大云网论文资料论文范文正文

电力信息安全管理体系应用及发展研究

2013-11-27 15:47:53 智能电网知识库网　点击量：评论 (0)

摘要信息安全管理体系作为组织对信息安全工作实施管理的有效方法之一，在信息安全领域获得了广泛的应用。本文从信息安全管理体系的特点出发，基于风险管理和持续改进的思想，从实践出发，提出了行之有效的实

，应用PDCA模型的信息安全管理体系建设过程如图3所示。

图3 应用PDCA模型的信息安全管理体系建设过程

2)实施安全风险评估和处理

安全风险评估和风险处理的实施，对于体系的建设和运行而言异常关键，在体系建设运行过程中，需要完成下列活动：

a) 确定信息安全风险评估方法;

b) 识别信息安全风险;

c) 分析和评价信息安全风险;

d) 识别和评价风险处理的可选措施;

e) 为处理风险选择控制目标和控制措施;

f) 获得管理者对建议的残余风险的批准;

g) 实施风险处置计划以达到已识别的控制目标;

h) 按照计划的时间间隔进行风险评估的评审。信息安全风险管理流程如图4所示。

图4 信息安全管理过程

3)编制安全体系文件

信息安全管理体系是一个文件化的体系，所制定的所有安全策略应形成文件，应将为降低风险所选择的控制措施以及之前已实施的控制措施形成体系文件，建立完善的信息安全管理制度体系，涵盖安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、信息安全业务连续性管理、符合性等方面。

3 信息安全管理体系的最新发展

3.1 背景

目前存在多个管理体系标准，例如ISO 9001、ISO 14000、ISO 22000、ISO/IEC 27001等，其他诸如交通、社会安全、记录管理、事件管理和能源等领域也正在开发管理体系标准。基于如此众多的管理体系标准以及巨大的市场，国际标准化组织的技术委员会(TMB)意识到应找出一种协调不同管理体系实施的方法。TMB的联合技术协调组/管理体系(JTCG/MS)承担该项任务，将为任何一个管理体系开发一个统一架构和部分同一文本。

3.2 信息安全管理体系标准的修订

正在修订中的ISMS的要求标准ISO/IEC27001，将采用ISO/TMB/JTCG MSS的统一结构，将原来的架构做比较大的调整，并采用标准的文本，只是在信息安全方面做相应的扩充。

为适应新的ISO/TMB/JTCG MSS架构，ISO/IEC 27001原有架构和内容将有相应的调整，如图5所示。

图5 ISO/IEC 27001架构调整图

信息安全管理体系的这种变化，从管理体系层面来看，有利于与其他管理体系的兼容实施，并保障不同管理体系之间的协调一致。但就信息安全管理体系本身而言，其原有的标准架构直接规范了体系的建设流程，按PDCA四个阶段明确了各流程的活动，比较有利于体系建设方应用该标准。而新架构划分了更多的环节与控制，这种架构将影响到原有用户对体系的认识，从逻辑性和条理性方面，都将需要一定时间的学习，因此会一定程度上增大体系建设的难度。

3.3 信息安全控制域的变化

新版本的ISO/IEC 27001不仅从架构上做了调整，从内容，尤其是信息安全控制方面，也做了相应调整。

原有标准将信息安全控制域划分为11个方面：安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、信息安全业务连续性管理、符合性。新标准将增加供应商关系管理、网络应用服务管理两个方面，控制域中的控制类也做了相应调整，例如将原来信息安全组织域中的对外部各方的管理，调整到新的供应商关系管理中。

体系在这方面的变化，也将影响到原有体系建设用户，从整个文件体