大云網論文資料論文范文正文

電力信息安全管理體系應用及發展研究

2013-11-27 15:47:53 智能電網知識庫網　點擊量：評論 (0)

摘要信息安全管理體系作為組織對信息安全工作實施管理的有效方法之一，在信息安全領域獲得了廣泛的應用。本文從信息安全管理體系的特點出發，基于風險管理和持續改進的思想，從實踐出發，提出了行之有效的實

，應用PDCA模型的信息安全管理體系建設過程如圖3所示。

圖3 應用PDCA模型的信息安全管理體系建設過程

2)實施安全風險評估和處理

安全風險評估和風險處理的實施，對于體系的建設和運行而言異常關鍵，在體系建設運行過程中，需要完成下列活動：

a) 確定信息安全風險評估方法;

b) 識別信息安全風險;

c) 分析和評價信息安全風險;

d) 識別和評價風險處理的可選措施;

e) 為處理風險選擇控制目標和控制措施;

f) 獲得管理者對建議的殘余風險的批準;

g) 實施風險處置計劃以達到已識別的控制目標;

h) 按照計劃的時間間隔進行風險評估的評審。信息安全風險管理流程如圖4所示。

圖4 信息安全管理過程

3)編制安全體系文件

信息安全管理體系是一個文件化的體系，所制定的所有安全策略應形成文件，應將為降低風險所選擇的控制措施以及之前已實施的控制措施形成體系文件，建立完善的信息安全管理制度體系，涵蓋安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、信息安全業務連續性管理、符合性等方面。

3 信息安全管理體系的最新發展

3.1 背景

目前存在多個管理體系標準，例如ISO 9001、ISO 14000、ISO 22000、ISO/IEC 27001等，其他諸如交通、社會安全、記錄管理、事件管理和能源等領域也正在開發管理體系標準。基于如此眾多的管理體系標準以及巨大的市場，國際標準化組織的技術委員會(TMB)意識到應找出一種協調不同管理體系實施的方法。TMB的聯合技術協調組/管理體系(JTCG/MS)承擔該項任務，將為任何一個管理體系開發一個統一架構和部分同一文本。

3.2 信息安全管理體系標準的修訂

正在修訂中的ISMS的要求標準ISO/IEC27001，將采用ISO/TMB/JTCG MSS的統一結構，將原來的架構做比較大的調整，并采用標準的文本，只是在信息安全方面做相應的擴充。

為適應新的ISO/TMB/JTCG MSS架構，ISO/IEC 27001原有架構和內容將有相應的調整，如圖5所示。

圖5 ISO/IEC 27001架構調整圖

信息安全管理體系的這種變化，從管理體系層面來看，有利于與其他管理體系的兼容實施，并保障不同管理體系之間的協調一致。但就信息安全管理體系本身而言，其原有的標準架構直接規范了體系的建設流程，按PDCA四個階段明確了各流程的活動，比較有利于體系建設方應用該標準。而新架構劃分了更多的環節與控制，這種架構將影響到原有用戶對體系的認識，從邏輯性和條理性方面，都將需要一定時間的學習，因此會一定程度上增大體系建設的難度。

3.3 信息安全控制域的變化

新版本的ISO/IEC 27001不僅從架構上做了調整，從內容，尤其是信息安全控制方面，也做了相應調整。

原有標準將信息安全控制域劃分為11個方面：安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、信息安全業務連續性管理、符合性。新標準將增加供應商關系管理、網絡應用服務管理兩個方面，控制域中的控制類也做了相應調整，例如將原來信息安全組織域中的對外部各方的管理，調整到新的供應商關系管理中。

體系在這方面的變化，也將影響到原有體系建設用戶，從整個文件體