超级会员免费看
利用知识复用构建信息安全管理体系
在当今数字化的时代,企业的信息安全管理体系(ISMS)构建至关重要。利用已有的知识和模式进行复用,可以为企业节省成本、提高效率。下面将详细介绍相关的方法和流程。
模式复用与ISMS构建
每个模式都包含了企业在安装ISMS过程中获得的知识,适合具有相似结构特征的企业复用。企业在构建ISMS时,首先要确定是否可以复用现有的模式。如果由于某些特定特征无法完全适配某个模式,可以先复用该模式,随后进行细化以适应特殊情况。若存在能完全适配企业特征的模式,则无需使用特定的方法流程,这将为中小企业在生成ISMS时大幅降低成本。
其中,GSMS(安全管理系统生成)子流程的主要目标是利用现有模式为企业创建合适的ISMS。而生成模式(GSMP)是该方法中最复杂的子流程。研究中,开发了第一个模式rRPSM(安全管理根可复用模式),以此为基础可以开发新的模式。新模式由安全专家生成,由于可被具有相似结构特征的其他企业复用,能极大降低其他子流程产生的成本。
模式生成的关键流程
模式生成过程涉及多个关键活动,下面为您详细介绍:
-
输入
:
- 一组安全领域专家在ISMS部署过程中获得的知识,该知识在方法的生命周期内是循环且递增的。
- 一组源自法规、最佳实践指南和其他现有方法的元素。
-
活动
:
-
A1.1 - 主表生成
:确定最适合待创建模式的通用元素。输入为安全领域专家在ISMS部署过程中获得的知识,以此选择根模式的元素子集。根模式的元素来源如下:
-
角色
:由ISACA公司为其系统部门成员提出的角色组成,并结合方法中定义的主要配置文件进行完善。
-
成熟度级别
:是Eloff提议的变体,有3个成熟度级别,同时也研究了具有5个成熟度级别的其他模型。
-
业务部门
:由NACE代码(欧洲行业分类标准)的提议组成。
-
A1.2 - 成熟度级别表生成
:确定最适合待创建模式的控制和成熟度规则,用于确定企业当前的安全成熟度级别以及建议发展的成熟度级别。输入包括安全领域专家的知识、“确定成熟度级别”任务中获得的成熟度级别以及一组用于选择最终元素的元素。该部分根模式的元素来源如下:
-
成熟度规则
:用于定义企业期望达到的安全级别,即基于其结构特征应能达到的最大成熟度级别。
-
安全控制
:采用ISO/IEC27002的最佳实践指南建议,并将控制分解为一组子控制,以便更精确地了解企业当前的安全管理水平。
-
A1.3 - 风险分析表生成
:选择必要的元素,以便在后续方法活动中对企业信息系统活动进行低成本的基本风险分析,以适应中小企业的需求。输入包括安全领域专家的知识、在“确定控制”任务中选择并存储在模式库中的控制,以及创建风险分析所需的一组元素(活动类型、威胁、漏洞和风险标准)。该部分根模式的元素选择基于Magerit的风险分析方法和ISO/IEC27005标准。
以下是模式生成过程的mermaid流程图:
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(输入):::process --> B(A1.1 - 主表生成):::process
A --> C(A1.2 - 成熟度级别表生成):::process
A --> D(A1.3 - 风险分析表生成):::process
B --> C
C --> D
B --> E(根模式):::process
C --> E
D --> E
根模式的元素构成
根模式的元素构成如下表所示:
|活动|元素|详情|
| ---- | ---- | ---- |
|A1.1 - 主表生成|角色|6个通用角色(MSM2),11个用户角色(ISACA)|
||业务部门|21个(NACE 2009)|
||成熟度级别|3个(Eloff)|
|A1.2 - 成熟度级别表生成|成熟度规则|6个|
||领域|11个|
||控制目标|39个|
||控制|133个|
||子控制|896个|
||成熟度级别|3个|
|A1.3 - 风险分析表生成|资产类型、威胁、漏洞、风险标准、控制等|基于Magerit和ISO/IEC27005标准确定|
模式会不断接受评估,并根据每次新部署中从领域专家小组获得的知识进行更新。通过这种方式,企业可以更高效地构建和完善自己的ISMS,在保证信息安全的同时,降低成本并提高管理效率。
