英语原文共 6 页,剩余内容已隐藏,支付完成后下载完整资料
信息安全管理 - 集成管理系统的一部分
MANEA Constantin Adrian
电气工程与计算机科学系/自动化与信息系 Technology,Transilvania大学,罗马尼亚布拉索夫,aU40T.c.manea@unitbv.ro40TU
摘要:国际管理标准允许采用综合方法,以此将特别重要的方面与一些组织的活动相结合,从质量管理系统或信息安全系统或业务连续性管理系统的环境管理。虽然没有国家或国际规章,也没有统一管理系统的明确标准,但组织内部需要实施一个综合系统,这就有机会根据公共部门的宗旨和任务,将管理组件整合成一个有凝聚力的系统。在组织信息安全有关的问题,从管理体制的角度,提出在电子信息当前上下文中的任何组织的严重问题,原因不仅考虑适当而必要的推动和实施一体化管理体系的质量-环境-健康和操作安全的信息安全。
关键词:国际42T标准,管理体系,信息安全,控制一体化
引言
在2015年9月启动的准备工作中,ISO 9001:2015标准的第五版 - 质量管理体系,是目前在全球范围内应用最广泛的标准,无论是考虑认证组织的数量:全球超过110万,还是作为标准以及地理和政治覆盖面:超过100个国家接受了相同的ISO 9001标准。2008年,前ISO 9000:2000 - 在国际质量标准组织内部管理体系内的综合方法、质量管理ISO 9001系统(QMS)、环境管理系统的ISO 14001、健康和职业安全管理系统的OHSAS 18001以及信息安全管理系统(ISMS)的ISO 27001是生产和销售市场竞争所必需的,而且是消除责任和不适当关系或个人程序支持的内部必要条件。
从获得组织认证的质量管理体系(QMS)开始,重叠某些程序并添加一些环境管理体系和/或健康和职业安全或信息安全所必需的特定过程,以获得综合管理体系(IMS), 这将为组织及其产品/服务带来附加价值。这种可以在管理高层进行分析和采用的方法是基于ISO 9001(QMS),ISO 14001(EMS)ISO 27001(ISMS)和OHSAS 18001标准中的每一个都存在某些通用流程,关于文件控制,人员教育和培训,内部审计,管理分析以及在所提及的每个标准所涉及的领域建立纠正和预防措施的过程。
除了管理体系综合方法的简便性之外,我们必须通过发展综合管理体系来考虑组织的利益,我们列举了一些优势,例如降低单个实施和管理体系认证的成本; 考虑到工作质量,环境,健康和安全,信息安全,社会责任和业务连续性等方面,对组织活动进行连贯和相互关联的规划并制定总体战略; 根据必要资源的确定优化决策过程。
因此,如果从组织发展的角度来看,管理系统的综合方法可以提高利润和降低风险,从员工的角度关注组织的目标,所带来的好处将体现在改善内部沟通和发展方面指导和员工培训。由于信息技术的发展以及组织内信息传递的强烈依赖性,信息安全管理系统在组织中的整合管理系统中的整合是必要的,而在20世纪,也需要通过计算机系统,内部通信基础设施的发展 - 内联网 - 全球连接 - 互联网。从这个角度来看,本文旨在提出有利于实施管理系统(质量和/或环境 - 信息安全)的综合系统的论点。
管理系统
每一个具有特定活动的公司和组织都具有独特的身份和内部组织,管理系统是个性化的。无论组织的规模,核心业务和市场定位,并制定适当的管理制度为了沟通针对决策人和流程的相互依赖关系是必要的设计,基于精确和现实的分析,旨在提高组织内的利润和竞争力。
任何管理制度都有四个主要要素,都是在国际标准中找到的:
-政策和管理目标。
-管理职责,使组织的每个员工都知道所占据职位的需要和要求。
-确定确保组织目标的内部流程和过程。
-以内部文件和记录的形式分发和分析,以改进组织的业绩。
我们发现,无论管理系统如何相似,其中一个重要的因素是在该系统中运行的数据,这些数据采用书面或电子文档的形式,它们具有明确的电路和通过管理系统特有的过程和过程建立的可访问性。因此,为控制和数据安全的定义和管理体制调整的需要,不管涉及的标准,该标准对于信息安全管理体系的关联和集成(ISMS)ISO 27001和ISO 27002:2013:2013,与ISO 9001质量管理体系(质量管理体系有关的)的综合管理系统直接有利于一个组织。
综合管理系统
综合管理系统意味着若干管理系统在一个共同结构下联合起来,以简化文件记录,方便审计,认证和引导其协同效应[1]。
