ISMS与BCM体系融合实现方法的初探∗

王凤娇， 徐然， 魏军

(中国信息安全认证中心，北京100020)

ISMS与BCM体系融合实现方法的初探∗

王凤娇， 徐然， 魏军

(中国信息安全认证中心，北京100020)

近年来,随着各行业对信息技术依赖程度的不断提高、网络安全威胁的日益加剧以及各类突发事件的频发,信息资产的安全和业务的连续性成为社会各界关注的焦点,很多组织已经建立或即将建立信息安全管理体系(ISMS)和业务连续性管理体系(BCMS),必将面临两个管理体系(甚至包括ISO 9001等多个管理体系)并存的问题,如何有效利用组织资源,实现利益最大化是一个值得关注的问题。本文在对ISMS和BCMS进行比较分析的基础上,提出了一种实现ISMS与BCMS融合的思路。

业务连续性管理;信息安全管理;风险评估;业务影响分析;业务连续性计划

0 引言

为了提高组织的管理能力和适应国际化发展的需要,近年来,ISO 9001(质量管理体系)、ISO 14000(环境管理体系)、ISO 27001(信息安全管理体系)以及新发布的ISO22301(业务连续性管理体系)等国际管理体系标准在各行业得到广泛的普及和推广。目前,一个组织同时独立运行几个管理体系的现象非常普遍,由此也带来了一些问题,如:各个管理体系由不同的管理部门负责,缺乏联系沟通和统一管理;几套体系文件并行造成文件多且复杂,同一工作可能有不同的标准和制度要求;不同管理体系的定期内审、管理评审、整改等工作重复性较高,单独开展给基层工作人员带来了很大负担等等。基于这些问题,如何有效的利用组织的现有资源,将若干个管理体系进行融合,减少重复性工作,形成优势互补,实现以低成本、高效率运行管理体系的方式促进组织整体管理水平的提高,从而实现利益最大化值得深入研究和思考。

鉴于信息安全管理与业务联系性管理密切相关,以及新版ISO27001(2013)标准和ISO 22301标准在结构(都采用了导则83要求)和流程安排上的一致性,本文拟在分析信息安全管理体系和业务连续性管理体系关系的基础上,探讨两个体系融合的可行性,并提出一种实现融合的思路。

1 ISMS和BCMS简介

1.1 ISMS及其标准ISO27001

随着全球网络信息安全环境的日益恶化,保护信息资产免受各种威胁的损害,从而确保业务连续性,降低业务风险,使投资回报和商业机遇最大化是组织追求的信息安全目标。要达成信息安全目标,必须采用系统的控制方法,建立程序化、制度化、长效化的信息安全管理体系。ISO 27001标准提供了这样一套系统的信息安全管理方法,为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了一个框架模型。ISO27001通过这些控制措施实现对信息的机密性、完整性和可用性的全面保障,是国际上应用最广泛的信息安全管理标准。2013年,ISO组织(国际标准化组织)对该标准进行了改版,正式颁布了新版ISO 27001:2013。在新版当中采用ISO导则83做结构性要求,并明确了以组织业务关系为主体,重视与业务和全面风险管理的融合。

1.2 BCMS及其标准ISO 22301

一个组织在其关键业务发生中断及中断后能恢复正常功能的能力和速度,已经成为当前商业生态环境下组织成功和失败差异的重要标志。因此,业务连续性管理作为组织应对突发事件,保障其业务连续的有效方法,在国际上被越来越多的组织采用。2012年,国际标准化组织 ISO发布了 ISO22301:2012《公共安全—业务连续性管理体系－要求》标准。ISO 22301致力于使公共或私有部门的组织更具有适应性,它将业务连续性管理相关的知识、工具和方法形成了一套完整的体系,并形成了识别对组织的潜在威胁,以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。其管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业的运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来的损失。中国信息安全认证中心与中国标准化研究院已于2013年将此标准转化为国家标准,并于2014年5月正式实施。

2 ISMS与BCMS对比分析

2.1 ISMS和BCMS侧重点差异分析

信息安全管理体系(ISMS)是组织整个管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。ISMS强调的是基于业务风险的方法来组织各项信息安全活动,因此,风险管理是ISMS体系建设的基础和关键,包括风险评估和风险控制。通过风险评估,对可能影响组织资产的风险进行识别、分析和评估,并依据评估结果采用合适的技术和管理手段,防范和控制组织的风险,侧重预防。

业务连续性管理体系(BCMS)建设的目标不仅要使业务功能在灾难后能得到全面恢复,还要确保关键业务功能在中断或灾难事件中,能够迅速地恢复连续运行,强调的是建立一个明确的时间响应架构,侧重纠正。BCMS涵盖组织业务经营、运营支持及后勤保障等所有的业务板块,覆盖事前、事中、事后等全程管理。通过对各个业务流程潜在危机及影响的分析,制定相应的应对流程及管理框架,并进行持续的管理是BCMS的关键和核心方法。

2.2 ISMS和BCMS共性关系分析

尽管两个管理体系有各自的侧重点,但最重要的是它们有着共同的目标,即降低组织运营的风险,因此从某种意义上说两者都属于风险管理的范畴。虽然一般我们不称业务连续性管理的日常为风险管理,但实际上业务连续性管理所做的识别潜在的问题并采取适当的控制措施来降低这些风险正是风险管理的工作。另一方面,保证信息的可用性是业务连续性管理的一个重要目标,而这也是信息安全管理的目标之一。根据上述分析,ISMS与BCMS的关系可以通过下图来体现:

