时间:2022-02-06 16:26:39
序论:在您撰写信息安全管理时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
【关键词】 信息安全 违规外联 电力企业
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
二、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
企业要想在市场当中生存并发展,不仅仅要提升企业竞争力,还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈,只有做好企业的信息安全管理,才能避免企业因为信息管理的疏漏造成相关的损失。
近十年来,企业的生产经营越来越离不开网络,离不开计算机,企业的每一项活动都需要计算机与网络的参与,企业的管理需要借助相关的计算机软件,企业的销售需要运用到电子商务,企业的仓储管理需要数据库系统的支持,在企业感受到计算机带来生产经营便利的同时,企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料,可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比,我国企业在信息安全管理这条路上还有很长的路要走。
我国企业在信息管理上起步较晚,同时受制于观念,技术,人力等各个方面的因素,我国企业在信息安全管理上存在十分严重的漏洞。不仅如此,企业信息安全管理受到各方面的威胁,各类病毒层出不穷,钓鱼软件,木马也防不胜防,我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事,企业是我国经济发展最重要的角色,倘若我国企业在信息安全管理上存在漏洞,这也将直接影响我国的经济发展,这并不是危言耸听。
因此,加强我国企业信息安全管理势在必行,必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持,企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性,企业信息安全管理并不是一件小事,理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素,结合各种影响我国企业信息安全的几点因素展开探讨,在此基础上,分析我国企业在信息安全管理中常用的手段,并通过借鉴国外优秀企业在信息安全管理的经验,对更好地完善我国企业信息安全管理提出几点意见与建议。
二、企业面临的信息安全管理风险
1.企业内部管理缺陷
企业要想提升信息安全管理的水平,其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响,但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面,倘若企业在内部管理制度上存在缺陷,那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一,企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责,规范操作的基础上,倘若企业对于信息安全管理的工作人员缺乏监督,那么久很难保证企业整个信息安全管理系统的行之有效。第二,企业对于企业内部信息安全管理工作人员缺乏培训,企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理,就必须做到对企业内部信息安全管理的每一个环节都一丝不苟,对每一个可能存在信息安全漏洞的地方都要严格管理,对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行,只有从规范企业内部信息安全管理的行为规范上着手。第三,企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在,我国大型企业拥有足够的资金,足够的人力资本,足够技术投入,相比较于我国中小型企业,在信息安全管理工作上具有较大的优势。可是,我国大型企业毕竟是少数,我国中小企业的数量十分巨大,中小企业并没有相应的资金,人员,技术投入,中小企业受制于现实条件,在信息安全管理系统上所做的工作严重不足,我国中小企业在信息安全上所面临的风险十分巨大。
2.影响企业信息安全管理的外部因素
影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒,木马,钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全,较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面,一方面,黑客属于主动攻击,主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解,并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞,另一方面,我国绝大多数企业在信息安全管理系统的投入有限,企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客,但是,由于缺乏完善的信息安全手段,对企业内部重要的信息保护不足,黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性,因此,即使战胜了黑客,但是黑客对企业信息安全的攻击行为往往已经发生,企业必然会因此造成相应的损失,在现代企业经营管理信息化的背景下,这样的攻击行为对企业造成的损失往往是企业不能够承担的,很有可能影响一个企业最基本的生存。
三、完善企业信息安全管理的几点建议
1.建立信息安全密码
密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的密码保护工作。
2.建立安全管理制度
企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做到全面监督,有效反馈等等。
3.建立数据库的备份与恢复机制
现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘若能够及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
4.建立网络安全预警系统
一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查找病毒具体来源提供便利条件。
关键词:信息安全管理;测评;要素;指标
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)27-6080-03
人类进入信息化社会,社会发展对信息化的依赖程度越来越大,一方面信息化成果已成为社会的重要资源,在政治、经济、国防、教育、科技、生活等发面发挥着重要的作用,另一方面由于信息技术的迅猛发展而带来的信息安全事件、事故层出不穷,信息安全问题与矛盾日益突出。信息安全工程是一个多层面、多因素的、综合的、动态的系统工程,其包括关键基础设施及硬件安全、运行安全、软件安全、通信安全、人员安全、传输安全、网络安全、人员安全等。组织要实现信息安全目标,就必须建立一套行之有效信息安全管理与技术有机结合的安全防范体系。信息安全管理包括制定信息安全策略(包括计划、程序、流程与记录等)、风险评估、控制目标的选择、控制措施的实施以及信息安全管理测评等。管理大师德鲁克曾经说过“无法度量就无法管理”[1],强调了测量对组织管理的重要意义,信息安全管理同样也离不开测评。如何对信息安全管理有效性等进行测量,根据测量的结果对组织信息安全管理情况进行评价并进一步指导信息安全管理,提高信息安全管理能力和水平,目前已经成为信息安全领域的一个研究热点[2]。
信息安全管理测评是组织围绕信息化持续发展与信息安全保障的现状和未来综合能力的反映,不仅是对过去和现在的能力展现,而且为未来发展提供保障和动力。在我国,目前关于信息安全管理测评研究刚处于起步阶段,还没有一套可供使用的信息安全测评体系标准、方法等。因此,开展信息安全管理测评研究,对组织信息化建设既具有重要的现实意义也具有长远的持续发展意义。
1 信息安全管理测评发展综述与需求
关于信息安全测评,美国早在2002年通过的《联邦信息安全管理法案》中就要求各机构每年必须对其信息安全实践进行独立测评,以确认其有效性。这种测评主要包括对管理、运行和技术三要素的控制和测试,其频率视风险情况而定,但不能少于每年一次。在独立评价的基础上,联邦管理与预算局应向国会上报评价汇总结果;而联邦审计署则需要周期性地评价并向国会汇报各机构信息安全策略和实践的有效性以及相关要求的执行情况。
2003年7月,美国国家标准与技术研究所(National Institute of Standards and Technology,NIST)了NIST SP 800-55《信息技术系统安全测量指南》,其包括以下内容[3]:
1) 角色和职责:介绍发展和执行信息安全测量的主要任务和职责。
2) 信息安全测量背景:介绍测量定义、进行信息安全测量的好处、测量类型、几种可以进行信息安全测量的控制、成功测量的重要因素、测量对管理、报告和决策的作用。
3) 测量发展和执行过程:介绍用于信息安全测量发展的方法。
4) 测量项目执行:讨论可以影响安全测量项目的技术执行的各种因素。
