信息安全管理体系的文件化
科飞管理咨询有限公司 吴昌伦 王毅刚
文件化管理模式为当前管理体系所普遍采用。这种模式主张,在管理某项工作或活动时,应建立和实施程序,程序的执行需要保留可追溯的记录。文件可以沟通意图,统一行动。通过文件落实责任、加强相关接口协调、提高工作的系统性和可追溯性,避免推诿扯皮,避免依赖经验、习惯和长官意志,避免无章可依,随意为之。
BS 7799-2:2002作为建立和维持信息安全管理体系的标准,要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。体系一旦建立,组织应按体系规定的要求进行运作,保持体系运作的有效性。同时,应适当形成文件,即组织应建立并保持一个文件化的信息安全管理体系,其中阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
文件的编写
编写信息安全管理体系文件是组织建立信息安全管理体系的重要基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的过程。
在正式编写文件之前,应根据标准对文件化的要求、标准对文件化程序的要求及信息安全管理体系策划的结果,列出信息安全管理体系文件清单,不同层次的文件之间应保持衔接与协调一致。
在编写文件时,力求文件清晰描述安全控制或管理的责任及相关活动,能够回答5W1H六个问题:目的与范围(Why)、做什么(What)、谁来做(Who)、何时(When)、何地(Where)以及如何做(How)。回答这些问题一般不涉及技术性细节,并力求文件符合组织业务运作与安全控制的实际,具有可操作性,避免脱离实际而得不到贯彻执行。最好应该有文件编写小组或专门负责人员,协调各部门的文件编写进
度和内容把关,确保每个程序之间有必要的衔接,避免出现相互矛盾和责任真空。另外,在能够实现安全控制的前提下,文件的数量和每个程序的篇幅越少越好。
文件编写后可能需要经过多次的修改与完善;在正式发布实施之前,要对文件进行审核,确保符合标准与组织的实际;文件经过管理者批准后予以实施。在文件实施的过程中仍可对文件进行修订,但更改应按照文件控制程序所规定的方法进行。组织应保证员工在需要时可以获得这样的文件。
体系文件的格式和存储媒体,标准没有具体要求,笔者认为只要组织容易接受的方式就是好的方式。应保证体系文件能够引起足够重视,在工作场合便于检索、查询、学习,能够方便地进行标准所要求的控制即可。
文件的控制
文件(包括记录)也是组织的信息资产,BS 7799-2对保护体系文件进行了规范,要求组织建立文件化的程序来保证一下控制得到实施:
a) 文件发布前得到批准,以确保文件是充分的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用中可获得有关版本的适用文件;
e) 确保文件保持清晰、易于识别;
f) 确保外来文件得到识别;
g) 确保文件的分发得到适当的控制;
h)防止作废文件的非预期使用,无论因为何种目的,如果需要保存作废的文件,应对这些文件进行适当的标识。
文件发布前的批准和更新后的再批准可以保证文件的“合法”地位,而且管理者从全局的角度来审视该文件,可以保证其充分性、可行性;管理层人员对文件的签署还可以提高文件的重视程度,便于文件的推行。
文件的评审可以保证文件的持续适宜性和充分性。通常在下列时机应该进行文件评审:
a) 信息安全管理体系发生重大变化时;
b) 信息安全管理体系标准发生重大变化时;
c) 公司组织结构发生重大变化时;
d) 信息系统发生较大变化,运作流程发生重大变化时;
e) 重大安全事件发生后或者特定安全事件频繁发生时。
内部文件版本的控制和外来文件的控制,可以保证文件使用者能够及时获得适当版本的文件,避免由于使用过期文件造成工作失误。对于纸面文件,通常的做法是在发放新文件时,同时收回旧版本的文件;同一版本内文件的更改,可以通过在首页安排《更改记录表》清楚标识。对于电子文件需要根据组织具体的发布渠道和方式,采用适合组织实际情况的方法来控制,只要能够达到标准关于文件的控制要求即可。
对于记录这种特殊的文件,标准要求应清晰易读、清楚标识,应以便于检索的方式保存和维护,并防止损坏、变质和丢失。如长期保存的记录应存放于一个适宜的环境,防止因虫蛀等原因造成记录的不可用和不完整;电子媒体的记录应进行备份。记录的保存应符合有关法律法规的要求,例如会计数据、证券交易记录数据等都有相关的法律法规要求。
