一. 信息安全手册的建立的意义
如果你看过GB版的ISO27001:2013信息安全管理体系要求,你一定会知道对于文件管理的要求:对文件进行格式、标识、和审批的要求。
那么,一般的,我们会按照如下格式进行:
- 一级手册:指导体系运行方针,年度目标,组织结构;
- 二级程序:说明体系中手册和各个控制措施的落实方法和流程;
- 三级规定或方法:规定实际工作当中业务实际运行的基本准则;
- 四级记录文件:二级程序到三级规定衍生的各类记录文件;
在知晓这个文档分级后,可能你还是不太明白,通俗一点来说:
一级手册像是国家宪法,规定我们法人组织对信息安全工作的指导思想和目标,
二级手册类似与对于宪法各个类别的细致要求和诠释,
三级规定或者方法是对业务实际运作的一个规定(看得见的,如规定办公区域不得携带移动存储设备),
四级文件是对于二级文件或三级文件的一个记录(如机房点检表)。
那么建立信息安全手册的意义就很明了了:
- 规定好需要哪位公司最有分量的负责人提供资源给信息安全体系工作的推动;
- 建立一个所有部门负责人参与的组织,由这个组织协助推动各个部门的信息安全工作开展;
- 建立信息安全方针,所谓方针其实很简单的,就是对于信息安全工作的指导思想,例如:积极预防,不断改进;这就是方针;
- 规定公司的信息安全目标,例如:如重大安全事件0次/年,严重安全事故1次/年,一般安全事故3次/年,轻微安全事故10次/年。
- 规定各个部门对于信息安全的目标,例如网络管理部门病毒入侵事件0次/年;
- 根据GB ISO IEC 27002-2013 信息技术-安全技术-信息安全控制实用规则的一个指导,去选择性的将信息安全的实际管理措施分摊到各个部门。
你可能看完有点懵,那我简化下:
- ISO27000 侧重于信息安全管理体系的建设,作为体系化的指导文件帮助企业建立、实施和文件化信息安全管理体系(ISMS)的要求。
- 大白话翻译下:侧重与管理团队和文件化制度实施的一个信息安全建设标准!
那有跟物理或者技术安全实施相关的标准吗?有:就是等级保护!
- 等保标准以备案系统为主要评估对象,偏向传统基础安全管理,侧重于物理安全、网络安全、安全建设管理等方面的安全保护。
再到专门对于数据安全的保护,也有标准:DSMM:
- DSMM 强调数据保护,以数据为中心,在数据备份、数据销毁等方面与等保和 ISO27000 有重合
- 但是 DSMM 关注的数据采集、溯源、分析等视角,等保和 ISO27000 均未涉及,DSMM 对制度流程的要求均建立在具体的数据保护过程之上,DSMM 还强调对人员能力的评估。
- DSMM 标准与等保一样有分级的概念,但关注的是数据整个生命周期的安全控制,与业务贴合更紧密。
二. 如何建立信息安全手册
很简单,你对着GB ISO IEC 27001-2013 信息技术 -安全技术-信息安全管理体系-要求,进行目录4-10章节原样照抄就好了。
是的,你没看错,信息安全管理手册的目录是强制性按照上述标准进行描述的,所有的控制措施是强制接受的。
那实际建立的过程?
- 首先直接照抄整个手册的目录,然后每个控制措施需要进行首次信息安全评审大会时提出,一个一个的去与各个部门负责人核对,当然,本文附件会带信息安全手册的示例稿件;
- 手册成型初稿后,一般会让法务、质量文档部门、信息安全管理部门审核,审核后内部通过批准就落实了。
- 什么?你问我怎么建立信息安全委员会?在首次信息安全评审大会前,你要跟老板说明建立信息安全委员会的必要性及为什么(让全体部门负责人参与进来,落实信息安全管理责任分摊)。
- 手册建立不起来,佛系就好了,等待建立契机
三. 信息安全控制措施的建立
什么是信息安全控制措施,举个例子(将工作电脑的可移动存储设备读取权限禁用),这就是控制措施。
那控制措施建立的依据是什么?
GB ISO IEC 27002-2013 信息技术-安全技术-信息安全控制实用规则(选择性进行控制措施就可以的,这个标准没有强制性要求接受所有标准),至于示例稿件,本文附带!
ISO IEC 27001-2013 信息技术 -安全技术-信息安全管理体系-要求 - v0.1.pdfISO IEC 27002-2013 信息技术-安全技术-信息安全控制实用规则 - 中文版.pdf信息安全手册建立目录参考表.xlsx信息安全手册通用稿.docx
最后,如果不是为了通过ISO27001的管理体系认证,内部实际管理体系建立把标准作为参考即可,生搬硬套不合适!
若有收获,就点个赞吧
0 人点赞
