企業(yè)信息安全保障體系建設(shè)要點 |
發(fā)布時間: 2012/7/11 11:48:14 |
企業(yè)內(nèi)控體系建設(shè)是一個復(fù)雜而且浩大的工程,目前不缺乏完整的內(nèi)控體系理論,但如何把如此復(fù)雜的工程進(jìn)行細(xì)化與落地,則需要一些實際適用的方法。下面如何建設(shè)完整的信息安全保障體系的方法與步驟,可以作為內(nèi)控體系建設(shè)的參考方法。
建立有效信息安全保障體系的前提 隨著信息技術(shù)的發(fā)展,絕大部分企業(yè)的業(yè)務(wù)模式離不開信息系統(tǒng)的支持,業(yè)務(wù)在新的電子化模式下如何得到有效安全保障,特別是如何保障系統(tǒng)運行安全與業(yè)務(wù)信息安全,已成為企業(yè)內(nèi)部控制的重要任務(wù)之一。信息安全已經(jīng)從部署防火墻、防病毒軟件等單一的技術(shù)手段,發(fā)展到建立整體化的信息安全保障體系,因此信息安全保障體系的規(guī)劃與建設(shè)就顯得尤為重要。 信息安全不僅僅是it部門的工作,也是需要公司所有部門和員工共同實現(xiàn)的一項日常工作,因此信息安全保障體系的建設(shè)是一個復(fù)雜而且長期的過程。以下要素是有效建立信息安全保障體系的重要前提: 業(yè)務(wù)驅(qū)動 信息安全任務(wù)的實施一定要從業(yè)務(wù)的角度出發(fā),在實施時必須時刻考慮到業(yè)務(wù)的需求,在信息安全建設(shè)過程中獲得業(yè)務(wù)部門的支持與配合,共同推動信息安全建設(shè)的開展。 長期可靠的合作伙伴 良好的合作伙伴對于保證信息安全建設(shè)能夠成功實施是十分重要的。通過長期可靠的合作關(guān)系,快速引進(jìn)外部專業(yè)資源和先進(jìn)技術(shù),可以幫助企業(yè)推動信息安全建設(shè)工作。 高層的支持 信息安全任務(wù)通常情況下會涉及到企業(yè)的各個部門的參與、配合乃至利益關(guān)系,因此在實施過中需要企業(yè)高層的支持,以分配必要的資源,推動跨部門協(xié)作,保證項目的順利實施。 有效的實施管理和監(jiān)控 為了獲取體系建設(shè)的最大收益,盡可能降低風(fēng)險,需要落實強(qiáng)有力的實施管理和監(jiān)控措施,在跟蹤總體計劃的同時,合理安排各任務(wù)的進(jìn)度和資源,強(qiáng)化對各任務(wù)/子任務(wù)的管理和監(jiān)控。 各企業(yè)的企業(yè)文化差異,可能會有不同的影響因素,但是以上四個因素是任何企業(yè)在開展信息安全工作是要充分考慮的因素,否則很可能會把這項工作成果束之高閣。 信息安全保障體系框架模型 如何建立信息安全保障框架?國內(nèi)外有哪些標(biāo)準(zhǔn)或者指南可以參考?這是建立一個合理的信息安全保障體系框架的基礎(chǔ)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考,其中非常有名的就是iso/iec27000系列標(biāo)準(zhǔn)。iso/iec 27001通過pdca過程(即戴明環(huán)),指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。 其次, 美國國家安全局提出的信息保障技術(shù)框架(information assurance technical framework,iatf)是另一個可以參照的有效框架。iatf創(chuàng)造性地提出了信息保障依賴于人、技術(shù)和操作來共同實現(xiàn)組織職能和業(yè)務(wù)運作的思想,對技術(shù)和信息基礎(chǔ)設(shè)施的管理也離不開這三個要素。iatf認(rèn)為,穩(wěn)健的信息保障狀態(tài)意味著信息保障的策略、過程、技術(shù)和機(jī)制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上都能得以實施。 此外,bs25999提出業(yè)務(wù)連續(xù)性是一個企業(yè)業(yè)務(wù)保障的重要方法,iscaca組織的信息系統(tǒng)審計師cisa教程認(rèn)為it審計是保障組織建立有效控制的重要手段等等。 企業(yè)如何綜合利用這么多的理論框架,建立適合于自身的信息安全保障體系?依據(jù)作者的多年經(jīng)驗,認(rèn)為一個企業(yè)可以按照如圖1“企業(yè)信息安全保障框架”所示的框架進(jìn)行建設(shè): 信息安全保障應(yīng)當(dāng)建立縱深防御體系,什么是縱?什么是深?如圖1所示,縱的是有三個層面(事前、事中、事后)全面控制;深的是從五個方向(安全組織體系、安全制度體系、安全運行體系、安全技術(shù)體系、安全應(yīng)急體系)進(jìn)行深入防御。 縱 正如信息安全這四個字所表現(xiàn)一樣,以保護(hù)信息為其最重要的目的。那么就應(yīng)當(dāng)對信息安全事件發(fā)生的之前、之中和之后進(jìn)行有效控制。即以預(yù)防控制為主,但是也不能忽略操作性控制和恢復(fù)性控制。