采用图1所示的图形方法,综合管理系统提供必要的目标和过程规划,以获得符合组织战略和客户要求/期望的结果,在安全条件下实施与流通相关的过程 根据产品质量方针,目标和要求,通过具体指标对每个管理体系,过程和产品进行验证,并根据内部审核结果采取措施提高过程绩效。
表 1 综合管理系统
解决综合管理系统从两个基本前提开始:一方面,交易的核心是组织的产品和客户,另一方面,管理系统用于改进管理过程的计划,监控和分析,以便综合管理将资源与组织的自身活动进行规划,组织,指导和控制相结合,以发展组织的总体战略和实现其长期目标的复杂过程。
为了简化和促进质量(QMS),环境(EMS)和职业健康管理体系的单独实施,操作和认证,考虑到这三个体系有共同点, OHSAS 18001:2007对应关系在ISO 9001: 2001(质量),ISO 14001:2005(环境)和OH SAS 18001:2007(职业健康)对每个独立条款的要求进行了规定,对三个管理体系的综合实施没有规定标准。
虽然综合管理体系没有规定或国际认证和实施标准,但考虑到各组织目前在质量管理体系(QMS),环境管理体系(SMM)和/或管理体系方面接近综合管理的概念 从组织的需求出发,确保产品的质量和符合当前社会对环境安全的一般条件和顾客要求的遵守情况,以及关于员工安全的法律框架 在工作中,我们认为信息安全管理系统通过部分整合纳入整体管理系统对于当前的信息社会势在必行。
如果通过四个方面的方法的相似性来促进质量管理体系 - 环境 - 健康和职业安全 - 信息安全的综合方法,即四个单独标准中的每一个都考虑预防的概念并将人为因素涉及建设,管理体系的实施和运作的具体过程的核心,实施全部或部分综合系统的选项属于每个组织,其基础是分析开展实施活动的优缺点, 从这个过程的持续时间(平均两年)开始。
如果组织实施并认证了质量管理体系,则通过制定相邻体系中现有的流程和程序,实施环境管理体系和/或健康和职业安全体系可以基于已经建立的结构。 关于信息安全管理体系,由于存在产品管理和产品数据管理(质量管理的组成部分),系统集成质量管理也对两个管理系统 - 质量和信息安全 - 通过会议提供了竞争优势 关于向客户提供的产品的合同要求,同时证明包括与产品和/或客户相关的信息安全对组织至关重要。
集成系统的实施方式因公司而异。 各类组织的特点,如企业的类型,活动的规模,性质和复杂程度,所执行的产品和服务等,都会导致管理体系的结构实施。集成系统中活动的实施和执行是一个周期性过程,任何以测量和审计过程结束的活动都是为了改进操作。
综合质量管理系统 - 信息安全
ISO 9001:2008标准目前正处于修订过程中,2015年第五版包括制定自己的内部程序的要求,该程序涵盖组织的所有关键领域,从2015年版中重组的七项原则开始:面向客户 ,组织领导,员工参与,程序方法,改进活动,基于管理关系做出决策,包括与供应商的关系。
2008年ISO 9001标准促进采用基于过程的质量管理来开发,实施和改进质量管理体系的有效性,以便通过满足其对产品的要求来提高客户满意度。
自二十世纪以来,一些作者[2]将质量管理体系定义为“设备,软件,专家和程序的组合,其结构选择的方式有利于实现质量方针所产生的目标”
质量管理体系认证(QMS)ISO 9001不保证组织最终产品或服务的质量,仅确保客户在生产和/或供应服务过程中发生质量过程,以确保客户满意。 监督内部流程和失败核查,确保人力资源安全和对生产流程的控制,保证在最终评估和内部审计改进的管理体系中提供纠正和预防措施,这些措施已经建立和实施。
在组织中,信息是做出管理决策的一个非常重要的资源,而且不仅仅是管理决策,还有很多方面。 例如,与人力资源相比,信息无穷无尽,生产和消费迅速。 组织的有效性和效率取决于可用的信息[3]。
ISO 27000系列标准(ISMS)标准提出了保障信息安全和数据保护,无论以什么形式存在(磁、光、纸等)通过实施一系列政策、实践、程序、组织结构和软件功能[ 4 ]。 信息安全管理系统的认证保证了组织的客户和业务合作伙伴的信息风险得到控制,并且所收到的信息和组织提供的信息受到威胁和漏洞的保护,信息安全保持以下属性:可用性,完整性 并保密。 ISMS是基于组织所面临的风险方法的管理体系,旨在建立,实施,运行,监督,审查,维护和改进信息安全。
为了保护组织的信息和资源,解决这个标准提供了基于政策,程序和安全方法实施的长期安全性。 通过最大限度地减少网络风险,可以保证管理系统的功能性,并且能够满足公司的运营要求,客户的期望,并且符合法规。
