企業(yè)信息安全保障體系建設(shè)要點(diǎn)

　　建立有效信息安全保障體系的前提

　　隨著信息技術(shù)的發(fā)展，絕大部分企業(yè)的業(yè)務(wù)模式離不開(kāi)信息系統(tǒng)的支持，業(yè)務(wù)在新的電子化模式下如何得到有效安全保障，特別是如何保障系統(tǒng)運(yùn)行安全與業(yè)務(wù)信息安全，已成為企業(yè)內(nèi)部控制的重要任務(wù)之一。信息安全已經(jīng)從部署防火墻、防病毒軟件等單一的技術(shù)手段，發(fā)展到建立整體化的信息安全保障體系，因此信息安全保障體系的規(guī)劃與建設(shè)就顯得尤為重要。

　　信息安全不僅僅是it部門(mén)的工作，也是需要公司所有部門(mén)和員工共同實(shí)現(xiàn)的一項(xiàng)日常工作，因此信息安全保障體系的建設(shè)是一個(gè)復(fù)雜而且長(zhǎng)期的過(guò)程。以下要素是有效建立信息安全保障體系的重要前提：

　　業(yè)務(wù)驅(qū)動(dòng)

　　信息安全任務(wù)的實(shí)施一定要從業(yè)務(wù)的角度出發(fā)，在實(shí)施時(shí)必須時(shí)刻考慮到業(yè)務(wù)的需求，在信息安全建設(shè)過(guò)程中獲得業(yè)務(wù)部門(mén)的支持與配合，共同推動(dòng)信息安全建設(shè)的開(kāi)展。

　　長(zhǎng)期可靠的合作伙伴

　　良好的合作伙伴對(duì)于保證信息安全建設(shè)能夠成功實(shí)施是十分重要的。通過(guò)長(zhǎng)期可靠的合作關(guān)系，快速引進(jìn)外部專(zhuān)業(yè)資源和先進(jìn)技術(shù)，可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作。

　　高層的支持

　　信息安全任務(wù)通常情況下會(huì)涉及到企業(yè)的各個(gè)部門(mén)的參與、配合乃至利益關(guān)系，因此在實(shí)施過(guò)中需要企業(yè)高層的支持，以分配必要的資源，推動(dòng)跨部門(mén)協(xié)作，保證項(xiàng)目的順利實(shí)施。

　　有效的實(shí)施管理和監(jiān)控

　　為了獲取體系建設(shè)的最大收益，盡可能降低風(fēng)險(xiǎn)，需要落實(shí)強(qiáng)有力的實(shí)施管理和監(jiān)控措施，在跟蹤總體計(jì)劃的同時(shí)，合理安排各任務(wù)的進(jìn)度和資源，強(qiáng)化對(duì)各任務(wù)/子任務(wù)的管理和監(jiān)控。

　　各企業(yè)的企業(yè)文化差異，可能會(huì)有不同的影響因素，但是以上四個(gè)因素是任何企業(yè)在開(kāi)展信息安全工作是要充分考慮的因素，否則很可能會(huì)把這項(xiàng)工作成果束之高閣。

　　信息安全保障體系框架模型

　　如何建立信息安全保障框架？國(guó)內(nèi)外有哪些標(biāo)準(zhǔn)或者指南可以參考？這是建立一個(gè)合理的信息安全保障體系框架的基礎(chǔ)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考，其中非常有名的就是iso/iec27000系列標(biāo)準(zhǔn)。iso/iec 27001通過(guò)pdca過(guò)程(即戴明環(huán))，指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。

　　其次， 美國(guó)國(guó)家安全局提出的信息保障技術(shù)框架(information assurance technical framework，iatf)是另一個(gè)可以參照的有效框架。iatf創(chuàng)造性地提出了信息保障依賴(lài)于人、技術(shù)和操作來(lái)共同實(shí)現(xiàn)組織職能和業(yè)務(wù)運(yùn)作的思想，對(duì)技術(shù)和信息基礎(chǔ)設(shè)施的管理也離不開(kāi)這三個(gè)要素。iatf認(rèn)為，穩(wěn)健的信息保障狀態(tài)意味著信息保障的策略、過(guò)程、技術(shù)和機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上都能得以實(shí)施。