因此,應(yīng)當(dāng)從信息的事前預(yù)防、事中監(jiān)控和事后恢復(fù)三個層面建設(shè)信息安全。 深 信息安全涉及的領(lǐng)域非常廣,以人員、硬件、數(shù)據(jù)、軟件等方面都會涉及。我們需要對從組織體系、制度體系、技術(shù)體系、運行體系、應(yīng)急體系五個方面的深度進(jìn)行概括。 組織 人是實施信息安全的最關(guān)鍵的因素,人控制好了,信息安全就控制 好了。因此成立一個合理和有效的安全組織架構(gòu),對于保證安全日常運行是最重要的。建立一個成功的信息安全組織體系有很多關(guān)鍵環(huán)節(jié),但是組織高級管理層的參與、安全納入績效考核、人員信息安全意識與技能培訓(xùn)是必不可少的成功因素。 制度 把信息安全好的做法固化下來形成規(guī)則,就是制度。因此,信息安全制度是組織中信息安全行為準(zhǔn)則。信息安全保障體系只有做到制度化、規(guī)范化才能更好地保證事前預(yù)防、事中監(jiān)控、和事后審計等安全措施的執(zhí)行與落實。 技術(shù) 技術(shù)是安全必不可少的實施工具,采取哪些安全技術(shù),市場上有哪些工具可以使用,這是絕大部分信息安全管理工作者最關(guān)心的話題。一般來說,可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、物理安全六個方面來選擇不同的安全工具。信息安全工具種類繁多,一般來說,每一種工具都有其擅長的安全方面,因此應(yīng)按照“適度防御”原則,綜合采用各種安全工具進(jìn)行組合,形成企業(yè)“適用的”安全技術(shù)防線。最后,需要一到兩種提供綜合管理的工具來幫助把所有的安全監(jiān)控工具近進(jìn)行統(tǒng)一管控。這個和最終希望呈現(xiàn)給使用者的目的不同有所不同。例如soc(安全運行中心)是給企業(yè)日常維護(hù)管理者使用,itrm(風(fēng)險管理工具)作為綜合風(fēng)險呈現(xiàn),是給企業(yè)風(fēng)險或安全管理層使用。 運行 技術(shù)體系更多是解決安全風(fēng)險點的問題。也就是我們常說的“就事論事”:有病毒殺病毒,有漏洞補(bǔ)漏洞等等。但是我們知道,信息分散在一系列工作流程中各個環(huán)節(jié)中,因此需要對各項日常運行工作流程進(jìn)行安全控制,也就是從信息的生命周期進(jìn)行流程控制,即在信息的創(chuàng)建、使用、存儲、傳遞、更改、銷毀等各個階段進(jìn)行安全控制。目前受到熱捧的開發(fā)安全就是在信息創(chuàng)建階段的一個細(xì)化控制手段。在運行體系建設(shè)中,往往需要結(jié)合itil、cobit等流程分析來關(guān)注信息的生命周期安全。 應(yīng)急 自美國“9.11”事件以后,業(yè)務(wù)連續(xù)性的重要程度提到了前所未有的高度。包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是bs25999標(biāo)準(zhǔn)的頒布,給如何建立一套完善的應(yīng)急體系提供了參考。 信息安全保障體系的建設(shè) 以上對如何構(gòu)建完整的信息安全保障體系提供了一個方法模型,但是在企業(yè)中建立有效的保障體系是一個長期的過程,各企業(yè)應(yīng)當(dāng)根據(jù)自身實際情況,制定一個三到五年的中長期建設(shè)規(guī)劃。一般來說,企業(yè)建立信息安全保障體系有如下幾個步驟: 1) 全面分析企業(yè)的信息安全現(xiàn)狀; 2) 提供信息安全戰(zhàn)略和安全架構(gòu)建議; 3) 制定企業(yè)信息安全保障建設(shè)規(guī)劃; 4) 對規(guī)劃中的項目提出初步實施方案,對近期實施的重點項目進(jìn)行可行性研究。 相信對于第1)到第3)步很多企業(yè)都熟知,但是對于哪些屬于重點是近期實施項目,可能會有不同的看法與意見。為了能夠更加合理安排實施計劃,可以對在未來三年內(nèi)計劃實施的信息安全控制措施進(jìn)行匯總后確定出需要實施的項目,從項目緊迫性、項目可實施性、項目實施難易程度和項目預(yù)期效果等四個角度進(jìn)行綜合分析和量化評價,確定項目實施的優(yōu)先級,制訂安全項目實施時間表的過程。如圖2所示,根據(jù)每個階段不同目標(biāo),制定不同的是建設(shè)計劃。 it內(nèi)控建設(shè)是屬于企業(yè)內(nèi)控建設(shè)的重要組成部分,而信息安全保障體系的建設(shè)則是it內(nèi)控建設(shè)的落地方法。內(nèi)控體系建設(shè)本身就是一個復(fù)雜而且浩大的工程,目前都不缺乏完整的內(nèi)控體系理論,但如何把如此復(fù)雜的工程進(jìn)行細(xì)化、分類和落地,則需要一些實用的方法與步驟。作者依據(jù)多年的咨詢經(jīng)驗,提出了如何建設(shè)完整的信息安全保障體系的前提、框架及過程,對當(dāng)前企業(yè)的信息安全體系建設(shè)具有一定的參考意義。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |