|
企業(yè)內(nèi)控體系建設(shè)是一個復雜而且浩大的工程,目前不缺乏完整的內(nèi)控體系理論,但如何把如此復雜的工程進行細化與落地��,則需要一些實際適用的方法����。下面如何建設(shè)完整的信息安全保障體系的方法與步驟,可以作為內(nèi)控體系建設(shè)的參考方法�����。
建立有效信息安全保障體系的前提
隨著信息技術(shù)的發(fā)展����,絕大部分企業(yè)的業(yè)務(wù)模式離不開信息系統(tǒng)的支持,業(yè)務(wù)在新的電子化模式下如何得到有效安全保障��,特別是如何保障系統(tǒng)運行安全與業(yè)務(wù)信息安全�,已成為企業(yè)內(nèi)部控制的重要任務(wù)之一。信息安全已經(jīng)從部署防火墻��、防病毒軟件等單一的技術(shù)手段�����,發(fā)展到建立整體化的信息安全保障體系��,因此信息安全保障體系的規(guī)劃與建設(shè)就顯得尤為重要��。
信息安全不僅僅是it部門的工作���,也是需要公司所有部門和員工共同實現(xiàn)的一項日常工作����,因此信息安全保障體系的建設(shè)是一個復雜而且長期的過程���。以下要素是有效建立信息安全保障體系的重要前提:
業(yè)務(wù)驅(qū)動
信息安全任務(wù)的實施一定要從業(yè)務(wù)的角度出發(fā)����,在實施時必須時刻考慮到業(yè)務(wù)的需求���,在信息安全建設(shè)過程中獲得業(yè)務(wù)部門的支持與配合��,共同推動信息安全建設(shè)的開展����。
長期可靠的合作伙伴
良好的合作伙伴對于保證信息安全建設(shè)能夠成功實施是十分重要的���。通過長期可靠的合作關(guān)系�,快速引進外部專業(yè)資源和先進技術(shù)�����,可以幫助企業(yè)推動信息安全建設(shè)工作。
高層的支持
信息安全任務(wù)通常情況下會涉及到企業(yè)的各個部門的參與���、配合乃至利益關(guān)系�����,因此在實施過中需要企業(yè)高層的支持�,以分配必要的資源����,推動跨部門協(xié)作,保證項目的順利實施��。
有效的實施管理和監(jiān)控
為了獲取體系建設(shè)的最大收益�����,盡可能降低風險����,需要落實強有力的實施管理和監(jiān)控措施�,在跟蹤總體計劃的同時,合理安排各任務(wù)的進度和資源�����,強化對各任務(wù)/子任務(wù)的管理和監(jiān)控。
各企業(yè)的企業(yè)文化差異����,可能會有不同的影響因素,但是以上四個因素是任何企業(yè)在開展信息安全工作是要充分考慮的因素��,否則很可能會把這項工作成果束之高閣����。
信息安全保障體系框架模型
如何建立信息安全保障框架?國內(nèi)外有哪些標準或者指南可以參考�����?這是建立一個合理的信息安全保障體系框架的基礎(chǔ)����。當前有很多非常好的綜合性標準與規(guī)范可以參考,其中非常有名的就是iso/iec27000系列標準��。iso/iec 27001通過pdca過程(即戴明環(huán))���,指導企業(yè)如何建立可持續(xù)改進的體系��。
其次���, 美國國家安全局提出的信息保障技術(shù)框架(information assurance technical framework�����,iatf)是另一個可以參照的有效框架�。iatf創(chuàng)造性地提出了信息保障依賴于人����、技術(shù)和操作來共同實現(xiàn)組織職能和業(yè)務(wù)運作的思想,對技術(shù)和信息基礎(chǔ)設(shè)施的管理也離不開這三個要素�。iatf認為,穩(wěn)健的信息保障狀態(tài)意味著信息保障的策略����、過程、技術(shù)和機制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上都能得以實施�。
此外,bs25999提出業(yè)務(wù)連續(xù)性是一個企業(yè)業(yè)務(wù)保障的重要方法����,iscaca組織的信息系統(tǒng)審計師cisa教程認為it審計是保障組織建立有效控制的重要手段等等。
企業(yè)如何綜合利用這么多的理論框架��,建立適合于自身的信息安全保障體系��?依據(jù)作者的多年經(jīng)驗�,認為一個企業(yè)可以按照如圖1“企業(yè)信息安全保障框架”所示的框架進行建設(shè):
信息安全保障應(yīng)當建立縱深防御體系,什么是縱����?什么是深?如圖1所示��,縱的是有三個層面(事前�、事中、事后)全面控制;深的是從五個方向(安全組織體系���、安全制度體系����、安全運行體系�����、安全技術(shù)體系�����、安全應(yīng)急體系)進行深入防御。
縱
正如信息安全這四個字所表現(xiàn)一樣��,以保護信息為其最重要的目的����。那么就應(yīng)當對信息安全事件發(fā)生的之前、之中和之后進行有效控制�����。即以預(yù)防控制為主���,但是也不能忽略操作性控制和恢復性控制�。因此�����,應(yīng)當從信息的事前預(yù)防�����、事中監(jiān)控和事后恢復三個層面建設(shè)信息安全���。
深
信息安全涉及的領(lǐng)域非常廣����,以人員����、硬件、數(shù)據(jù)�����、軟件等方面都會涉及����。我們需要對從組織體系、制度體系����、技術(shù)體系、運行體系����、應(yīng)急體系五個方面的深度進行概括。
