个人可识别信息安全管理体系，5步构建信息安全保障体系

随着信息化的发展，政府或企业对信息资源的依赖程度越来越大，没有各种信息系统的支持，很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱，更容易受到损害，更应该加以妥善保护。而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，信息安全保障体系应运而生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的信息系统面临的风险能够达到一个可以控制的标准，进一步保障信息系统的运行效率。

通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。

构建第一步确定信息安全管理体系建设具体目标

信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。

信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成

的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。

信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次：

第一层策略总纲

策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。

第二层技术指南和管理规定

遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分：

技术指南：从技术角度提出要求和方法；

管理规定：侧重组织和管理考什么证赚钱多，明确职责和要求，并提供考核依据。

第三层操作手册、工作细则、实施流程

遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。

构建第二步确定适合的信息安全建设方法论

太极多年信息安全建设积累的信息安全保障体系建设方法论，也称“1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。

一、风险管理基础理论

信息系统风险管理方法论就是建立统一安全保障体系，建立有效的应用控制机制，实现应用系统与安全系统全面集成，形成完备的信息系统流程控制体系，确保信息系统的效率与效果。

二、遵循五个相关国内国际标准

在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:

标准

等级保护建设

分级保护建设

IT流程控制管理（）

IT流程与服务管理（ITIL/）

三、建立四个信息安全保障体系

信息安全组织保障体系：建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程。

信息安全管理保障体系：是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。

信息安全技术保障体系：综合利用各种成熟的信息安全技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。

信息安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行。

四、三道防线

第一道防线：由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施，形成对安全苗头进行事前防范的第一道防线，为业务运行安全打下良好的基础。

第二道防线：由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。

第三道防线：由技术体系构成事后控制的第三道防线。针对各种突发灾难事件，对重要信息系统建立灾备系统，定期进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。

五、四大保障目标

信息安全：保护政府或企业业务数据和信息的机密性、完整性和可用性。

系统安全：确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。

物理安全：使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。

运行安全：确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求，保证系统运行稳定可靠。

构建第三步充分的现状调研和风险评估过程

在现状调研阶段，我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质，才能确定该组织信息安全保障体系所遵循的标准，另外，还要充分了解政府或企业的文化，保证管理体系与相关文化的融合性，以便于后期的推广、宣贯和实施。在调研时，采用“假设为导向，事实为基础”的方法，假定该政府或企业满足相关标准的所有控制要求，那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息，证明或者证伪该组织的控制措施符合所有标准的要求，然后在此基础上，对比现状和标准要求进行差距分析。

在风险评估阶段，首先对于信息系统的风险评估．其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：

● 对资产进行识别，并对资产的价值进行赋值；

● 对威胁进行识别个人可识别信息安全管理体系，描述威胁的属性，并对威胁出现的频率赋值；

● 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

● 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；

● 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；

● 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

其次，进行信息系统流程的风险评估。根据“国际知名咨询机构的调查结果”以及我们在实践中证实发现，要减少信息系统故障最有效的方式之一，就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上，对IT相关业务流程进行有效管理个人可识别信息安全管理体系，5步构建信息安全保障体系，以保护业务流程这类“动态资产”的安全。

构建第四步设计建立信息安全保障体系总体框架在充分进行现状调研、风险分析与评估的基础上，建立组织的信息安全保障体系总纲，总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和改进所有环节，并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后，还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现，导出该组织未来信息安全任务，信息安全保障体系总体框架设计文件（一级文件）将包括：

信息安全保障体系总体框架设计报告；

信息安全保障体系建设规划报告；

……

信息安全保障体系将依据信息安全保障体系模型，从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括：

信息安全组织体系：组织架构、角色责任、教育与培训、合作与沟通

信息安全管理体系：信息资产管理；人力资源安全；物理与环境安全；通信与操作管理；访问控制；信息系统获取与维护；业务连续性管理；符合性；

信息安全技术体系：物理层、网络层、系统层、应用层、终端层技术规范；

信息安全运维体系：日常运维层面的相关工作方式、流程、管理等。包括：事件管理、问题管理、配置管理、变更管理、发布管理，服务台。

构建第五步设计建立信息安全保障体系组织架构信息安全组织体系是信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况，确定该组织信息安全管理组织架构。