信息安全管理系统(ISMS)既包括组织的硬件和软件设备,也包括可访问信息系统的组织的所有员工,以及组织外的第三方,这些人员的访问必须是永久控制的。 在统计报告中[3],[5]证实信息安全专家认为:
bull;信息安全取决于人多于技术;
bull;信息安全就像一条链 - 与其最薄弱的环节一样强大;
bull;员工对信息安全的威胁远大于组织以外的人;
bull;信息安全不是一种状态,而是一个需要持续动态的过程;
bull;信息安全不是技术性的一章,通常信息安全管理非常重要。
ISO / IEC 27000系列(简称“ISO27k”)包括国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的通用安全标准。 鉴于安全信息的动态性,SMSI概念将连续反馈和根据戴明PDCA循环的活动改进为持续方法(计划 - 执行 - 检查 - 行为)。
ISO / IEC 27002标准是为了成为ISO 27000系列专门用于信息安全的一部分而重新命名的标准ISO / IEC 17799,它建立了启动,实施,维护和改进组织中信息安全管理的一般原则。 ISO / IEC 27002标准包含信息安全管理领域的最佳控制措施:
- 安全政策;
- 信息安全的组织;
- 资产管理;
- 人力资源安全;
- 物理和环境安全;
- 沟通和运营管理;
- 访问控制;
- 信息系统的采集,开发和维护;
- 信息安全事件的管理;
- 业务连续性管理。
ISO / IEC 27003侧重于根据ISO / IEC 27001成功设计和实施信息安全管理系统(ISMS)所必需的关键方面,描述了信息安全管理系统从开始到完成之前的设计和规范 的实施计划。
图 1 The ISO 27001: 2013 Structure
新版本的ISO 9001:2015标准也将带来结构上的变化,遵循标准的当前结构,该标准将在10个章节的相同结构上发展到ISO 27001:2013的当前结构,这将是 实施综合管理系统ISMS QMS。
即使综合系统的实施从组织及其活动中受益,从每个组织的特征(规模,员工数量,领域等)开始,以及诸如以下问题:组织中可以找到什么与信息安全有关的信息? 什么应该改进? 什么是缺失和应该被添加?,信息安全管理的综合实施过程必须从初步分析开始,一次提供关于组织状态的信息。
初步分析应由指定实施综合系统的团队进行,由此建立现有的设施和对提供的产品/服务实施的法规,适用的程序和内部流程,这可能受到存在的 在组织内实施和认证的质量管理体系,确定和评估影响信息的流动和安全性的信息和活动中使用的信息系统及其对整个活动的影响,特别是对产品质量的影响。
结论
信息安全是每个组织在高层管理中必须非常认真处理的领域,因为它代表的是一个真正不带来直接和直接利润的核心支柱,但对实现组织目标有重大贡献,并间接有助于获得利润。
鉴于如上所述,考虑到近年来选择和推广系统集成管理的组织的实际情况,没有涉及综合管理系统的国家或国际法规或标准,因此, 需要开发一个集成系统是从内部而不是从外部环境强加的。
即使你不能说关于建立管理系统必须置于一个整体结构中的关系的先验关系存在普遍规则,但是,为了指导在组织中采用合适解决方案的过程,可以提出以下建议:
A.组织必须在环境、信息安全、职业健康和安全方面的重要性与质量保证方面之间尽可能建立客观的关系;
B.通过决定实现综合管理系统 - 质量 - 环境,健康和职业安全、信息安全的决定必须基于分析该组织决定实施每个管理系统的基本原因;
C.实施或不实施综合管理系统的决定必须基于对选择的管理系统之间的相似性和差异性的分析以及可能的整合的优点和缺点。特别重要的是,在进行分析之后,组织将制定考虑其特殊性的个人观点。
我们支持的最常采用的解决方案之一就是将质量管理系统与一个或所有其他管理系统(EMS,ISMS,SMSSM)集成为部分集成的变体,非常灵活并适应大型 情况的数量。 据此,全球管理系统在高峰期有一个协调单位,从这个单位出现了一个混合的质量结构 - 环
全文共5688字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[13867],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
