《开放信息安全管理成熟度模型(O - ISM3)》V2.0是开放组织(The Open Group)制定的标准,旨在为各类组织提供一套与业务使命和合规要求完全契合的信息安全管理系统(ISMS)构建方法。该标准的核心思想是将信息安全管理分解为一系列可管理的流程,并通过明确的能力和成熟度级别来衡量和提升组织的信息安全管理水平。 能力级别:包括基本、定义、管理、控制和优化五个级别,由过程的管理方式和产生的指标决定,影响管理实践的应用和过程的稳健性。成熟度级别:是特定 O - ISM3 流程在指定能力级别上的组合,与组织规模、资源、威胁、风险偏好等因素相关,反映了组织的信息安全管理成熟度,同时考虑了投资回报率(ROI)。流程是标准的最小组成单元,分为通用、战略特定、战术特定和操作特定四类,每个流程均具备明确的定义、输入、输出、职责以及相关指标,其成功与否通过流程指标来衡量。取决于组织的安全政策、资源、规模、复杂性、认证要求、监管审计要求、风险容忍度等因素。 使用模板定义,包括流程描述、价值、文档、输入、输出、指标描述、职责、相关流程和方法等。 涉及流程所有者、监督者、审计者、客户等角色,应遵循透明、分区、监督、轮换和分离原则,避免利益冲突。结构特征:包括存储库、接口、通道和边界等资产,其安全要求和策略应根据威胁和组织需求确定,可参考 OSI 模型选择合适的描述级别。事务特征:包括服务、会话、消息和请求等资产,是信息系统产生实际结果的关键要素,存在于各个逻辑和物理层面。IT 管理域是指包含定义生命周期的系统集合,各管理域依据组织使命、规模及环境的不同,设有各自的安全目标和 ISM 流程实例,例如内部/用户、移动/远程用户、内部/服务器以及服务开发等。生命周期:包括系统在不同阶段的状态转换,不一定是线性或循环的,不同管理领域的生命周期状态不同,安全措施应根据本阶段进行调整。O - ISM3 是管理信息安全的框架,通过分析信息安全对业务目标的影响,制定安全目标和指标,记录安全政策,实现业务与安全管理的协同,为管理决策提供客观可衡量的依据。将业务安全成果转化为安全系统技术规范,通过依赖分析确定安全目标,包括优先级、耐久性、信息质量、访问控制和技术安全目标,这些目标的实现程度决定了安全状态。将事件定义为未达成业务或安全目标,ISMS 失败为安全目标被违反,安全状态为在威胁下持续满足目标,通过对齐业务和安全目标,实现资源权衡,提高安全可预测性。•操作定义:使用操作术语定义安全目标和指标,避免传统概念的模糊性,确保安全措施与业务需求紧密结合,便于沟通和管理。包括业务目标如按时支付薪资、纳税等,安全目标如发票访问控制、系统可用性等,以及相应的安全指标如失败频率、损失阈值等,通过清晰地界定这些内容,为系统安全评估提供坚实的基础和依据。事件是业务或安全目标未达成,成功是达成安全目标,失败包括未达成安全目标或业务目标(需进一步分析信息安全是否为根本原因),该解释为评估 ISMS 提供了明确标准。包括战略、战术和操作三个管理级别,分别负责目标设定、资源分配、流程实施和监控,借助通用流程,提供必要的基础设施,以确保 ISMS 能够有效运行,其输出结果涵盖事件预防、缓解措施、风险降低以及信任建立等多个方面。知识管理(GP - 1):收集、分析、存储和共享知识,确保文档质量和时效性,提高安全流程的实施效率。ISMS 和业务审计(GP - 2):验证流程合规性,预防事故,审计结果以报告形式呈现,确保 ISMS 的有效性。ISMS 设计 / 演进(GP - 3):根据组织环境和目标选择合适的安全流程,评估风险,制定安全策略和目标,确保安全投资的回报。向利益相关者报告,协调组织与安全部门的工作,明确职责划分,合理分配信息安全资源,以保障战略决策的高效实施。向战略管理报告,管理分配资源,定义安全目标和指标,涵盖服务级别管理、安全架构设计、保险策略制定、人员安全管理及信息操作等多方面,确保战术执行的顺畅及资源的最大化利用。向战术管理报告,进行安全采购,控制生命周期,包括库存管理、IT 管理域变更控制、补丁管理、清理、强化、软件开发生命周期控制、安全措施变更控制、分段和过滤管理、恶意软件防护管理、访问控制、用户注册、物理环境保护管理、可用性控制(备份管理、操作连续性管理、增强可靠性和可用性管理、归档管理)、测试和审计(内部技术审计、事件模拟、信息质量和合规性评估)、监控(警报监控、内部事件检测和分析、外部事件检测和分析)、事件处理(事件和近似事件处理、取证),确保操作层面的安全执行和问题处理。