組織
人是實施信息安全的最關(guān)鍵的因素����,人控制好了�����,信息安全就控制
好了�����。因此成立一個合理和有效的安全組織架構(gòu)���,對于保證安全日常運行是最重要的。建立一個成功的信息安全組織體系有很多關(guān)鍵環(huán)節(jié)�,但是組織高級管理層的參與、安全納入績效考核�、人員信息安全意識與技能培訓是必不可少的成功因素。
制度
把信息安全好的做法固化下來形成規(guī)則��,就是制度���。因此���,信息安全制度是組織中信息安全行為準則。信息安全保障體系只有做到制度化���、規(guī)范化才能更好地保證事前預(yù)防�����、事中監(jiān)控����、和事后審計等安全措施的執(zhí)行與落實。
技術(shù)
技術(shù)是安全必不可少的實施工具�����,采取哪些安全技術(shù)��,市場上有哪些工具可以使用�,這是絕大部分信息安全管理工作者最關(guān)心的話題����。一般來說,可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具�。即從數(shù)據(jù)安全、終端安全����、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫安全�����、網(wǎng)絡(luò)安全、物理安全六個方面來選擇不同的安全工具����。信息安全工具種類繁多,一般來說�����,每一種工具都有其擅長的安全方面���,因此應(yīng)按照“適度防御”原則���,綜合采用各種安全工具進行組合,形成企業(yè)“適用的”安全技術(shù)防線����。最后,需要一到兩種提供綜合管理的工具來幫助把所有的安全監(jiān)控工具近進行統(tǒng)一管控���。這個和最終希望呈現(xiàn)給使用者的目的不同有所不同��。例如soc(安全運行中心)是給企業(yè)日常維護管理者使用����,itrm(風險管理工具)作為綜合風險呈現(xiàn),是給企業(yè)風險或安全管理層使用���。
運行
技術(shù)體系更多是解決安全風險點的問題�。也就是我們常說的“就事論事”:有病毒殺病毒�����,有漏洞補漏洞等等���。但是我們知道,信息分散在一系列工作流程中各個環(huán)節(jié)中�,因此需要對各項日常運行工作流程進行安全控制,也就是從信息的生命周期進行流程控制��,即在信息的創(chuàng)建�����、使用��、存儲、傳遞��、更改��、銷毀等各個階段進行安全控制����。目前受到熱捧的開發(fā)安全就是在信息創(chuàng)建階段的一個細化控制手段。在運行體系建設(shè)中�����,往往需要結(jié)合itil���、cobit等流程分析來關(guān)注信息的生命周期安全�����。
應(yīng)急
自美國“9.11”事件以后����,業(yè)務(wù)連續(xù)性的重要程度提到了前所未有的高度�����。包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計劃�����、應(yīng)急響應(yīng)等等都有相應(yīng)的標準與理論支持�����。特別是bs25999標準的頒布���,給如何建立一套完善的應(yīng)急體系提供了參考����。
信息安全保障體系的建設(shè)
以上對如何構(gòu)建完整的信息安全保障體系提供了一個方法模型���,但是在企業(yè)中建立有效的保障體系是一個長期的過程,各企業(yè)應(yīng)當根據(jù)自身實際情況�,制定一個三到五年的中長期建設(shè)規(guī)劃。一般來說����,企業(yè)建立信息安全保障體系有如下幾個步驟:
1) 全面分析企業(yè)的信息安全現(xiàn)狀;
2) 提供信息安全戰(zhàn)略和安全架構(gòu)建議;
3) 制定企業(yè)信息安全保障建設(shè)規(guī)劃;
4) 對規(guī)劃中的項目提出初步實施方案,對近期實施的重點項目進行可行性研究���。
相信對于第1)到第3)步很多企業(yè)都熟知����,但是對于哪些屬于重點是近期實施項目,可能會有不同的看法與意見�����。為了能夠更加合理安排實施計劃�����,可以對在未來三年內(nèi)計劃實施的信息安全控制措施進行匯總后確定出需要實施的項目���,從項目緊迫性�、項目可實施性��、項目實施難易程度和項目預(yù)期效果等四個角度進行綜合分析和量化評價����,確定項目實施的優(yōu)先級,制訂安全項目實施時間表的過程���。如圖2所示���,根據(jù)每個階段不同目標�,制定不同的是建設(shè)計劃�����。
it內(nèi)控建設(shè)是屬于企業(yè)內(nèi)控建設(shè)的重要組成部分��,而信息安全保障體系的建設(shè)則是it內(nèi)控建設(shè)的落地方法��。內(nèi)控體系建設(shè)本身就是一個復雜而且浩大的工程�,目前都不缺乏完整的內(nèi)控體系理論,但如何把如此復雜的工程進行細化���、分類和落地�,則需要一些實用的方法與步驟�����。作者依據(jù)多年的咨詢經(jīng)驗���,提出了如何建設(shè)完整的信息安全保障體系的前提、框架及過程����,對當前企業(yè)的信息安全體系建設(shè)具有一定的參考意義����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
