本文介绍了信息安全管理体系(ISMS)的概念及其在微观、中观和宏观三个层面的应用。从微观安全的技术实现,到中观安全的运营管理,再到宏观安全的战略决策,形成了一套完整的安全管理体系。并阐述了安全管理系统平台如何在不同层面间传递信息和支持决策。
ISMS(Information Securitry Management Systems,信息安全管理体系)是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进信息安全的管理体系 。组织建立与实现ISMS是一个整体考虑、充分规划、持续运作与长治久安的过程,与组织不同层面的岗位和岗位职能密不可分,可以通过微观安全、中观安全和宏观安全清晰地分析出不同层面的安全需求和安全目标,见图1。
图1 三观论在信息安全中的运用
信息安全三观论的执行模型分为底层的实现层,体现为安全产品和规范化的安全服务等安全部件,包括策略、组织、过程与技术;中间的运营层,体现为对于安全产品的集成管理和各种安全任务的流程管理,包括预警响应、综合分析与信息采集;顶层的决策层,从全局掌控组织的安全形态,通过决策、分析咨询制定与改进安全战略。
安管平台要实现将安全工作、安全信息能上传到决策层,以确保决策层的支持和指导,这样才能够保证组织安全战略与业务战略的执行与实现;安管平台还要能够将安全任务、安全政策下达到实现层,以确保所有问题都落实得非常具体,并且符合安全规范;另外,安管平台还需要保障运营层能协调、控制、反馈、管理实现层的安全要素,已达成决策层的安全使命和决策。
从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程。
我国信息安全领域的认识和发展过程是一个从微观安全起步,比如加密、防病毒、防火墙等;逐步认识到宏观安全的重要,希望了解全面地安全状况而开展风险评估;进而认识到安全执行的重要性,开始考虑安全运营系统、集中式的安全监控平台,以及和其他IT系统的综合集成等问题;最终全面地认识从微观、中观到宏观三方面的重要性。
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
