生活哲学

建立 ISMS 系统和 ISO 27001 证书

博士 Trinh Ngoc Minh

如何获得安全可靠的信息技术(IT)系统? 如何证明我们的系统是可靠的? 这些是我在执行网络管理任务时担心的问题。 为了回答这个问题,我熟悉了许多不同的文档和文档,例如 ISMS、BS7799、ISO/IEC17799、ISO27001、ISO27002、.

和我一起阅读、理解和灌输这些文件真的很难,但我不确定我是否正确理解它们,还没有理解它们。到目前为止,我负责在我的单位实施ISMS系统。在这“乱七八糟”中,我试图去理解和“启蒙”一些东西,让画面变得更有条理。我写这些行来描述我的“调试”过程,希望它对像我这样的人有用。

信息安全管理体系,简称 ISMS,可以解释为在组织(业务,学校)以与组织的业务目标一致的方式确保组织的系统信息安全可靠。我认为上面的说法是准确的,但它非常抽象,ISMS存在很大的不确定性。剖析,解释上面的语句是下一节的基本内容。

构建ISMS系统& ISO 27001证书图1 企业存在的主要原因是企业开发资产(assets)。因此,可以说,财产是企业的基础。复杂的是,该物业现在非常丰富,并以多种不同的形式存在。可以区分不同资产的6种存在形式:

-数字信息
-文档文档
-软件
-硬件/物理
-人类
-附加服务

将资产分为6大类,我们可以更轻松地启动ISMS的构建,列出并评估业务的所有资产。

列出属性。这不是一件难事,因为我们可以根据硬件设备列表、软件列表文件的操作产生组织,人员列表,名称 组织使用的服务列表。例如:计算机和纸质合同、客户名单、小册子、代理人员名单。在一个完整的资产列表之后,我们可以限制部署的范围。 ISMS系统通过消除我们认为不需要建立保护系统的资产(至少在此期间)。例如,我们没有考虑对制冷系统、家具家具系统或设备维护部件的保护。剩余的资产集将是 ISMS 系统所有后续步骤的起点。

资产估值。 有了要考虑保护的资产清单,我们必须对其价值进行评估。如果我们认为资产价值等于成本,这是一项艰巨的任务,所以我们拥有它。但是,如果我们通过竞争对手想要的成本来考虑(并且我们需要考虑)资产的价值,如果我们丢失或泄露资产,这项工作就会变得更加困难。例如,网络连接图。我们花了几天时间与一些专家一起构建图表,因此可以计算出它的成本并且不会很大。但是如果我们把网络图暴露出来,我们会有什么后果呢?伤害是多少?通过这些妥协,我们将失去信誉,失去客户,对企业的损失有多大?如果我们推断“太长”,那么网络地图的成本可能会超过整体。劳斯莱斯必须买一个保险柜来保管它,只有导演签字才能打开。如果我们只考虑一个有 5 个公共日 * 的设计,那就太简单了,所以没关系。评估资产价值的难度恰到好处。这是构建 ISMS 要克服的第一个困难。从定量(多少)转换为定性(非常昂贵/昂贵/便宜。)是一种可以简化此估值的选择。顾问可以帮助我们在大多数其他组织中获得适度且可接受的评估,以供我们参考。

识别危害(威胁)。下一步是识别威胁(英文)。这里的想法是列出可能的对我们上面列出的资产的威胁和威胁。我们需要列出所有威胁,包括世界末日等非常遥远的威胁,以及更具体的危险,例如丢失密码、丢失笔记本电脑。因为大自然列举了所有威胁,没有考虑到它是否会在实践中发生或只是我们想象出来的,所以我选择从威胁翻译为威胁或威胁。

风险计算。所以我们手头有两件事,那就是资产清单及其价值和一系列危险。我们现在将列出每种资产的每种危害的“用尽”表格。对于每一对(财产、风险),我们需要对其实际发生方式进行评估。在科学术语中,危险的概率是用它在月份和年份中发生的次数来表示的。这是一个困难且非常技术性的审查。例如,我们有 10 名员工,每人有 2 个密码。那么年月密码泄露的可能性有多大呢?以我们组织的情况,一个月平均能暴露1个密码吗?我们的客户名单以及有关决策者和电话号码的信息,他们的财务能力,会不会每年公布一次?如果我们进行这些评估,那就太好了,因为我们可以量化安全不安全的所有风险。事实上,这并不简单,所以人们可以接受定性的、不准确的评价但更容易做到。例如,丢失密码的风险“高”,会泄露“低”能力员工的工资单。

伤害计算。如果我们把上面的步骤做好,那么评估安全损失的步骤对于算术运算来说只是一个很好的问题。如果我们今天继续维持组织的活动,我们可以用资产价值与损失的能力来评估一年内亏损的可能性。风险很大,资产价值很高(例如,将设计暴露给时装设计公司),有很多损害可以代表公司关闭的可能性。在本节中,我们没有现成的公式,我们可以并且需要建议如何满足组织的需求。另一个例子是:

损害=事故发生概率 + 事故后果 + 资产损失,其中公式的组成部分为了简单起见都被描述为第 3/2 点的“事故后果”/1 高/中/低。

有了可能的伤害计算结果,我们摆在面前的问题是:我们现在应该怎么做?