　　此外，bs25999提出業(yè)務(wù)連續(xù)性是一個(gè)企業(yè)業(yè)務(wù)保障的重要方法，iscaca組織的信息系統(tǒng)審計(jì)師cisa教程認(rèn)為it審計(jì)是保障組織建立有效控制的重要手段等等。

　　企業(yè)如何綜合利用這么多的理論框架，建立適合于自身的信息安全保障體系？依據(jù)作者的多年經(jīng)驗(yàn)，認(rèn)為一個(gè)企業(yè)可以按照如圖1“企業(yè)信息安全保障框架”所示的框架進(jìn)行建設(shè)：

　　信息安全保障應(yīng)當(dāng)建立縱深防御體系，什么是縱？什么是深？如圖1所示，縱的是有三個(gè)層面(事前、事中、事后)全面控制;深的是從五個(gè)方向(安全組織體系、安全制度體系、安全運(yùn)行體系、安全技術(shù)體系、安全應(yīng)急體系)進(jìn)行深入防御。

　　縱

　　正如信息安全這四個(gè)字所表現(xiàn)一樣，以保護(hù)信息為其最重要的目的。那么就應(yīng)當(dāng)對(duì)信息安全事件發(fā)生的之前、之中和之后進(jìn)行有效控制。即以預(yù)防控制為主，但是也不能忽略操作性控制和恢復(fù)性控制。因此，應(yīng)當(dāng)從信息的事前預(yù)防、事中監(jiān)控和事后恢復(fù)三個(gè)層面建設(shè)信息安全。

　　深

　　信息安全涉及的領(lǐng)域非常廣，以人員、硬件、數(shù)據(jù)、軟件等方面都會(huì)涉及。我們需要對(duì)從組織體系、制度體系、技術(shù)體系、運(yùn)行體系、應(yīng)急體系五個(gè)方面的深度進(jìn)行概括。

　　組織

　　人是實(shí)施信息安全的最關(guān)鍵的因素，人控制好了，信息安全就控制

　　好了。因此成立一個(gè)合理和有效的安全組織架構(gòu)，對(duì)于保證安全日常運(yùn)行是最重要的。建立一個(gè)成功的信息安全組織體系有很多關(guān)鍵環(huán)節(jié)，但是組織高級(jí)管理層的參與、安全納入績(jī)效考核、人員信息安全意識(shí)與技能培訓(xùn)是必不可少的成功因素。

　　制度

　　把信息安全好的做法固化下來(lái)形成規(guī)則，就是制度。因此，信息安全制度是組織中信息安全行為準(zhǔn)則。信息安全保障體系只有做到制度化、規(guī)范化才能更好地保證事前預(yù)防、事中監(jiān)控、和事后審計(jì)等安全措施的執(zhí)行與落實(shí)。

　　技術(shù)

　　技術(shù)是安全必不可少的實(shí)施工具，采取哪些安全技術(shù)，市場(chǎng)上有哪些工具可以使用，這是絕大部分信息安全管理工作者最關(guān)心的話題。一般來(lái)說(shuō)，可以按照從上到下信息所流經(jīng)的設(shè)備來(lái)部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、物理安全六個(gè)方面來(lái)選擇不同的安全工具。信息安全工具種類(lèi)繁多，一般來(lái)說(shuō)，每一種工具都有其擅長(zhǎng)的安全方面，因此應(yīng)按照“適度防御”原則，綜合采用各種安全工具進(jìn)行組合，形成企業(yè)“適用的”安全技術(shù)防線。最后，需要一到兩種提供綜合管理的工具來(lái)幫助把所有的安全監(jiān)控工具近進(jìn)行統(tǒng)一管控。這個(gè)和最終希望呈現(xiàn)給使用者的目的不同有所不同。例如soc(安全運(yùn)行中心)是給企業(yè)日常維護(hù)管理者使用，itrm(風(fēng)險(xiǎn)管理工具)作為綜合風(fēng)險(xiǎn)呈現(xiàn)，是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。