● 信息安全组织架构：针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。

● 信息安全角色和职责：主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。

● 安全教育与培训：主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求。

● 合作与沟通：与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作

构建第六步设计建立信息安全保障体系管理体系

根据信息安全总体框架设计，结合风险评估的结果以及该组织的信息系统建设的实际情况，参照相关标准建立信息安全管理体系的三、四级文件，具体包括：

●资产管理：信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单

● 人力资源安全：内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议

● 物理与环境安全：物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单

● 访问控制：用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单

● 通信与操作管理：网络安全管理规范与对应表单、服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单

● 信息系统获取与维护：信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单

●业务连续性管理：业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单

● 符合性：行业适用法律法规跟踪管理规范及对应表单

最终形成整体的信息安全管理体系，务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合，在整个实施过程还需要进行全程的贯穿性培训．将整体信息安全保障体系建设的意义传递给组织的每个角落，提高整体的信息安全意识。这样几方面的结合才能使建设更有效。

质量管理体系安全管理体系，质量管理体系知识

组织依存于顾客。因此，组织应当理解顾客当前和未来的需求，满足顾客要求并争取超越顾客期望。

应用该原则，组织应采取如下活动：

a、调查、识别并理解顾客的需求和期望；

b、确保组织的目标于顾客的需求和期望相结合；

c、确保在整个组织内沟通顾客的需求和期望；

d、测量顾客的满意程度并根据结果采取相应的活动或措施；

e、系统地管理好与顾客的关系。

2.2领导作用

领导者确立组织统一的宗旨及方向。他们应当创造并保持使员工充分参与实现组织目标的内部环境。

运用“领导作用”原则，组织应采取下列措施：

a、考虑所有相关方的需求和期望；

b、为本组织的未来描绘清晰的远景，确定富有挑战性的目标（可测性、挑战性、可实现性）；

c、在组织的所有层次上建立价值共享、公平公正和道德伦理观念；

d、为员工提供所需的资源和培训，并赋予其职责范围内的自主权。#p#副标题#e#

2.3全员参与

各级人员都是组织之本，只有他们的充分参与，才能使他们的才干为组织带来收益。

运用“全员参与”原则，组织应采取下列措施：

a、让每个员工了解自身贡献的重要性及其在组织中的角色；

b、以主人翁的责任感去解决各种问题；

c、使每个员工根据各自的目标评估其业绩状况；

d、使员工积极地寻找机会增强他们自身的能力、知识和经验。

2.4过程方法

将活动和相关的资源作为过程进行管理质量管理体系安全管理体系，质量管理体系知识，可以更高效地得到期望的结果。

运用“过程方法”原则质量管理体系安全管理体系，组织应采取下列措施：

a、为了取得预期的结果，系统地识别所有的活动；

b、明确管理活动的职责和权限；

c、分析和测量关键活动的能力；

d、识别组织职能之间与职能内部活动的接口；

e、注重能改进组织的活动的各种因素，诸如资源、方法、材料等。

2.5管理的系统方法

将相互关联的过程作为系统加以识别、理解和管理，有助于组织提高实现目标的有效性和效率。

运用“管理的系统方法”原则，组织应采取下列措施：

a、建立一个体系，以最佳效果和最高效率实现组织的目标；

b、理解过程内各过程的相互依赖关系；

c、更好地理解为实现共同的目标所必须的作用和责任，从而减少职能交叉造成的障碍；