风险降低措施。面对损害评估的风险,我们可能有几种选择:

-接受 。如果风险成为现实,什么也不做,接受损失。

-最小化 。应采取措施将风险的可能性降至可接受的水平。这是我们开始构建 ISMS 时最流行的选项。

-远期风险 。想办法与其他合作伙伴分担这种风险。最常见的形式是购买保险,如果发生风险,保险机构会为我们分担损失。

降低风险的解决方案。 如果我们选择缓解选项,那么我们就有下一个问题,即通过什么措施来降低风险。这是技术人员必须参与的阶段。为了保护信息或与信息相关的资产,我们通常有几种措施:

-用防火墙、入侵检测、入侵防御、密码卡等专用设备构建保护系统一次。

-增加员工数量和/或质量。

-培训人员。

-制定流程、指南和表格供所有人遵守。

-确定明确的个人责任。当部分没有规定他或她负责时,每个人都失去责任的事实。因此,明确每项资产由谁负责,每项风险一旦发生,都是一项强制性任务,在ISMS体系建设中得到强调。

-建立后备体系,这样一旦出现最大的风险,我们就不会被“关闭”。

要实施这个阶段,我认为最好的顾问是ISO27002。这是最佳实践的集合,临时翻译是最佳行为,将信息安全风险降到最低。这是一套在现实中多处总结经验的解决方案、技巧提高 IT 系统的安全和保障水平。因此,我们可以参考、考虑和选择ISO27002的解决方案来申请我们的组织。

评估解决方案的成本并做出决定。 如上所述,提出风险缓解措施是一项技术性很强的工作。因此,实施它的成本是技术人员不太感兴趣或无法评估的东西。我们不要忘记,上述措施是为了保护财产。并且该属性具有一定的价值(通常是有限的)。

我们不能投资 10 盾来保护价值 5 越南盾的资产。如果你回答“也许”,那么我认为我们应该回到房产估值上来。也许它比我们认为的更重要,或者我们仍然缺乏一些东西?在这一步中,我们将不得不提出一个纯粹的经济问题,即投资多少以最小化损失。回答“这个计划在经济上是否正确?在降低了风险和价值可能会丢失之后,风险和损害仍然是组织可以接受的吗? ' 对于每个“否”的答案,我们必须审查上述所有步骤,审查选项和解决方案,以尽量减少其成本风险。在所有答案都是“是”之前,我们已经完成了构建 ISMS 系统的计划。

实施ISMS。 ISMS系统建设计划包括资产清单及其价值、风险和损失、选项和措施将风险和损失降至可接受的水平。对于组织而言,下一个任务是将计划付诸实践。该实施的具体活动是:

-重新设计,技术组件的额外投资。

-制定法规、流程、指南,尤其是培训和实施指南,以便组织的所有员工和官员都能掌握这些法规。这是一个非常重要的部分,因为我们必须在每个人的行为中改变我们的思维习惯。同时,全体成员,特别是组织领导,必须了解并严格执行机构的各项规定。这是决定因素。决定如果领导者不够关心,没有花足够的时间来构建 ISMS,最好的解决方案是在领导层的想法发生变化之前不做 ISMS。

如果我们去这里,我想我们有一个 ISMS 系统。这个系统的好坏,完善与否,很难肯定,也很难让我们的员工、合作伙伴、客户对这个ISMS系统产生信任。这是认证机构(Certification Body)进入的时候。他们将检查我们的 ISMS 系统,如果系统符合证书的要求,则会颁发该系统“符合标准”的证书。那么你认为他们会怎么做呢?

评估并颁发ISO27001证书。一般来说,认证的评估过程将由有能力的组织来完成。该组织不能是向我们提供有关 ISMS 的建议的组织,以避免“只是踢球和吹哨”的情况。评估过程通常包括两个基本阶段:

-评估文档以确保文档系统的充分性。换句话说,是否完成了“未完成但已完成”测试?

-在实践中评估以确保我们打算做的事情实际上已经完成。换句话说,有没有“做你写的”的测试?

我不进入这个测试过程(因为不知道),所以我只提一个想法在测试机构提供的认证方法中。在测试过程中,适用性声明 (SoA) 或实施条款起着重要作用。在 ISO27001 中,SoA 用“控制目标和控制”表示,目前 ISO27001 有 133 个 SoA。

考虑正常的学习和考试过程。为了测试我们在学习过程中掌握了多少知识,老师往往不强迫我们复述文档中描述的所学知识,而是让我们回答问题。这些问题是在我们学习的不同知识点下进行测试的最佳方式。

认证测试(即系统验证)最好通过SoA 条款进行。要求“资产所有权”的 SoA 示例是“与信息处理设施相关的所有信息和资产将归组织的指定部分所有”。需要临时翻译才能拥有财产。特别是,所有资产必须由个人/组织拥有。换句话说,必须有 be 没有财产,也没有人知道谁拥有它,谁对它负责。通过这个测试,可以说评估者很容易确定我们是否满意。使用 133 套测试规则,审查者可以放心,所有与信息安全相关的问题都经过审查。评估器不会被 ISMS 系统构建器的逻辑“扫过”,通过从属性派生的路径。如果我们的活动与控制条款无关,我们可以将其从评估范围中删除,前提是我们必须解释为什么要删除它。

结语。 建立ISMS体系以获得ISO27001证书以确保信息安全,安全和安全受到许多越南企业的关注。这是一个很好的信号,衡量了越南社会经济生活中信息技术应用的发展水平。希望我的演讲可以帮助您采取一种方法,一种思维方式来更好地理解重要问题,但对我们来说仍然是新事物-ISMS 和 ISO27001。

博士 Trinh Ngoc Minh 目前是西贡技术学院-SaigonCTT 的讲师。 有关文章交换的任何信息,请联系 info@saigonctt.com.vn

相关资讯

评论

回复