5) 以附件的形式给出的16种测量的模板。
2004年11月17日,美国的企业信息安全工作组(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《带有支撑管理测量的信息安全计划要素》[4],2005年国际标准化组织(ISO/IEC SC27)提出了信息安全管理体系(Information Security Management Systems,ISMS)的系列标准——ISO27000系列。2005年1月10日又了修订版,并作为针对ISO/IEC 2nd WD27004 的贡献文档提交给ISO/IEC JTC1 SC27,该文档是根据CISWG的最佳实践和测量小组的报告改编。
2005年8月31日,美国国际系统安全工程协会(International System Security Engineering Association,ISSEA)针对ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了题为“ISSEA Contribution Background”[5](ISSEA测量的贡献背景)和“ISSEA Metrics”[6](ISSEA测量)两个贡献文档。
2009年国际标准化组织(ISO)了ISO/IEC 27004:2009(信息技术一安全技术一信息安全管理测量)标准,为如何建立及测量ISMS及其控制措施提供了指导性建议[7]。
信息安全管理体系是信息安全保障体系的重要组成部分。近年来,随着组织对信息安全保障工作重视程度的日益增强,不少组织都依据标准GB/T 22081-2008建立了一套比较完善的ISMS来保护组织的重要信息资产,但是体系建立起来了,不少管理者都对ISMS的运行效果极其控制措施的有效性,持怀疑的态度。故此组织很有必要建立一套相应的测评方法来全面的对ISMS的运行情况进行科学的评价,进一步提升ISMS的执行力。该文研究的信息安全管理测评将为确定ISMS的实现目标,衡量ISMS执行的效力和效率提供一些思想、方法,其结果具有客观的可比性,还可以作为信息安全风险管理、安全投入优化和安全实现变更的客观依据,有助于降低安全风险,减少安全事件的概率和影响,改进安全控制和管理过程的效率或降低其成本。
2 信息安全管理测评研究内容
信息安全管理测评是信息安全管理体系的重要部分,是信息安全管理测量与评价的综合。信息安全管理测量的结果是信息安全绩效评价的依据。信息安全管理测量比较具体,信息安全管理评价则通过具体来反映宏观。
2.1 信息安全管理测评要素及其框架
信息安全管理测评要素包括:测评实体及其属性、基础测评方式、基础测评变量、导出测评制式、导出测评变量、测评方法、测评基线、测评函数、分析模型、指示器、决策准则、测评需求和可测评概念等,其框架如图3.1信息安全测评框架所示,包括:基于什么样的需求来测评(即测评需求),对什么进行测评(即实体及其属性),用什么指标体系来测评(包括测评制式、测评变量和测评尺度),用什么方法来测评(即测评方法),用什么函数来计算测评结果(即测评函数),用什么模型来分析测评结果(即分析模型),用什么方式来使分析结果能够辅助决策(即指示器)等问题。
信息需求是测评需求方提出的对测评结果信息的需求。信息需求源自于组织的使命和业务目标,与相关利益者的利益诉求密切相关。指示器的生成和分析模型的选择是以信息需求为导向的。
决策准则是一种决定下一步行为的阈值。他有助于解释测评的结果。决策准则可能出自或基于对预期行为在概念上的理解和判断。决策准则可以从历史数据、计划和探索中导出,或作为统计控制限度或统计信心限度计算出来。
可测评概念是实体属性与信息需求之间的抽象关系,体现将可测评属性关联到信息需求以及如何关联的思想。可测评概念的例子有生产力、质量、风险、绩效、能力、成熟度和客户价值等。实体是能通过测评属性描述的对象。一个实体是测评其属性的一个对象,例如,过程、产品、系统、项目或资源。一个实体可能有一个或多个满足信息需求的属性。实践中,一个实体可被归类于多个上述类别。他可以是有形的也可是无形的。信息安全管理测评的实体包括信息安全管理体系建立过程中所有的控制项(信息安全管理测评要素)。属性是实体可测评的、物理的或抽象的性质。一个属性是能被人或自动手段定量或定性区分的一个实体的某一特性或特征。一个实体可能有多个属性,其中只有一些可能对测评有价值。测评模型实例化的第一步是选择与信息需求最相关的属性。一个给定属性可能被结合到支持不同信息需求的多个测评构造中。信息安全管理测评主要测评的是每一项控制措施的属性(信息安全管理测评指标)。