　　運(yùn)行

　　技術(shù)體系更多是解決安全風(fēng)險(xiǎn)點(diǎn)的問(wèn)題。也就是我們常說(shuō)的“就事論事”：有病毒殺病毒，有漏洞補(bǔ)漏洞等等。但是我們知道，信息分散在一系列工作流程中各個(gè)環(huán)節(jié)中，因此需要對(duì)各項(xiàng)日常運(yùn)行工作流程進(jìn)行安全控制，也就是從信息的生命周期進(jìn)行流程控制，即在信息的創(chuàng)建、使用、存儲(chǔ)、傳遞、更改、銷(xiāo)毀等各個(gè)階段進(jìn)行安全控制。目前受到熱捧的開(kāi)發(fā)安全就是在信息創(chuàng)建階段的一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中，往往需要結(jié)合itil、cobit等流程分析來(lái)關(guān)注信息的生命周期安全。

　　應(yīng)急

　　自美國(guó)“9.11”事件以后，業(yè)務(wù)連續(xù)性的重要程度提到了前所未有的高度。包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是bs25999標(biāo)準(zhǔn)的頒布，給如何建立一套完善的應(yīng)急體系提供了參考。

　　信息安全保障體系的建設(shè)

　　以上對(duì)如何構(gòu)建完整的信息安全保障體系提供了一個(gè)方法模型，但是在企業(yè)中建立有效的保障體系是一個(gè)長(zhǎng)期的過(guò)程，各企業(yè)應(yīng)當(dāng)根據(jù)自身實(shí)際情況，制定一個(gè)三到五年的中長(zhǎng)期建設(shè)規(guī)劃。一般來(lái)說(shuō)，企業(yè)建立信息安全保障體系有如下幾個(gè)步驟：

　　1) 全面分析企業(yè)的信息安全現(xiàn)狀;

　　2) 提供信息安全戰(zhàn)略和安全架構(gòu)建議;

　　3) 制定企業(yè)信息安全保障建設(shè)規(guī)劃;

　　4) 對(duì)規(guī)劃中的項(xiàng)目提出初步實(shí)施方案，對(duì)近期實(shí)施的重點(diǎn)項(xiàng)目進(jìn)行可行性研究。

　　相信對(duì)于第1)到第3)步很多企業(yè)都熟知，但是對(duì)于哪些屬于重點(diǎn)是近期實(shí)施項(xiàng)目，可能會(huì)有不同的看法與意見(jiàn)。為了能夠更加合理安排實(shí)施計(jì)劃，可以對(duì)在未來(lái)三年內(nèi)計(jì)劃實(shí)施的信息安全控制措施進(jìn)行匯總后確定出需要實(shí)施的項(xiàng)目，從項(xiàng)目緊迫性、項(xiàng)目可實(shí)施性、項(xiàng)目實(shí)施難易程度和項(xiàng)目預(yù)期效果等四個(gè)角度進(jìn)行綜合分析和量化評(píng)價(jià)，確定項(xiàng)目實(shí)施的優(yōu)先級(jí)，制訂安全項(xiàng)目實(shí)施時(shí)間表的過(guò)程。如圖2所示，根據(jù)每個(gè)階段不同目標(biāo)，制定不同的是建設(shè)計(jì)劃。

　　it內(nèi)控建設(shè)是屬于企業(yè)內(nèi)控建設(shè)的重要組成部分，而信息安全保障體系的建設(shè)則是it內(nèi)控建設(shè)的落地方法。內(nèi)控體系建設(shè)本身就是一個(gè)復(fù)雜而且浩大的工程，目前都不缺乏完整的內(nèi)控體系理論，但如何把如此復(fù)雜的工程進(jìn)行細(xì)化、分類(lèi)和落地，則需要一些實(shí)用的方法與步驟。作者依據(jù)多年的咨詢(xún)經(jīng)驗(yàn)，提出了如何建設(shè)完整的信息安全保障體系的前提、框架及過(guò)程，對(duì)當(dāng)前企業(yè)的信息安全體系建設(shè)具有一定的參考意義。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]