文件的贯彻实施
信息安全管理体系文件的发布,仅是信息安全管理体系得以运行的开端。此时,如何使这些文件贯彻到每个人在日常工作中去,成为信息安全管理人员的新课题。因为制定文件的目的不是为了束之高阁,也不是为了处罚员工(尽管处罚不可避免,但那也是为了维护体系的手段),而是为了使体系得以可靠的运行,使组织的信息安全风险处于受控的状态,所以该问题的关键是,如何把方针和文件准确传达到每一位相关人员的日常工作中去,这需要很多方法配合使用。
例如,前面提到文件要经管理层签署,可以保证文件的地位,引起足够重视;文件版本控制可以保证员工总是能够及时得到最新的版本;而要求员工在文件生效之前签署一个文本,声明收到该版本的文件,并已经详细阅读、理解了其中的条款且愿意遵守这些文件,这样可以引起员工的足够重视。
能力和意识的培训也是把程序传达下去的一种好方法。培训可以形象而有针对性的让相关人员很快对体系文件形成整体的认识和比较深刻的印象,这是公文方式往往很难达到的效果。而且培训也是体系文件编写者和使用者的一次沟通,可以发现体系文件中一些容易理解歧义的字句,可以发现一些可能不符合实际情况的问题。
内部审核是体系文件得以实施的保障,标准要求组织必须定期对体系进行审核,验证体系是否有效实施,及时发现问题及时解决。
背景:信息安全管理体系的文件组成
依据BS 7799-2,信息安全管理体系的文件至少应包括:信息安全方针和安全目标的文件化声明;信息安全管理手册;风险评估报告;风险处理计划;组织为确保其信息安全过程有效策划、运作和控制所需的文件;BS 7799-2所要求的记录;实施的控制概要,包括任何删减理由的详细描述。
BS 7799-2提示不同组织的信息安全管理体系文件可能会因为组织的规模、类型、复杂度和安全要求的不同有所不同。组织可以依据标准、相关法律、法规、组织现行的安全控制规章制度和其他相关管理体系文件来确定自己体系文件的规模和组织方式。
信息安全方针:是信息安全目标、指标的框架,为信息安全活动建立方向和原则。方针必须强调法律法规的要求,为信息安全管理过程建立战略性的、全组织的风险管理环境。信息安全方针应该获得最高管理层的批准,是最高管理层对信息安全的总目标和对持续改进信息安全管理绩效的承诺。
信息安全管理手册:是组织信息安全管理体系的纲领性文件,是对组织的信息安全管理框架的综述,阐明一个组织的信息安全方针并描述其信息安全管理体系的文件。信息安全管理手册对组织全体员工来说是法规性文件,必须严格遵照执行。标准要求信息安全管理手册包括以下内容:信息安全管理体系的范围;支持信息安全管理体系的过程;为信息安全管理体系编制的程序文件,或对其引用;
风险评估报告:是风险评估的结论性报告,应该表述组织信息资产所面临的威胁、这些威胁能够利用的薄弱点以及由此而产生的风险的大小优先等级。
风险处理计划:是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是组织安全风险和控制措施的接口性文档。为了管理和审核的方便,这个计划通常还会罗列已经采取的控制措施。
组织为确保其信息安全过程有效策划、运作和控制所需的文件:这部分文件在其他管理体系中一般叫程序文件和作业指导性文件,是规定如何完成某项活动的方法的文件。程序文件合作业指导性文件在内容的范围上有一点细微的区别,程序文件通常是用来协调多个部门共同完成一项任务,而作业指导性
文件通常用来指导个别岗位或部门内的活动。
记录:在管理体系中一般把记录作为一种特殊的文件来看待,是表述达到的结果或者提供活动完成的客观证据,是管理体系持续改进的见证人。标准要求记录应该体现信息安全管理体系全部过程的业绩,以及发生的、与ISMS相关的所有安全事故。在不违反法律法规和标准的要求前提下,组织可以根据自身对记录的需求和记录缺乏带来的风险决定记录的内容和详略。
控制概要:是组织所选择的控制的一个列表,为了方便查阅和审核,通常按照BS 7799附录A《控制目标与控制方式》的章节序号来组织,对于不适合组织的条款要予以说明。控制概要可以作为安全控制的证明提供给合作伙伴或者其他利益相关方,提高组织的信息安全保证信誉,也可以作为和高层管理者、普通员沟通安全方法的桥梁。