每個技術驅動的業務流程都面臨安全和隱私威脅。先進的技術能夠對抗網絡安全攻擊,但這些還不夠:組織必須確保業務流程、策略和員工行為最大限度地降低或減輕這些風險。
由于這條路既不容易也不清晰,因此公司采用有助于指導信息安全(InfoSec)最佳實踐的框架。這就是信息安全管理系統發揮作用的地方——讓我們看一看。
什么是ISMS?
信息安全管理系統(ISMS)是一個策略和控制框架,用于系統地管理整個企業的安全性和風險——信息安全。這些安全控制可以遵循常見的安全標準,或者更側重于您的行業。
例如,ISO 27001是一組詳細說明如何創建、管理和實現ISMS策略和控制的規范。ISO 不強制要求采取具體行動;相反,它提供了制定適當ISMS戰略的指南。
ISMS的框架通常側重于風險評估和風險管理。可以將其視為一種結構化的方法,用于在風險緩解和產生的成本(風險)之間進行平衡權衡。
在嚴格監管的垂直行業(如醫療保健或金融)中運營的組織可能需要廣泛的安全活動和風險緩解策略。在整體IT安全政策中考慮資訊安全管理。
持續改進信息安全
雖然ISMS旨在建立全面的信息安全管理功能,但數字化轉型要求組織對其安全策略和控制進行持續改進和發展。
ISMS定義的結構和界限可能僅適用于有限的時間框架,并且可能在初始階段難以采用。組織面臨的挑戰是,隨著風險、文化和資源的變化而發展這些安全控制機制。
根據ISO 27001, ISMS的實施遵循計劃-執行-檢查-行動(PCDA)模式,以持續改進ISM流程:
1. 計劃。識別問題并收集有用的信息以評估安全風險。定義可用于解決問題根源的策略和流程。制定方法以建立持續改進的信息安全管理能力。
2. 執行。實施制定的安全政策和程序。實施遵循ISO標準,但實際實施是基于貴公司可用的資源。
3. 檢查。監督ISMS政策和控制的有效性。評估與ISM流程相關的有形結果和行為方面。
4. 行動。專注于持續改進。記錄結果,共享知識,并使用反饋循環來處理ISMS策略和控制的PCDA模型實現的未來迭代。
流行的ISMS框架
ISO 27001是信息安全領域的領導者,但其他框架也提供了有價值的指導。這些其他框架通常借鑒ISO 27001或其他行業特定指南。
ITIL是廣泛采用的服務管理框架,具有稱為信息安全管理(ISM)的專屬組件。ISM的目標是協調IT和業務安全,確保信息安全在所有活動中得到有效管理。
COBIT是另一個以IT為中心的框架,它花費了大量的時間研究資產管理和配置管理如何成為信息安全以及幾乎所有其他ITSM功能(甚至與信息安全無關的功能)的基礎。
ISMS安全控制
ISMS安全控制跨越ISO 27001標準中規定的多個信息安全領域。該目錄包含具有以下目標的實用指南:
信息安全政策。總體指導和支持有助于建立適當的安全策略。安全策略對您的公司來說是獨一無二的,是根據您不斷變化的業務和安全需求設計的。
信息安全組織。這解決了企業網絡中的威脅和風險,包括來自外部實體的網絡攻擊、內部威脅、系統故障和數據丟失。
資產管理。該組件涵蓋公司IT網絡內外的組織資產。其中可能涉及敏感商業信息的交換。
人力資源保障。與您的人員、活動和人為錯誤相關的政策和控制措施,包括降低內部威脅風險的措施,以及減少意外安全失誤的員工培訓。
物理和環境安全。這些準則涵蓋了保護物理IT硬件免受損壞、丟失或未經授權訪問的安全措施。雖然許多組織正在利用數字化轉型并在安全的云網絡中維護敏感信息,但必須考慮用于訪問這些信息的物理設備的安全性。
通信和運營管理。系統在運行時必須尊重并維護安全策略和控制。日常的IT操作(如服務供應和問題管理),應該遵循IT安全策略和ISMS控制。
存取控制。利用策略域限制對授權人員的訪問,并監控網絡流量的異常行為。訪問權限涉及數字和物理技術媒介。應該明確定義個人的角色和職責,僅在必要時才能訪問業務信息。
信息系統的獲取、開發和維護。應該在IT系統的整個生命周期(包括獲取、開發和維護階段)中維護安全性最佳實踐。
信息安全和事件管理。以對最終用戶影響最小的方式識別和解決IT問題。在復雜的網絡基礎設施環境中,可能需要先進的技術解決方案來識別有洞察力的事件度量并主動緩解潛在問題。
業務連續性管理。盡可能避免中斷業務流程。理想情況下,任何災難情況都會立即進行恢復和程序,以盡量減少損失。
合規。每個監管機構必須強制實施安全要求。
密碼學。在保護敏感信息的最重要和最有效的控制措施中,它本身并不是靈丹妙藥。因此,ISMS控制如何實施和管理加密控制。
供應商關系。第三方供應商和業務合作伙伴可能需要訪問網絡和敏感的客戶數據。可能無法對某些供應商實施安全控制。但是,應該采取適當的控制措施,通過IT安全策略和合同義務來減輕潛在風險。
這些組件和域為信息安全的成功提供了一般的最佳實踐。盡管這些在不同的框架之間可能會有細微的差異,但只要在信息安全方面保持一致將提供很多幫助。