d、理解组织的能力，在行动前确定资源的局限性；

e、设定目标，并确保如何运做体系中的特殊活动；

f、通过测量和评估，持续改进体系。#p#副标题#e#

2.6持续改进

持续改进总体业绩应当是组织的一个永恒目标。

运用“持续改进”原则，组织应采取下列措施：

a、在整个组织范围内使用一致的方法持续改进组织的业绩；

b、为员工提供有关持续改进的方法和手段的培训；

c、将产品、过程和体系的持续改进作为组织内每位成员的目标；

d、建立目标以指导、测量和追踪持续改进。

2.7基于事实的决策方法

有效决策是建立在数据和信息分析的基础上。

运用“基于事实的决策方法”原则，组织应采取下列措施：

a、确保数据和信息足够精确和可靠；

b、让数据/信息需要者能得到数据/信息；

c、使用正确的方法分析数据；

d、基于事实分析，权衡经验与直觉，做出决策并采取措施。

2.8与供方互利的关系

组织与供方是相互依存的，互利的关系可增强双方创造价值的能力。

运用“与供方互利的关系”原则，组织应采取下列措施：

a、在对短期收益和长期利益综合平衡的基础上，确立与供方的关系；

b、与供方或合作伙伴共享专门技术和资源；

c、识别和选择关键供方；

d、清晰与开放的沟通；

e、对供方所做出的改进和取得的成果进行评价并予以鼓励。

#p#副标题#e#

3、质量管理体系基础

3.1质量管理体系方法

质量管理体系方法是为了帮助组织致力于质量管理，建立一个协调的、有效运行的质量管理体系，从而实现组织的质量方针和目标而提出的一套系统而严谨的逻辑步骤和运做程序。它是将质量管理原则——“管理的系统方法”应用于质量管理体系研究的结果。

建立和实施质量管理体系方法包括以下步骤：

a、确定顾客和其他方的需求和期望；

b、建立组织的质量方针和质量目标；

c、确定实现质量目标必需的过程和职责；

d、确定和提供实现质量目标必需的资源；

e、规定测量每个过程的有效性和效率的方法；

f、应用这些测量方法确定每个过程的有效性和效率；

g、确定防止不合格并消除产生原因的措施；

h、建立和应用持续改进质量管理体系的过程。#p#副标题#e#

3.2过程方法

任何使用资源将输入转化为输出的活动或一组活动可视为一个过程。通常情况下，一个过程的输出直接成为下一个过程的输入。系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，被称为过程方法。它是建立质量管理体系的具体方法，由此形成了以过程为基础的质量管理体系模式（见下图）。

注：PDCA模式适用于所有的过程考证书的正规网站，也可以说PDCA模式适用于任何一项工作。

P——策划：根据顾客的要求和组织的方针，为提供的结果建立必要的目标和过程；

D——实施：实施过程；

C——检查：根据方针、目标和产品要求，对过程和产品进行监视和测量，并报告结果；

A——改进：采取措施，以持续改进过程业绩。

#p#副标题#e#

3.3统计技术的作用

应用统计技术可帮助组织了解变异，从而有助于组织解决问题并提高有效性和效率。这些技术也有助于更好地利用可获得的数据进行科学的决策。在许多活动的状态和结果中，甚至是在明显的稳定条件下，均可观察到数据的变化或差异。这种变异可通过产品和过程可测量的特性观察到，并且在产品的整个寿命周期（从市场调研到顾客服务和最终处置）的各个阶段，均可看到其存在。统计技术有助于对这类变异的数据进行测量、描述、分析、解释和建立模型，甚至在数据量相对有限的情况下也可实现。这种数据的统计分析能对更好地理解变异的性质、程度和原因提供帮助。从而有助于解决，甚至防止由变化引起的问题，并促进持续改进。

4、质量认证

4.4.1合格评定

“合格评定”是指对产品、过程或体系满足规定要求的程度所进行的系统检查和确认活动。WTO/TBT协定（世界贸易组织关于技术壁垒协定）更明确地指出了合格评定是指“为证明符合技术法规和标准而进行的第一方自我声明、第二方验收、第三方认证以及认可的活动。”#p#副标题#e#

合格评定包括认证和认可。认证是指第三方认证机构依据程序对产品、过程或体系规定的要求给予书面保证（认证证书）的活动。认可是指由权威机构对组织从事检验、检查、认证等评价的能力给予正式承认的程序。

认证按其性质可分为强性认证和非强制性认证；按其对象可分为产品认证和管理体系认证。管理体系认证可分为质量管理体系认证、环境管理体系认证、职业健康安全管理体系认证等。产品认证有强制性认证（如产品安全认证）和非强制性认证（如产品合格认证之分），管理体系认证一般都是非强制性认证。

