12.12 信息安全管理体系

信息安全问题从攻防的角度来看，双方的力量是严重不对称的。从攻击者的角度来看，只要找到系统的一个脆弱点，攻击成功的可能性就会增大。而对于防守方来讲，每一个脆弱点都需要进行修复和弥补。木桶原理非常适用：信息安全管理的水平取决于管理中最薄弱的环节。

GB/T 29246-2017(ISO/IEC 27000:2016)中描述了信息安全管理系统成功的主要因素：

1.信息安全策略、目标和与目标一致的活动；

2.与组织文化一致的，信息安全设计、实施、监视、保持和改进的方法与框架；

3.来自所有管理层级、特别是最高管理者的可见支持和承诺；

4.对运用信息安全风险管理（ISO/IEC27005)实现信息资产保护的理解；

5.有效的信息安全意识、培训和教育计划，已使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务，并激励他们做出相应的行动；

6.有效的信息安全事件管理过程；

7.有效的业务连续性管理方法；

8.评价信息安全管理性能的测量系统和反馈的改进建议。

说白了就是公司有健全的安全管理制度，制度能够有效落实。每个人都知道自己的安全责任，知道应该做什么、怎么做，还能得到公司领导层的有效支持。

结合PDCA模型，信息安全管理体系建设可以分为规划与建立（Plan），实施与运行（Do），监视和评审（Check）以及维护和改进（Adjust）。

在运用该模型时，按照P-D-C-A的顺序依次进行，一次完整的PDCA可以看成一个管理周期，每经过一个管理周期，管理体系都会得到一定程度的完善，同时进入下一个更高级的管理周期。通过连续不断的PDCA循环，管理体系就能得到持续的改进，管理水平也会随之不断提升。PDCA的嵌套循环是信息安全管理体系的根本。

信息安全管理体系怎么管，管什么？

ISO 27002标准中定义了控制措施的分类，每一个主要安全类别包括控制目标，就是声明要实现什么；以及可被用于实现该控制目标的一个过多个控制措施。ISO27002中规定的控制措施被认为是适用于大多数组织的最佳实践，并很容易适应各种规模和复杂性的组织。

ISO 27002:2013标准中，将控制措施划分为14个安全控制章节，包括：安全方针，信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购、开发与维护、供应商关系、安全事件管理、业务连续性管理和合规性。

这14个安全控制章节的内容在《网络安全等级保护基本要求》中都有体现，如果组织没有进行ISO 27000的认证的话，认真落实好《网络安全等级保护基本要求》也能够提升组织的信息安全管理能力。