测评是以确定量值为目的的一组操作。信息安全管理测评是确定控制项的每一个具体指标的一组操作,可以有多种测评方法。基础测评是依照属性和定量方法而定义的测评方法,是用来直接测评某一属性的,是根据属性和量化他的方法来定义,他捕获单独属性的信息,其功能独立于其他测评。信息安全管理基础测评是对于控制项的指标可以直接测评出来的量。导出测评是通过测评其他属性来间接地测评某一属性的测评,是根据属性之间的关系来定义,他捕获多个属性或多个实体的相同属性的信息,其功能依赖于基础测评的,是两个或更多基础测评值得函数。
测评尺度是一组连续或离散的数字量值(如小数/百分比/自然数等)或离散的可数量值(如高/中/低/等)。测评尺度是规范测评变量取值的类型和范围。测评方法将所测评属性的量级影射到一个测评尺度上的量值后赋给测评变量。
测评尺度根据尺度上量值之间关系的性质分为四种类型:
名义(Nominal) :测评值是直呼其名。
序数(Ordinal) :测评值是有等级的。
间隔(Interval) :测评值是等距离的,对应于属性的等量,不可能是零值。
比率(Ratio) :测评值是等距离的,对应于属性的等量,无该属性为零值。
测评单位是作为惯例定义和被广泛接受的一个特定量。他被用作比较相同种类量值的基准,以表达他们相对于此量的量级。只有用相同测评单位表达的量值才能直接比较。测评单位的例子有公尺、公斤和小时等。
测评函数是将两个或更多测评变量结合成导出测评变量的算法。导出测评变量的尺度和单位依赖于作为函数输入的测评变量的尺度和单位以及他们通过函数结合的运算方式。分析模型是将一个或多个测评变量转化为指示器的算法。他是基于对测评变量和/或他们经过一段时间的表现之间的预期关系的理解或假设。分析模型产生与信息需求相关的评估或评价。测评方法和测评尺度影响分析模型的选择。
测评计划定义了测评实施的目标、方法、步骤和资源。测评频率是测评计划的执行频率。测评计划应按规定的频度定期地或在必要的时候不定期地执行。定期执行的规定频度应建立在信息效益的需求与获得他的成本之间的折中,可以是每周、每月、每季度或每年等。不定期执行的必要时候包括ISMS初始规划和实施以及ISMS本身或运行环境发生重大变化。
2.2 信息安全管理测评量表体系
任何测评都必须具备参照点、单位和量表三个要素。信息安全测评指标体系是信息安全测评的基础,是对指定属性的评价,这些属性与测评需求方的信息保障需求相关联,对他们进行评价为测评需求方提供有意义的信息。其总是以满足其信息保障需求和方便易理解的方式呈现给测评需求方的。标准GB/T 22081-2008是进行信息安全管理所参照的标准,其从信息安全方针、信息安全组织、法律法规符合性等11个方面,提出了133个控制措施供使用者在信息安全管理过程中选择适当的控制措施来加强信息安全管理。该标准所提供的控制措施基本能覆盖信息安全管理的各个方面。在建立信息安全管理测评指标体系的实践中,通常以控制措施的实施情况作为指标,建立预选指标集,通过对预选指标集的分析,采用专家咨询的方式筛选出能全面反映信息安全管理有效性的具体指标。
3 信息安全管理测评方法探讨
测评方法通常影响到用于给定属性的测评尺度类型。例如,主观测评方法通常只支持序数或名义类型的测评尺度。测评方法是使用指定的测评制式量化属性的操作逻辑序列。操作可能包括计算发生次数或观察经过时间等。同样的测评方法可能适用于多个属性。然而,每一个属性和测评方法的独特结合产生一个不同的基础测评。测评方法可能采用多种方式实现。测评规程描述给定机构背景下测评方法的特定实现。
测评方法根据量化属性的操作性质分为两种类型:
主观:含有人为判断的量化。
客观:基于数字规则(如计数)的量化。这些规则可能通过人或自动手段来实现。
测评方法的可能例子有:调查观察、问卷、知识评估、视察、再执行、系统咨询、测试(相关技术有设计测试和操作有效性测试等)、统计(相关技术有描述统计、假设检验、测评分析、过程能力分析、回归分析、可靠性分析、取样、模拟、统计过程控制(SPC, statistical Process control) 图和时序分析等)。
4 结束语
当前,信息安全领域的测评研究多侧重于对技术产品、系统性能等方面的测评,其中信息安全风险评估可通过对重要信息资产面临的风险、脆弱性的评价掌握组织的信息安全状况;信息安全审计则只是对信息安全相关行为和活动提供相关证据;而信息安全管理评审则是符合性审核,他们都不能对信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出评价。因此,非常有必要对信息安全管理的有效性进行测评,这将有助于了解信息安全管理过程中所采取的控制措施的有效性以及控制措施的执行情况,为管理者决策提供依据,也能为组织信息安全管理过程的持续改进提供足够的帮助,达到更好地管理信息安全的最终目的。
参考文献:
[1] 闫世杰,闵乐泉,赵战生.信息安全管理测量研究[J].信息安全与通信保密,2009,5:53.
