ISMS(ISO27001)信息安全管理体系中的PDCA简介
ISO27001-2005提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型,是分析提出ISMS的需求和对组织安全水平的评估标准,是实现组织ISO27001安全体系的重要指南。采用ISMS应是一个组织的战略决定。
因此,如果让我们用一句话来总结信息安全领域对管理的重要性的认识,那就是从抓好信息安全管理(如BS7799-1)到建立信息安全管理体系,(如ISO27001)是人们在信息安全认识论上一个质的飞跃。下面我们对戴明环中的各个环节进行一个简介:
1)P(计划)
在PDCA戴明环中,计划(Plan)是第一个环节。所谓计划就是规定你应该做什么并形成文件。戴明环的计划要求是:建立与管理风险和改进信息安全有关的ISMS方针、ISO27001目标、过程和ISO27001程序,以提供与组织整体ISO27001方针和ISO27001目标相一致的结果。
组织对其所追求的ISO27001信息安全方针、ISO27001目标等安全战略层面的思考,要和组织的业务战略这个最高层面的战略方针、目标相匹配。
PDCA计划环节的首要任务是建立ISMS体系,即它的范围、方针、风险评估和管理、管理者授权实施、运行ISMS和适用性声明。
2)D(实施)
在PDCA戴明环中,实施(Do)就是做文件规定的事情。严格遵照计划阶段制定的ISMS文档,实施和运行ISMS方针、控制措施、过程和程序。实施ISMS的主要工作包括:
a.制定风险控制计划。例如制定风险评估计划以及风险评估工作结束后要制定安全解决方案等。
b.实施风险控制计划。例如进行风险评估、根据安全解决方案进行系统加固、改造、升级等等。
c.度量所选择的控制措施的有效性。例如整改完成之后进行剩余风险的评估,评价其是否满足承受风险的最低限度。
d.实施培训和意识教育计划。例如按照培训计划进行安全意识、安全技能、应急演练等培训。要注意整个过程需要记录在案并评估其有效性。
e.安全事件响应。根据ISMS制定的计划(其中就包括诸如应急响应计划等),对突发安全事件进行处置。同样要注意整个处置过程的记录和事后评估。
f.管理ISMS的运行。例如按照计划阶段确定的要求,组织ISMS定期评审、评审后的改进等等。
g.管理ISMS的资源。管理者应当通过对ISMS资源的优化管理,来体现一个组织决定进行ISMS建设的正确性和有效性。事实上,有一些ISMS不成功的案例并非组织机构没有决心或者没有投入,而是投入的成本效益没有进行科学的分析和有力的展示。
3)审核(Check)
在PDCA戴明环中,审核就是评审你所做的事情的符合性。对照ISMS方针、目标和实践经验,评估ISMS执行过程的具体情况,并将结果报告管理者以供评审。
检查内容包括:
a.ISMS的执行程序及其其它控制措施是否得以认真贯彻;
b.ISMS有效性的定期评审;
c.度量控制措施的有效性以验证安全要求是否被满足;
d.按照计划的时间间隔进行风险评估的评审等等。
4)改进(Action)
在PDCA戴明环中,改进就是采取纠正和预防措施,持续改进。基于ISMS的检查结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。
在这一阶段,一个组织应经常:
a.对已发现的ISMS需要改进的地方采取措施。例如在风险评估中发现的脆弱性应该尽快加以封堵等等。
b.从其它组织和组织自身的安全经验中吸取教训。
c.向所有相关方沟通措施和改进措施。例如一个组织在进行了等级保护测评、风险评估、应急响应演练之后所发现的问题,应该向上级主管部门或安全服务机构、设备集成提供商等进行沟通,等等。
以上就是ISMS-PDCA戴明环的简要内容。需要指出的是,在信息安全领域中常用的模型如PDRR模型,PPDRR模型等,从信息流和信息链传递的视角来看,实质上和PDCA戴明环有着异曲同工之妙。
PDRR等模型的优点是将信息安全中的几大要素整合在一起,形成了一个螺旋上升、不断改进的闭环,这一点与戴明环的思想是一致的。然而,PDRR等模型没有将信息安全提升到质量管理体系这个高度来认识,因此本文将以ISMS为主要依据。
除了国际标准化组织对ISMS的建设进行了系统研究并颁布了相关标准之外,国内外学者也对ISMS极其相关领域进行了诸多探索,如文献、等。其中文献利用软 件工程中的能力成熟度模型(Capability Mutual Model,CMM)思想,针对ISMS建设的不同阶段进行了探讨。本文将在文献的基础上进 行详细研究。文献对信息系统的等级划分进行了研究,但该文并非根据TCSEC标准或其他国际相关标准来进行安全等级划分。中国信息安全产品测评认证中心 (现更名为中国信息安全测评中心)的姚轶崭等针对ISMS中的PDCA戴明环和主体-访问-客体过程,引入了小循环、大循环的方法对逻辑控制环节 进行了研究。这种对PDCA循环进行细分的思想对本文也有所启迪。
综上所述,本文的研究思路受文的启发,并结合了国内外有关学者的研究成果,根据ISMS-PDCA戴明环和软件工程中能力成熟度模型和信息安全风险评估的基本思想,提出了ISMS-CMM成熟度模型,并对其各个阶段的具体内容进行了详细研究。
