信息安全管理模型、框架与策略解析

### 信息安全管理模型、框架与策略解析 在当今数字化时代，信息安全管理至关重要。企业和组织需要综合运用各种模型、框架、标准和最佳实践来构建有效的安全体系。下面将详细介绍相关内容。 #### 模型、框架、标准和最佳实践 - **模型**：是对系统、理论或现象的一种示意性描述，用于解释其已知或推断的属性，并可用于进一步研究其特征。企业常使用模型来促进创新，最大化创新或变革所产生的价值。在企业内部，模型可将战略和使命转化为适用于流程或组织实体的概念和步骤。 - **框架**：为构建和管理健全的安全计划提供结构，并通过监控确保其持续成功。与模型不同，框架通常是规范性的，而非描述性的。 - **标准**：是一种经过商定且可重复的做事方式，是包含技术规范或其他精确标准的公开文件，可作为规则、指南或定义持续使用。在信息安全领域，标准为专业人员提供了方向，并为企业向最佳实践迈进提供了基准。常见的信息安全标准包括国际标准化组织（ISO）的[ISO/IEC 27001]和更广泛的[ISO/IEC 27000]系列、NIST的[NIST SP800 - 53r4]以及支付卡行业数据安全标准（PCI DSS）等。 - **最佳实践**：涵盖了一系列全面的方法、解决方案、规则、活动、政策、程序和计划。在传统IT环境中，最佳实践可平衡信息访问需求和充分保护的需求。 然而，尽管有众多的方法可供选择，但由于信息安全的定义支持多种观点，可能需要结合多种方法和最佳实践。同时，安全领域是多样化且快速发展的，需要测量概念来弥合专业技术领域和集成系统管理之间的差距。 #### 安全管理面临的挑战与应对 即使使用了框架和标准，安全专业人员仍面临诸多挑战，如高级管理层对信息安全倡议的理解和承诺不足、信息安全在新技术实施前的规划中参与度不够、业务与信息安全的整合问题、信息安全与企业目标的一致性问题，以及执行和一线管理层在实施、监控和报告信息安全方面的所有权和问责制问题。 管理需要基于通用且有效的方法来定义安全计划。不同的组织可能有不同的选择，决策可基于组织的当前实践或常用且被证明有效的方法。此外，由于有众多工具可供选择，在理解和应用模型、架构、标准、方法、方法论和框架等术语时可能会产生混淆。通常，组织可能需要调整或修改多个框架以满足业务需求，所选框架将作为设计、选择和实施所有后续安全控制的基础。 #### 智能电网系统的安全管理 ##### 统一视图 电网信息安全和保护兼具工业控制系统（ICS）和信息技术（IT）系统的特点。电气部门的组织的安全计划应支持基于传统IT和控制系统活动集成的智能电网系统统一视图。虽然ICS和IT系统都需要信息安全服务来抵御恶意攻击，但这些服务在电网中的具体应用取决于适当的风险评估和风险控制方法。不同类型的攻击以及系统的不同性能要求决定了为每个系统实施的安全服务的特定优先级顺序。 此外，电力传输和分配管理功能的威胁概况与IT功能（如公用事业客户计费）的威胁概况有很大不同，因此需要不同的安全态势。同时，应采用结构化方法将安全与安全在一个领域模型中进行集成，以实现风险和危害管理的有效互动。 ##### 组织安全模型 管理需要建立组织安全模型，这是一个由许多实体、保护机制、逻辑、行政和物理组件、程序、业务流程和配置组成的框架，共同为环境提供安全级别。每个组织安全模型都是为满足组织的需求和业务目标而构建的，以分层方式工作，一层为上一层提供支持，为下一层提供保护。该模型具有不同的目标，可分为运营（日常）、战术（短期）和战略（长期）三个层面，因此安全规划应分为这三个不同的领域，这种规划方法称为规划视野。 #### 安全作为业务问题 安全计划应从战略、战术和运营角度解决资产安全问题。成功的信息安全管理（ISM）计划必须包含涵盖硬件、软件和人员等多个维度的政策和程序。智能电网系统和分布式能源资源（DER）系统的统一安全管理计划应包括针对IT和控制系统的特定政策和程序。 ##### 战略管理 战略ISM关注信息资源和信息安全基础设施的长期作用，旨在确保组织拥有实现其长期业务目标所需的基础设施。数据管理、风险管理和应急规划等都是具有战略导向的活动。战略管理通过治理安排对利益相关者负责资源的使用，其客户包括外部（可能还有内部）利益相关者。战略管理的实践包括履行安全责任的具体目标，如提供信息安全、物理安全、工作场所安全的领导和协调，与组织单位的互动，改进信息安全管理系统（ISMS），任命管理人员和内部及外部审计员，与其他组织建立关系，以及为信息安全提供资源等。 ##### 战术管理 战术ISM包括将战略安全计划转化为更详细的行动，涉及制定实施计划和时间表以实施新的安全控制。其他重要的战术管理功能包括选择供应商、培训用户和管理员，以及制定后续评估和维护计划。 ##### 运营管理 运营ISM涉及管理组织日常安全运营的活动。包括日志分析在内的最佳业务实践模型并不总是能在信息保护方面提供最高水平的性能。 #### 系统性安全管理 系统性安全管理（SSM）是一种安全管理方法，旨在服务于扩展企业以及合作伙伴、供应商、客户和社区。该方法认为，安全问题不应被简单地视为三维（流程、技术和人员）或四维（加上组织）概念，而应研究和理解人员、流程、技术和组织设计如何相互作用，以创造出安全问题的复杂组合。 SSM方法围绕一组核心原则构建，旨在确保在保持战略合作伙伴之间信息共享和创新能力的同时，实现最佳的保护平衡。其主要重点是通过先进技术、主动规划、开放沟通和员工承诺来预防潜在的灾难性安全事件。组织需要建立完全集成的政策，使流程成为其文化的一部分，并考虑架构、启用、出现和人为因素等方面的紧张关系。 #### 模型比较与讨论 安全计划的成功取决于ISMS模型和框架的实施，因此选择合适的安全方法和模型是任何组织的重要业务目标。目前有众多的ISMS模型和框架可供选择，组织需要分析和比较当前解决方案的优缺点，包括新趋势的前景。 例如，[ISO/IEC 27001]是基于控制的，而ISM3是基于流程的，并包括流程指标。ISM3是一种安全管理标准，用于在给定预算的情况下，即使发生错误、攻击和事故等不良事件，也能实现组织的使命。[ISO/IEC 21827]标准定义了安全工程流程以及与其他流程的关系，与ISM3的区别在于，ISM3侧重于管理，而ISO/IEC 21827侧重于工程。ISM3模型是O - ISM3框架的