博士 Trinh Ngoc Minh

如何获得安全可靠的信息技术(IT)系统？ 如何证明我们的系统是可靠的？ 这些是我在执行网络管理任务时担心的问题。 为了回答这个问题，我熟悉了许多不同的文档和文档，例如 ISMS、BS7799、ISO/IEC17799、ISO27001、ISO27002、.

和我一起阅读、理解和灌输这些文件真的很难，但我不确定我是否正确理解它们，还没有理解它们。到目前为止，我负责在我的单位实施ISMS系统。在这“乱七八糟”中，我试图去理解和“启蒙”一些东西，让画面变得更有条理。我写这些行来描述我的“调试”过程，希望它对像我这样的人有用。

信息安全管理体系，简称 ISMS，可以解释为在组织(业务，学校)以与组织的业务目标一致的方式确保组织的系统信息安全可靠。我认为上面的说法是准确的，但它非常抽象，ISMS存在很大的不确定性。剖析，解释上面的语句是下一节的基本内容。

企业存在的主要原因是企业开发资产(assets)。因此，可以说，财产是企业的基础。复杂的是，该物业现在非常丰富，并以多种不同的形式存在。可以区分不同资产的6种存在形式：

-数字信息
-文档文档
-软件
-硬件/物理
-人类
-附加服务

将资产分为6大类，我们可以更轻松地启动ISMS的构建，列出并评估业务的所有资产。

列出属性。这不是一件难事，因为我们可以根据硬件设备列表、软件列表文件的操作产生组织，人员列表，名称 组织使用的服务列表。例如：计算机和纸质合同、客户名单、小册子、代理人员名单。在一个完整的资产列表之后，我们可以限制部署的范围。 ISMS系统通过消除我们认为不需要建立保护系统的资产(至少在此期间)。例如，我们没有考虑对制冷系统、家具家具系统或设备维护部件的保护。剩余的资产集将是 ISMS 系统所有后续步骤的起点。

资产估值。 有了要考虑保护的资产清单，我们必须对其价值进行评估。如果我们认为资产价值等于成本，这是一项艰巨的任务，所以我们拥有它。但是，如果我们通过竞争对手想要的成本来考虑(并且我们需要考虑)资产的价值，如果我们丢失或泄露资产，这项工作就会变得更加困难。例如，网络连接图。我们花了几天时间与一些专家一起构建图表，因此可以计算出它的成本并且不会很大。但是如果我们把网络图暴露出来，我们会有什么后果呢？伤害是多少？通过这些妥协，我们将失去信誉，失去客户，对企业的损失有多大？如果我们推断“太长”，那么网络地图的成本可能会超过整体。劳斯莱斯必须买一个保险柜来保管它，只有导演签字才能打开。如果我们只考虑一个有 5 个公共日 * 的设计，那就太简单了，所以没关系。评估资产价值的难度恰到好处。这是构建 ISMS 要克服的第一个困难。从定量(多少)转换为定性(非常昂贵/昂贵/便宜。)是一种可以简化此估值的选择。顾问可以帮助我们在大多数其他组织中获得适度且可接受的评估，以供我们参考。

识别危害(威胁)。下一步是识别威胁(英文)。这里的想法是列出可能的对我们上面列出的资产的威胁和威胁。我们需要列出所有威胁，包括世界末日等非常遥远的威胁，以及更具体的危险，例如丢失密码、丢失笔记本电脑。因为大自然列举了所有威胁，没有考虑到它是否会在实践中发生或只是我们想象出来的，所以我选择从威胁翻译为威胁或威胁。

风险计算。所以我们手头有两件事，那就是资产清单及其价值和一系列危险。我们现在将列出每种资产的每种危害的“用尽”表格。对于每一对(财产、风险)，我们需要对其实际发生方式进行评估。在科学术语中，危险的概率是用它在月份和年份中发生的次数来表示的。这是一个困难且非常技术性的审查。例如，我们有 10 名员工，每人有 2 个密码。那么年月密码泄露的可能性有多大呢？以我们组织的情况，一个月平均能暴露1个密码吗？我们的客户名单以及有关决策者和电话号码的信息，他们的财务能力，会不会每年公布一次？如果我们进行这些评估，那就太好了，因为我们可以量化安全不安全的所有风险。事实上，这并不简单，所以人们可以接受定性的、不准确的评价但更容易做到。例如，丢失密码的风险“高”，会泄露“低”能力员工的工资单。

伤害计算。如果我们把上面的步骤做好，那么评估安全损失的步骤对于算术运算来说只是一个很好的问题。如果我们今天继续维持组织的活动，我们可以用资产价值与损失的能力来评估一年内亏损的可能性。风险很大，资产价值很高(例如，将设计暴露给时装设计公司)，有很多损害可以代表公司关闭的可能性。在本节中，我们没有现成的公式，我们可以并且需要建议如何满足组织的需求。另一个例子是：

损害=事故发生概率 + 事故后果 + 资产损失，其中公式的组成部分为了简单起见都被描述为第 3/2 点的“事故后果”/1 高/中/低。

有了可能的伤害计算结果，我们摆在面前的问题是：我们现在应该怎么做？

风险降低措施。面对损害评估的风险，我们可能有几种选择：

-接受 。如果风险成为现实，什么也不做，接受损失。

-最小化 。应采取措施将风险的可能性降至可接受的水平。这是我们开始构建 ISMS 时最流行的选项。

-远期风险 。想办法与其他合作伙伴分担这种风险。最常见的形式是购买保险，如果发生风险，保险机构会为我们分担损失。

降低风险的解决方案。 如果我们选择缓解选项，那么我们就有下一个问题，即通过什么措施来降低风险。这是技术人员必须参与的阶段。为了保护信息或与信息相关的资产，我们通常有几种措施：