[2] 朱英菊,陈长松.信息安全管理有效性的测量[J].信息网络安全,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics , Adapted from the report of the Best Practices and Metrics Teams , Corporate Information Security Working Group ( CISWG ) , 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl),2005-08-31
关键词:企业;信息;安全管理
中图分类号:U283.4 文献标识码:A
企业信息安全管理是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的薄弱点,提出有针对性的抵御威胁的防护对策和控制措施,这是企业推进信息化进程和促进生产经营管理的重要内容,是保障企业信息系统正常运行、高效应用和健康发展的前提条件。
1我国企业信息安全管理存在的问题
1.1缺少企业信息安全的法规和规范。企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,即便现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。
1.2存在物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。
1.3信息外泄现象时有发生。进入信息化时代后,企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易,许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且,在企业信息管理系统中,大量购、销、存等业务、财务数据、文档及客户资料,以存储介质形式存在于计算机中,由于电磁辐射或数据可访问性等弱点,受到人为和非人为因素的破坏。数据一旦遭到破坏,将会严重影响企业日常业务的正常运作。因此,保证数据的安全,就是保证企业的安全。
1.4缺少安全管理制度和责任性。目前企业的安全解决方案,基本上只是一个安全产品方案,这使人们误以为企业的信息安全只是信息技术部门的工作和责任,与其他人员不直接相关.但是一个企业的信息系统是企业全体人员参与的,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素.
2加强我国企业信息安全管理的几点建议
2.1全面提高职工的信息安全知识素质,加强安全文化建设,提升防患水平,防微杜渐。对于信息安全工作的开展,不是系统管理部门的事,也不是系统使用部门的事,而是全体员工的事,必须要提高全体员工的信息安全意识。通过培训和考核等措施,提高员工对公司信息安全的认识,让信息安全成为业务开展的一部分,才能有效提高公司整体信息安全水平,也是信息安全工作得到有效的支持和推进。在此基础上,要建立适应21世纪知识经济时代的企业信息安全文化,只有加强安全文化建设,才能适应知识经济时代的发展。
2.2完善企业信息安全管理制度。首先,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。第二,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息:一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者,就应在一定时间内封闭其所在网段的请求,并发出报警信号。二是系统安全验证,即对登录用户的操作系统进行安全证,并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改,并对登录户相应的操作进行记录备案。
2.3采取传统的信息安全防范策略。物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等;网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等;数据加密策略:包括加密算法、适用范围、密钥交换和管理等;数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等;身份认证及授权策略:包括认证及授权机制、方式、审计记录等;灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等;事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。
2.4实施、检查和改进信息安全管理体制。企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动,主要实施和运行ISMS方针、控制措施、过程和程序,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间,企业应及时检查发现规划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
2.5加强信息安全监控,保障信息系统安全运行。在信息安全监控、信息安全配置和系统访问控制方面,信息管理部门借助先进成熟的信息技术,充分挖掘和利用现有资源功能潜力,进一步提升企业信息系统的安全防范能力。例如,加强信息系统监控管理和风险评估,优化信息系统安全架构,开展入侵检测分析防范、核心网络冗余和服务器架构调整等工作,确保公司信息系统安全稳定运行。统一企业桌面安全管理体系,建立网络运维管理系统,加强接入层管理、桌面安全管理和安全监控管理,有效保障联网计算机的安全运行。优化企业内外网连接架构和访问控制策略,增加网络出口流量监控环节,使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多,造成非授权用户占用大量网络资源的问题,加强用户访问监控,严肃处理违规用户,加强保密教育,促进用户规范使用信息系统。
2.6构建信息安全管理团队。信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者,其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训,同时与外部专业技术企业建立长期有效的外部技术支持网络,才能对企业信息安全事件做出及时、快速、准确的响应,确定并及时排除突发事件,使企业的风险和损失最小化,最终形成一套有效的一体化管理体系,给企业带来更大的管理效益与管理效率的提升。
综上所述,随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。因此,要提高企业信息安全管理的效率,为企业决策提供信息支持,确保企业信息数据安全、可靠、真实,为企业发展和经营管理提供有力保障。