是在制定外包服务的质量协议时,应详细规定服务描述、范围、质量指标、奖惩机制、升级处理程序、报告频率以及操作流程等关键要素,确保服务质量的可监控性和持续改进。例如,标准客服外包服务协议应包括服务时间、数量、性质、服务标准、收费标准和方式、保密条款、违约责任等,以确保服务质量符合甲方要求。包括合同签订、服务变更、服务提供商要求(如法律实体、语言、利益冲突、人员管理、客户服务、信息披露、审计合作、基准测试、服务交接)和客户要求(如关系经理、安全目标提供、内部管理、定期会议、安全评估)等方面,为外包服务的实施提供全面指导。由 CxO 级高管决策,分配资源,安全经理与高管合作实现安全目标,实施步骤包括获取承诺、设立相关职位和委员会、确定目标成熟度和能力级别、评估差距、建立通用流程、制定策略、设置管理流程、确定指标、建立或外包操作流程、分配职责、设计和文档化 ISMS、培训、审核、运营、改进和认证等。由信息安全经理或业务域经理利用现有资源试点实施,步骤包括建立通用流程、制定安全目标、分类资源、设置安全目标、选择操作流程、确定指标、建立操作流程、分配职责、设计和文档化流程、审核、运营、改进等。根据组织资源、规模、复杂性、认证要求、监管审计要求、风险容忍度、风险降低方式等因素选择实施的流程。根据投资和风险降低效益对流程分组,组织应分析自身情况,确定最具效益的流程,同时注意表格仅为相对成本效益提示,需结合实际情况判断。鉴于金融行业网络安全的重要性,某大型金融企业,其业务涉及大量客户资金交易和敏感信息处理,正面临严格的行业监管要求。该企业深知,确保信息安全是维护客户信任和企业声誉的关键,同时也是提高运营效率、优化资源配置、实现业务可持续发展的基础。因此,企业采取了包括建立应急响应机制、强化技术防范措施、加强人员培训和管理等多方面的措施,以应对网络攻击、内部威胁、技术漏洞等安全挑战。O-ISM3安全情境模型为信息安全管理提供了一种方法论,将信息安全的业务成果转化为安全系统的具体技术规范。依据自身业务特点和监管要求,选择了如访问控制(OSP - 11)、用户注册(OSP - 12)、备份管理(OSP - 10)等关键操作特定流程,以及战略管理中的协调(SSP - 2)和资源分配(SSP - 6)等流程。对这些流程进行定制,如在访问控制流程中,根据不同业务部门和岗位角色,细化访问权限规则,确保员工只能访问其工作所需的敏感信息。明确了首席信息安全官(CISO)作为信息安全管理的总体负责人,负责监督所有信息安全流程的执行。各业务部门经理成为流程所有者,负责本部门相关流程的具体实施,如交易部门经理负责交易系统的访问控制流程执行。同时,设立独立的内部审计团队,定期审计流程合规性,向 CISO 汇报。针对选定流程设定关键指标,如访问控制流程的非法访问尝试次数、备份管理流程的恢复时间目标(RTO)和恢复点目标(RPO)等。通过实时监控系统,密切关注这些指标的变化,及时发现异常并采取措施纠正。例如,当发现某一时间段内非法访问尝试次数增加,立即调查原因,可能是外部攻击风险上升,及时加强防火墙配置等安全措施。通过严格的访问控制和用户注册流程,有效防止了未经授权的访问和潜在的数据泄露风险。备份管理流程确保了在系统故障或数据丢失情况下,能够快速恢复业务运营,减少了因信息安全事件导致的业务中断时间。明确的角色与职责划分,避免了部门之间的推诿扯皮,提高了问题解决速度。例如,当交易系统出现访问问题时,交易部门经理能够迅速协调技术人员进行处理,缩短了故障排查和修复时间,提高了交易处理效率。定期的内部审计和流程监控,确保企业始终符合金融行业严格的监管要求,避免了因违规而面临的巨额罚款和声誉损失。企业在多次监管检查中,因信息安全管理规范而受到好评,进一步提升了市场竞争力。
参考文献 [1]Open Information Security Management Maturity Model (O-ISM3), Version 2.0[J].Open Group Standard,201709.ISBN: 1-937218-98-0 [2]刘敖迪,杜学绘,王娜,等.区块链技术及其在信息安全领域的研究进展[J].软件学报,2018,29(07):2092-2115.DOI:10.13328/j.cnki.jos.005589. |
