安全管理与安全计划全解析

### 安全管理与安全计划全解析 #### 1. 安全管理概述 安全是任何组织都需考虑的重要管理事项。安全管理是一个广泛的管理领域，涵盖资产管理、物理安全、网络安全以及人力资源安全等功能。它需要识别组织的信息资产，并制定、记录和实施相关政策、标准、程序和指南。 随着技术、网络、环境、计算机、设备、计算系统、用户需求、信息处理和结构、信息架构、信息系统、威胁、法律以及组织趋势的变化，安全管理也在不断发展。如今，信息不再集中于一处，而是分散在服务器、工作站、个人设备、网络和传感器等各个地方。互联网和网络技术的发展，让安全问题变得更加复杂和关键。实际上，信息安全并非单纯的信息技术问题，而是企业面临的一种风险。企业最终要对信息管理负责，包括识别敏感内容以及确定如何在组织内对其进行控制，这应明确纳入企业战略。 除了技术安全控制措施（如防火墙、密码、入侵检测系统、灾难恢复计划、加密、虚拟专用网络等），组织的安全还涉及流程和人员相关的问题，如政策、培训、习惯、意识、程序以及各种非技术或技术含量较低的问题。这些因素使得安全成为一个复杂的系统，并且是一个基于跨学科技术的过程。 #### 2. 信息安全 信息安全是安全管理的一个基本概念，它指的是保护信息和信息系统免受未经授权的访问、使用、披露、破坏、修改、查看、检查、记录或销毁。这是一个通用术语，无论数据是以电子形式还是物理形式存在都适用。与之相关的概念是信息安全管理（ISM）。 多年来，信息安全概念在标准、词典和其他出版物中出现了多种定义。然而，由于信息安全的发展、标准的演变等因素，可能并不存在一个通用的定义。因此，有必要确定最新的定义，并了解信息安全行业和能源领域的当前趋势。 #### 3. 安全管理组件 安全管理包含以下组件： - 安全流程 - 风险管理与分析 - 安全控制的实施与管理 - 组织角色与职责 - 信息分类 - 信息安全计划、政策、程序、标准、指南、基线、信息分类和文档 - 人员安全与隐私 - 安全意识以及持续的教育和培训 这些组件是组织安全计划的基础。安全计划是为满足业务需求和进行风险分析，综合实施的技术、运营和程序措施以及管理结构，以确保信息的保密性、完整性和可用性。 安全计划的其他组件可能包括： - 设施管理以及信息和通信技术（ICT）连续性管理计划 - 业务连续性管理计划 - 健康与安全政策和程序 - 认证要求，如ISO 27000系列或新的服务审计标准（SSAE 16/ISAE 3402） - 相关活动，如监控、外部安全服务和外包安排 此外，从信息和安全的角度来看，组织需要对供应链风险进行管理（SCRM）控制。产品和供应链数据运行在连接供应链的业务软件之上，全球范围内存在许多薄弱环节，可能会造成巨大的干扰。网络安全和供应链风险正受到高级管理层和董事会成员的更多关注，但许多公司在责任落实方面仍存在不足。 信息安全计划用于描述控制信息资产风险的活动。一些组织可能更倾向于使用ISO 27001标准中定义的信息安全计划，即信息安全管理系统（ISMS）。尽管有标准和指南支持在能源领域实施最低安全措施，但仍存在许多安全挑战，需要基于有效的安全计划来解决。 #### 4. 管理任务 管理层必须启动安全计划，并将其融入组织的业务环境。管理层的支持是安全计划的重要组成部分。 管理层需要制定一个能有效满足组织关键需求的计划，支持组织的使命目标，确保信息资产得到必要的保护水平，符合法规和行业标准，并使安全融入整体IT治理模型。安全应成为组织IT治理过程以及IT选择和使用的重要组成部分。 安全管理还需为组织所有员工提供安全教育、信息系统使用、培训和威胁意识方面的资源。这些培训应涵盖组织信息系统的使用、管理和维护，这对于支持组织计算资源的运营可行性以及实现其使命目标至关重要。 由于技术、管理、组织及其使命目标会不断变化，且并非总有一套标准的绩效指标，因此管理层的另一项任务是建立一套能够生成衡量安全管理绩效指标的系统。通过良好的数据和基线绩效指标，可以进行趋势分析，并调整活动以获得最大效益。数据收集点，如呼叫响应时间、故障间隔时间、系统可用性、特定时间段内的事件数量等，都可作为基线参考点，用于衡量安全计划的绩效。 事件响应也是管理层的职责之一。事件通常是与信息系统活动相关的组织事件，违反或看似违反了管理该系统作为运营IT资源使用的安全政策或标准。管理层必须组建一个团队，作为中央协调点，负责整体事件响应、协调事件调查、促进事件遏制和支持补救活动，并收集法医数据以供进一步分析或采取行动。法医数据可能包括获取恶意软件或病毒的副本并进行逆向工程，以及进行详细的日志分析，以确定具体威胁和攻击途径，进行损害评估并实施未来的应对措施。在当前的IT和ICS安全实践中，还可能需要与执法部门和其他安全组织进行联络。事件响应团队的一部分或一个独立的团队可能负责灾难恢复和业务连续性管理活动。 组织的运营目标是在合理的时间内恢复自身能力并提供运营服务。灾难恢复和业务连续性的细节需要通过对组织需求的全面分析、规划和频繁测试来确定，以验证计划的有效性。每次测试后都应对计划进行修订，以吸取经验教训并避免重复错误。至少，系统配置、功能和使用会随时间演变，因此需要对计划进行相应的改进。规划旨在应对风险评估活动中确定的最可能的威胁或一组威胁，并制定连续的计划来遏制、补救和恢复系统可用性。 管理层的角色是确定实施安全计划的目标、范围、政策、优先级和策略。智能电网应用的网络安全策略的主要目标应是预防，但也需要制定在遭受网络攻击时的弹性响应和恢复策略。管理层团队应创建并实施一个安全计划，以降低此类事件发生的可能性，并在事件发生时将其对组织的影响降至最低。该计划必须基于可重复的流程，而不是个人的单一行动来解决或补救问题。 网络安全策略的主要目标是预防。信息安全管理的主要目标是保护资产，并且应以适当的安全措施来平衡信息和系统