1.3.2 信息安全工作保障方法
信息安全问题的复杂性和信息安全范畴的广泛性,决定了开展信息安全保障工作,需要有科学的方法。将信息安全保障工作划分为确定信息安全需求、设计并实施信息安全方案、 信息安全测评、监测与维护信息安全四个阶段过程,即是一种有效的信息安全保障工作方法,也是合理的信息安全保障工作步骤。
1.确定信息安全需求
信息安全需求是安全方案设计和安全措施实施的依据。准确地提取安全需求,一方面可以保证安全措施全面覆盖信息系统面临的风险,使安全防护能力达到业务目标和法规政策要求,另一方面可以提高安全措施的针对性,避免不必要的安全投入,防止浪费。
信息系统安全保障需求,主要来源于以下三个方面:首先是符合性要求(也称为遵循性要求),即信息系统安全保障策略必须遵循国家相关法律法规、标准、行业规定以及机构整体安全策略,如等级保护要求等;其次是信息系统所承载业务正常运行的需求,不同业务对于信息安全的属性要求不同,如军队、政府部门常常把信息的保密性放在首位,能源、交通等行业往往把可用性放在首位,金融等行业更重视信息的完整性,但无论哪个业务,都不能只片面的考虑某一个属性而忽略其他属性的要求;最后是信息系统所面临的风险,需要根据风险的轻重缓急,重点将重大和急迫风险的消除或降低作为保障需求。
信息系统安全保障的具体需求由信息系统保护轮廓( InformationSystems Protection Profile,ISP1,)确定。ISPP是根据组织机构使命和所处的运行环境,从组织机构策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。它是从信息系统所有者(用户)的角度规范化、结构化地描述信息系统安全保障需求。