个是信息安全管理体系的规范。其中信息安全管理体系规范的主导思想，是通过建立并实施信息安全管理体系规范，使企业的信息安全风险控制在可接受的范围之内，保证业务的可持续性运行，同时以文件化的形式阐述哪些是企业内部受保护的资产，其对应的风险管理方法以及风险控制程度。基于ISO/IEC27001的标准描述，信息安全管理体系的构建，主要由下面的几个方面组成：

(1) 信息安全管理前期的准备工作：深入了解当前组织机构的运营情况，公司背景，以及相关信息系统的实际构成情况；在组织或公司的领导授权下，设立专门的信息安全管理调查小组，基于组织的人员工作安排，合理的制定信息安全管理体系构建计划。

(2) 风险评估：在信息安全管理体系构建计划的框架下，制定符合实际情况的信息安全风险评估计划。通过发放回收调查问卷，工作人员面谈等形式，收集并整理组织或公司的资产相关信息，识别相关资产，并对其威胁和脆弱性进行风险评估。

(3) 风险分析：在相关资产风险评估的基础上，进行各个资产风险值的结果判定，确认风险等级对应的控制范围。

(4) 风险控制和信息安全体系建设：基于风险分析的结果，确认风险控制的范围；在对应范围的基础上，构建信息安全体系建设的基准，比对并修订当前的信息安全管理标准，提出并构建新的信息安全管理框架。

(5) 内审机制：设立组织内部专门的内审部门，审查组织或公司信息安全管理存在的隐患和漏洞，并提出相应的改善建议和方案。

(6) 外审机制：联合外部专门的审查机构，进行定期外部审查，评价组织或公司当前的信息安全管理体系水平，针对性的基于现存信息安全管理问题提出专业性的意见和建议。

(7) 持续改进计划：制定信息安全管理体系的持续改进方针和计划，审查现存问题和可以改进提高的点，提出可持续性的、可实现的改进计划。

参考资料：

[1]李留英，夏婷婷.信息安全管理及平台研究[J.数字图书馆论坛，2009，9

[2]李增荣.W公司信息安全管理体系建设研究[D].山东:山东大学，2021.

工信安全：2019-2020年度工业信息安全形势分析（21页）.pdf

SeeData：网络信息安全行业专题报告(27页).pdf