-用防火墙、入侵检测、入侵防御、密码卡等专用设备构建保护系统一次。

-增加员工数量和/或质量。

-培训人员。

-制定流程、指南和表格供所有人遵守。

-确定明确的个人责任。当部分没有规定他或她负责时，每个人都失去责任的事实。因此，明确每项资产由谁负责，每项风险一旦发生，都是一项强制性任务，在ISMS体系建设中得到强调。

-建立后备体系，这样一旦出现最大的风险，我们就不会被“关闭”。

要实施这个阶段，我认为最好的顾问是ISO27002。这是最佳实践的集合，临时翻译是最佳行为，将信息安全风险降到最低。这是一套在现实中多处总结经验的解决方案、技巧提高 IT 系统的安全和保障水平。因此，我们可以参考、考虑和选择ISO27002的解决方案来申请我们的组织。

评估解决方案的成本并做出决定。 如上所述，提出风险缓解措施是一项技术性很强的工作。因此，实施它的成本是技术人员不太感兴趣或无法评估的东西。我们不要忘记，上述措施是为了保护财产。并且该属性具有一定的价值(通常是有限的)。

我们不能投资 10 盾来保护价值 5 越南盾的资产。如果你回答“也许”，那么我认为我们应该回到房产估值上来。也许它比我们认为的更重要，或者我们仍然缺乏一些东西？在这一步中，我们将不得不提出一个纯粹的经济问题，即投资多少以最小化损失。回答“这个计划在经济上是否正确？在降低了风险和价值可能会丢失之后，风险和损害仍然是组织可以接受的吗？ ' 对于每个“否”的答案，我们必须审查上述所有步骤，审查选项和解决方案，以尽量减少其成本风险。在所有答案都是“是”之前，我们已经完成了构建 ISMS 系统的计划。

实施ISMS。 ISMS系统建设计划包括资产清单及其价值、风险和损失、选项和措施将风险和损失降至可接受的水平。对于组织而言，下一个任务是将计划付诸实践。该实施的具体活动是：

-重新设计，技术组件的额外投资。

-制定法规、流程、指南，尤其是培训和实施指南，以便组织的所有员工和官员都能掌握这些法规。这是一个非常重要的部分，因为我们必须在每个人的行为中改变我们的思维习惯。同时，全体成员，特别是组织领导，必须了解并严格执行机构的各项规定。这是决定因素。决定如果领导者不够关心，没有花足够的时间来构建 ISMS，最好的解决方案是在领导层的想法发生变化之前不做 ISMS。

如果我们去这里，我想我们有一个 ISMS 系统。这个系统的好坏，完善与否，很难肯定，也很难让我们的员工、合作伙伴、客户对这个ISMS系统产生信任。这是认证机构(Certification Body)进入的时候。他们将检查我们的 ISMS 系统，如果系统符合证书的要求，则会颁发该系统“符合标准”的证书。那么你认为他们会怎么做呢？

评估并颁发ISO27001证书。一般来说，认证的评估过程将由有能力的组织来完成。该组织不能是向我们提供有关 ISMS 的建议的组织，以避免“只是踢球和吹哨”的情况。评估过程通常包括两个基本阶段：

-评估文档以确保文档系统的充分性。换句话说，是否完成了“未完成但已完成”测试？

-在实践中评估以确保我们打算做的事情实际上已经完成。换句话说，有没有“做你写的”的测试？

我不进入这个测试过程(因为不知道)，所以我只提一个想法在测试机构提供的认证方法中。在测试过程中，适用性声明 (SoA) 或实施条款起着重要作用。在 ISO27001 中，SoA 用“控制目标和控制”表示，目前 ISO27001 有 133 个 SoA。

考虑正常的学习和考试过程。为了测试我们在学习过程中掌握了多少知识，老师往往不强迫我们复述文档中描述的所学知识，而是让我们回答问题。这些问题是在我们学习的不同知识点下进行测试的最佳方式。

认证测试(即系统验证)最好通过SoA 条款进行。要求“资产所有权”的 SoA 示例是“与信息处理设施相关的所有信息和资产将归组织的指定部分所有”。需要临时翻译才能拥有财产。特别是，所有资产必须由个人/组织拥有。换句话说，必须有 be 没有财产，也没有人知道谁拥有它，谁对它负责。通过这个测试，可以说评估者很容易确定我们是否满意。使用 133 套测试规则，审查者可以放心，所有与信息安全相关的问题都经过审查。评估器不会被 ISMS 系统构建器的逻辑“扫过”，通过从属性派生的路径。如果我们的活动与控制条款无关，我们可以将其从评估范围中删除，前提是我们必须解释为什么要删除它。

结语。 建立ISMS体系以获得ISO27001证书以确保信息安全，安全和安全受到许多越南企业的关注。这是一个很好的信号，衡量了越南社会经济生活中信息技术应用的发展水平。希望我的演讲可以帮助您采取一种方法，一种思维方式来更好地理解重要问题，但对我们来说仍然是新事物-ISMS 和 ISO27001。

博士 Trinh Ngoc Minh 目前是西贡技术学院-SaigonCTT 的讲师。 有关文章交换的任何信息，请联系 info@saigonctt.com.vn