图1 ISMS与BCMS关系图

3 实现ISMS与BCMS融合的思路

3.1 可行性分析

尽管各类管理体系的侧重点不同,但是它们都强调规范企业和组织的行为,使组织的运行产生最大的效益和更高的效率。通过对ISO 27001(2013版)和ISO 22301标准的共同要素进行梳理,在实施过程中进行同步和融合,可以最大限度地利用组织现有的资源,提高整体的绩效。

首先,ISO 27001(2013版)和ISO 22301标准均采用了导则83的结构性要求,在结构和流程安排上保持了一致,便于在实施过程中对工作流程的安排进行同步和融合。

其次,ISO 27001(2013)标准明确了以组织业务关系为主体,摒弃了原来识别资产、资产威胁与脆弱性的方法论,肯定了管理层面以业务价值为基础,识别信息、确定信息的价值,这为与以业务流程为基础的ISO 22301管理标准相融合提供了极大便利。

再次,通过比较两个标准的要求,它们在文件和记录控制、人力资源管理、内审、管理评审、纠正措施、设立可测量的目标和准则等方面高度一致。

特别是风险评估和事件管理两项工作更是可以说是重叠的部分,只不过在业务连续性管理体系中风险评估和业务影响分析一同作为制定业务联系性计划的基础和依据。

此外,ISO 27001标准附录A17中提出了业务连续性管理的要求,但是没有具体的方法和指导。ISO 22301作为国际公认的业务连续性管理最佳实践基准,为如何实施业务连续性管理提供了具体的要求和方法指导。

3.2 一种实现融合的思路

通过对ISMS和BCMS关系的分析及对共同要素的梳理,本文对两个管理体系的融合和同步实施提出如下思路和建议:

1)在实施过程中,将BCMS建设作为ISMS建设的子项目,指定BCMS协调代表,建立BCMS实施项目小组。对于BCMS的关键和核心要素按照ISO22301标准的要求安排部署,其它的方面采用ISO 27001标准的要求。

2)通过获得最高管理者的支持,建立共用的组织架构。包括设定管理者代表,指定专业技术骨干,确定内部审核人员。ISO 22301标准在支撑中强调了“能力”的概念,因此,BCMS实施小组的人员必须是具有相应知识、技能和经验的人员,承担BCMS的实施和管理工作并当事故发生时作出应对。

3)对体系文件进行融合和同步建立。对于文件和记录控制、人力资源管理、内审、管理评审、纠正措施、设立可测量的目标和准则、风险评估、事件管理等一致性较高的文件进行融合,在管理要求上达到同步甚至统一,减少不必要的重复。

4)实施和维护过程协同推进。两个管理体系的实施和管理维护都遵循PDCA的过程。因此,对于日常的内审、管理评审、持续改进等一致性较高的工作和环节同步进行,以便减少基层工作人员负担,节约资源、提高效率。

4 结语

本文在对ISMS和BCMS关系的分析及对相应标准对比的基础上,提出了两个体系融合实施的思路建议并分析了融合实施给组织带来的好处。

通过对两个体系共同和相似要素的融合和同步实施,一是在组织内部最大限度的实现了“管理统一、制度统一、过程统一”,减少不必要的重复,从而优化组织资源利用、提高绩效;二是实现优势互补,促进ISMS和BCMS两个体系更好的发挥其作用。

此外,如果从体系管理的组织机构建设和认证的角度出发,本文提出的融合思路更是可以减少单独实施两个体系的大量工作。

[1] GB/T 22080－2008/ISO/IEC 27001:2005《信息技术 安全技术信息安全管理体系要求》[S].北京:中国质检出版社,2005.

[2] GB/T30146－2013/ISO 22301:2012公共安全 业务连续性管理体系要求[S].北京:中国质检出版社,2013.

[3] DEJANKosutic.ISO 27001＆ISO 22301:Why is it better to implement themtogether?[EB/OL].USA:27001Academy,2014[2014－07－21].www.iso27001standard.com.

Discuss on Integration of ISMS and BCM System

WANG Feng－jiao,XU Ran,WEI Jun
(China Information Security Certification Center,Beijing 100020,China)

In recent years,with the growing reliance of various trades on information technology,the threat against network security becomes increasingly serious and the safety accident happens more frequently,and thus the security of information assets and the continuity of business become the focus of the concern.Many organizations have established or is going to establish their information security management systems and business continuity management systems,thus they would face the co－existence of two management systems(or even including ISO 9001 and other management systems).For this reason,how to make full use of resource and how to achieve maximum benefits for organizations becomes a problem worthy of concern.

business continuity management;information security management;risk assessment;business continuity plan

TP 309

A

1009－8054(2015)01－0109－03

2014－07－25

国家质检总局科技计划项目(No.2013IK132)

王凤娇(1982—),女,博士,工程师,主要研究方向为网络安全与认证;

徐 然(1982—),男,硕士,工程师,主要研究方向为信息安全认证;

魏 军(1971—),男,博士,高级工程师,主要研究方向为信息安全认证认可。■