参考文献
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
关键词:信息安全;管理体系;ISMS
中图分类号:TP315 文献标识码:A 文章编号:1009-8631(2010)05-0171-02
一、概述
当前,信息资源的开发和利用,已成为信息化建设的核心。信息作为一种重要的资产,已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出:“没有信息安全保障的信息工程一定是豆腐渣工程”。
所谓信息安全,是针对技术和管理来说的,为信息处理体统提供安全保护,保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面:
1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
3)信息安全是指防止信息资源的非授权泄漏、更改、破坏,或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险,一般的信息系统都部署了基本的防御和检测体系,如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用,在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题,日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题,并不能应用到所有问题上,所以说它们的功能相对比较狭窄,因此想通过设置安全产品来彻底解决信息安全问题是不可能的;另一方面,信息安全问题并不是固定的、静态的,它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下,当产品安装和配置一段时期后,旧的问题解决了。新的安全问题就会产生,安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段,通过安全产品的辅助,从而保障信息系统的安全。
二、搭建信息安全管理体系
(一)BS7799
信息安全管理体系是安全管理和安全控制的有效结合体,通过分析信息安全各个环节的实际需求情况和风险情况,建立科学合理的安全控制措施,并且同信息系统审计相结合,从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有:英国标准协会制定的信息安全管理体系标准-BS7799;国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT;是目前国际上通用的信息系统审计标准;英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL;国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0/IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准,于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订,目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面,全面而不失操作性,提供了一个可持续发展提高的信息安全管理环境。在该标准中,信息安全已经不只是人们传统上所讲的安全,而是成为一种系统化和全局化的观念。和以往的安全体系相比,该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。
(二)息安全管理体系(ISMs)
信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的分析和认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳,它一般是要求通过确定的过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。整个体系一旦建立起来,组织就必须实施、维护和不断改进ISMS,保持整个体系运作的有效性。
(三)ISMS搭建步骤
当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议,即遵循PDCA(Plan,Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系,其PDCA过程如下:
1)信息安全体系(PLAN)
在PLAN阶段通过风险评估来了解安全需求,根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤:
A、定义安全方针:信息安全方针是组织的信息安全委员会制定的高层文件,用于指导组织如何对资产,包括敏感信息进行管理、保护和分配的规则和指示。
B、定义1SMS的范围:ISMS的范围是需要重点进行信息安全管理的领域,组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。
C、实施风险评估:首先对ISMS范围内的信息资产进行鉴定或估计,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。
D、风险管理:根据风险评估与现状调查的结果。确定安全需求,决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。
E、选择控制目标和控制措施:根据风险评估和风险管理的结果,选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择,也可以应选择一些其它适宜的控制方式。
F、准备适用性申明(SOA):SOA是适合组织需要的控制目标和控制的评论,记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。
2)实施信息安全体系(D01
在DO阶段将解决方案付诸实现,实施组织所选择的控制目标与控制措施。
3)检查信息安全体系(cHECK)
在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施,予以改进,以保证控制措施的有效运行。在此过程中,要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有:日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。
4)改进信息安全体系(ACT)
在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础,寻求改进的机会,采取相应的措施进行调整与改进。