认可按其对象可分为认证机构认可、实验室认可等。

实验室认可是指对校准和（或）检测实验室有能力进行指定类型的校准和（或）检测实验所作的一种正式承认。实验室认可程序包括：申请，现场评审和批准认可三个阶段。

4.4.2产品质量认证

产品质量认证是指依据产品标准和相应的技术要求，由产品认证机构对某一产品实施合格评定，并通过颁发产品认证书和认证标志，以证明某一产品符合相应标准和要求的活动。#p#副标题#e#

4.4.2.1质量认证的产生

质量认证是随着现代工业的发展作为一种外部质量保证的手段逐渐发展起来的。自19世纪下半叶，标志着当代工业革命的蒸汽机、柴油机、汽油机和电的发明，伴随着工业标准化的诞生，形成了当代工业化大生产，使当代市场经济逐渐发育和日臻完善。但随之带来的锅炉爆炸和电器失火等大量恶性灾难的发生，使公众意识到由第一方（产品提供方）的自我评价和由第二方（产品接收方）的验收评价，由于自身的弱点和缺憾均变得不可靠。公众强烈呼吁，由独立于产销双方、不受产销双方经济利益所支配的第三方，用公正、科学的方法对市场上流通的商品，特别是涉及安全、健康的商品进行评价、监督，以正确指导公众购买，保证公众基本利益。解决这一难题有两条路：一是等待政府立法，定规矩、建机构再开始行动；二是民间热心人士集资并组建机构，先干起来，政府立法之后再规范。多数工业化国家选择的是第二条路，这也就是我们常说的第三方认证，第三方认证首先是从民间自发适应市场需求而产生的。例如美国的UL（保险商实验室）和德国的TǔV(技术监督协会)就是在这种形势下诞生的。

1903年，英国首先以国家标准为依据对英国铁轨进行合格认证并授予风筝标志，开创了国家认证制的先河，并开始了在政府领导下开展认证工作的规范性活动。认证工作从单纯民间活动，成为政府和民间共存，或者说政府在规范市场的行为中拿起了第三方认证的武器。由于政府通过立法而开展认证，因而形成了强制性认证（或称法规性认证）和自愿性（非法规性）认证两大部分。#p#副标题#e#

质量认证制度从20世纪30年代得到了迅速发展，50年代已普及到几乎所有发达国家，70年代开始跨越国界，使质量认证制度成为国际贸易中消除非关税贸易壁垒的一种手段。ISO于1970年成立了认证委员会（），1985年更名为合格评定委员会（），指导各个国家、地区质量认证制度的建立和发展，促进国家和区域合格评定制度的相互承认和认可。

我国的质量认证工作在20世纪70年代末80年代初才逐步发民起来。1981年成立的中国电子元器件质量认证委员会和1984年成立的中国电工产品认证委员会是经我国政府有关部门授权最早成立的两家认证机构。1991年5月7日，国务院发布《中华人民共和国产品质量认证管理条例》，标志着我国质量认证工作进入了法制化、规范化发展的新阶段。

4.4.2.2质量认证制度的主要类型

世界各国现行的质量认证制度主要有八种类型。这八种认证制度是国际标准化组织（ISO）向其成员国推荐的，它们是：#p#副标题#e#

（1）型式试验。按规定的试验方法对产品的样品进行试验，以证明样品符合标准或技术规范的全部要求。

（2）型式试验加认证后监督－市场抽样检验

（3）型式试验加认证后监督－企业现场抽样检验

（4）型式试验加认证后监督－在市场和企业抽样检验，即检验所用的样品，从市场上购买或到生产厂随机抽取。

（5）型式试验加企业质量管理体系的评定，再加认证后监督。

（6）只对企业的质量管理体系进行评定和认可。

（7）对一批产品进行抽样检验。

（8）百分之百检验。

从上述八种制度可看出，和五种认证制度是一种比较全面、比较完善的认证形式，它一直是ISO向各国推荐的一种认证形式，也是目前各国普遍使用的第三方认证的一种制度。#p#副标题#e#

4.4.2.3产品质量认证和质量管理体系认证的区别

产品质量和质量管理体系认证最主要的区别是认证的对象不同，产品质量认证的对象是特定产品，而质量管理体系认证的对象是组织质量管理体系。由于认证对象的不同引起了获准认证条件、证明方式、证明的使用等一系列不同。两者也有共同点，即都要求对组织的质量管理体系进行审核。但在具体实施上有若干不同，如下表所示。