利用知识复用构建信息安全管理体系
GSMP子流程的重要性与优势
GSMP过程是整个方法的主要贡献之一,它就像一个强大的测试库。借助这个测试库,我们能够对已开发模型上的各种ISMS配置进行分析。具体来说,它允许我们详细研究在生成ISMS时选择不同元素或不同关系所产生的影响,以及这些元素和关系后续如何与ISMS相互作用。
不同活动的详细分析
- 活动A1.1 - 主表生成 :此活动的关键在于从安全领域专家在ISMS部署过程中获取的知识里,挑选出能构成根模式的通用元素。例如,在角色方面,根模式采用了ISACA公司为其系统部门成员提出的角色,并结合方法中定义的主要配置文件进行完善,这样可以确保角色的设置既符合行业标准,又能适应具体的方法需求。成熟度级别参考了Eloff的提议,设定为3个级别,同时也研究了具有5个成熟度级别的其他模型,这体现了在确定成熟度级别时的灵活性和全面性。业务部门则依据NACE代码(欧洲行业分类标准)的提议来构建,保证了模式在行业分类上的规范性。
- 活动A1.2 - 成熟度级别表生成 :该活动聚焦于确定适合模式的控制和成熟度规则,这些规则和控制对于评估企业当前的安全成熟度级别以及规划未来的发展方向至关重要。输入信息包括安全领域专家的知识、“确定成熟度级别”任务的结果以及一组用于选择最终元素的元素。以ISO/IEC27002为基础,引入了133个控制,并将其分解为896个子控制,这种细致的划分有助于更精确地评估企业的安全管理水平。成熟度规则用于定义企业期望达到的安全级别,它基于企业的结构特征,如员工数量、年度账单、研发部门情况等因素来确定。
- 活动A1.3 - 风险分析表生成 :目的是为了满足中小企业的需求,选择必要的元素来进行低成本的基本风险分析。输入包括安全领域专家的知识、存储在模式库中的已选控制以及创建风险分析所需的元素。元素的选择基于Magerit的风险分析方法和ISO/IEC27005标准,例如对于威胁类型,考虑了从Magerit中衍生出的6种最重要的威胁类型,并建立了这些威胁类型与之前活动中所选控制之间的1040种关系。
以下是各活动输入输出的表格总结:
|活动|输入|输出|
| ---- | ---- | ---- |
|A1.1 - 主表生成|安全领域专家在ISMS部署过程中的知识|包含角色、业务部门、成熟度级别的主表|
|A1.2 - 成熟度级别表生成|安全领域专家知识、“确定成熟度级别”结果、一组选择元素|包含成熟度规则、控制等的成熟度级别表|
|A1.3 - 风险分析表生成|安全领域专家知识、模式库中的控制、创建风险分析所需元素|包含资产类型、威胁、漏洞等的风险分析表|
整体流程总结与展望
通过上述的GSMP子流程,我们能够生成根模式,进而为具有相似结构特征的企业创建新的、更具体的模式。整个过程以国际公认的标准和法规为基础,确保了模式的有效性和质量。模式的结构具有很强的适应性,能够根据不同的法规进行调整,甚至可以只选取部分模式进行应用,这为企业在构建ISMS时提供了极大的灵活性。
未来,在不断完善该方法和模型的过程中,我们将重点关注提高其精确性,同时始终遵循资源成本原则,即在不增加ISMS生成和维护成本的前提下,提升模型的性能和效果。这样,企业能够在保障信息安全的同时,实现成本的有效控制和管理效率的提升。
以下是整个构建ISMS流程的mermaid流程图:
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
F(企业需求):::process --> G(确定是否复用模式):::process
G -->|可复用| H(选择合适模式):::process
G -->|不可复用| I(GSMP生成新模式):::process
H --> J(GSMS生成ISMS):::process
I --> J
J --> K(MSMS维护ISMS):::process
综上所述,利用知识复用构建ISMS是一种高效、经济且可行的方法,能够为企业的信息安全管理提供有力的支持。
扫一扫
2492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
