企業(yè)信息安全保障標(biāo)準(zhǔn)體系建設(shè)要點(diǎn)

企業(yè)信息安全保障體系建設(shè)關(guān)鍵點(diǎn)-04-1018:15出處：pconline作者：佚名責(zé)任編輯：pcnanjing(評(píng)論0條)怎樣保障業(yè)務(wù)信息安全和系統(tǒng)運(yùn)行安全，已經(jīng)成為企業(yè)內(nèi)部控制關(guān)鍵任務(wù)之一。企業(yè)內(nèi)控體系建設(shè)是一個(gè)復(fù)雜而且浩大工程，現(xiàn)在不缺乏完整內(nèi)控體系理論，但怎樣把如此復(fù)雜工程進(jìn)行細(xì)化和落地，則需要部分實(shí)際適用方法。下面怎樣建設(shè)完整信息安全保障體系方法和步驟，能夠作為內(nèi)控體系建設(shè)參考方法。

建立有效信息安全保障體系前提

伴隨信息技術(shù)發(fā)展，絕大部分企業(yè)業(yè)務(wù)模式離不開信息系統(tǒng)支持，業(yè)務(wù)在新電子化模式下怎樣得到有效安全保障，尤其是怎樣保障系統(tǒng)運(yùn)行安全和業(yè)務(wù)信息安全，已成為企業(yè)內(nèi)部控制關(guān)鍵任務(wù)之一。信息安全已經(jīng)從布署防火墻、防病毒軟件等單一技術(shù)手段，發(fā)展到建立整體化信息安全保障體系，所以信息安全保障體系計(jì)劃和建設(shè)就顯得尤為關(guān)鍵。

信息安全不僅僅是IT部門工作，也是需要企業(yè)全部部門和職員共同實(shí)現(xiàn)一項(xiàng)日常工作，所以信息安全保障體系建設(shè)是一個(gè)復(fù)雜而且長久過程。以下要素是有效建立信息安全保障體系關(guān)鍵前提：

業(yè)務(wù)驅(qū)動(dòng)：信息安全任務(wù)實(shí)施一定要從業(yè)務(wù)角度出發(fā)，在實(shí)施時(shí)必需時(shí)刻考慮到業(yè)務(wù)需求，在信息安全建設(shè)過程中取得業(yè)務(wù)部門支持和配合，共同推進(jìn)信息安全建設(shè)開展。

長久可靠合作伙伴：良好合作伙伴對(duì)于確保信息安全建設(shè)能夠成功實(shí)施是十分關(guān)鍵。經(jīng)過長久可靠合作關(guān)系，快速引進(jìn)外部專業(yè)資源和優(yōu)異技術(shù)，能夠幫助企業(yè)推進(jìn)信息安全建設(shè)工作。

高層支持：信息安全任務(wù)通常情況下會(huì)包含到企業(yè)各個(gè)部門參與、配合乃至利益關(guān)系，所以在實(shí)施過中需要企業(yè)高層支持，以分配必需資源,推進(jìn)跨部門協(xié)作，確保項(xiàng)目標(biāo)順利實(shí)施。

有效實(shí)施管理和監(jiān)控：為了獲取體系建設(shè)最大收益，盡可能降低風(fēng)險(xiǎn)，需要落實(shí)強(qiáng)有力實(shí)施管理和監(jiān)控方法，在跟蹤總體計(jì)劃同時(shí)，合理安排各任務(wù)進(jìn)度和資源，強(qiáng)化對(duì)各任務(wù)/子任務(wù)管理和監(jiān)控。

各企業(yè)企業(yè)文化差異，可能會(huì)有不一樣影響原因，不過以上四個(gè)原因是任何企業(yè)在開展信息安全工作是要充足考慮原因，不然很可能會(huì)把這項(xiàng)工作結(jié)果束之高閣。

信息安全保障體系框架模型

怎樣建立信息安全保障框架?中國外有哪些標(biāo)準(zhǔn)或指南能夠參考?這是建立一個(gè)合理信息安全保障體系框架基礎(chǔ)。目前有很多很好綜合性標(biāo)準(zhǔn)和規(guī)范能夠參考，其中很有名就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC27001經(jīng)過PDCA過程(即戴明環(huán))，指導(dǎo)企業(yè)怎樣建立可連續(xù)改善體系。

其次，美國國家安全局提出信息保障技術(shù)框架(InformationAssuranceTechnicalFramework，IATF)是另一個(gè)能夠參考有效框架。IATF發(fā)明性地提出了信息保障依靠于人、技術(shù)和操作來共同實(shí)現(xiàn)組織職能和業(yè)務(wù)運(yùn)作思想，對(duì)技術(shù)和信息基礎(chǔ)設(shè)施管理也離不開這三個(gè)要素。IATF認(rèn)為，穩(wěn)健信息保障狀態(tài)意味著信息保障策略、過程、技術(shù)和機(jī)制在整個(gè)組織信息基礎(chǔ)設(shè)施全部層面上全部能得以實(shí)施。

另外，BS25999提出業(yè)務(wù)連續(xù)性是一個(gè)企業(yè)業(yè)務(wù)保障關(guān)鍵方法，ISCACA組織信息系統(tǒng)審計(jì)師CISA教程認(rèn)為IT審計(jì)是保障組織建立有效控制關(guān)鍵手段等等。

企業(yè)怎樣綜合利用這么多理論框架，建立適合于本身信息安全保障體系?依據(jù)作者多年經(jīng)驗(yàn)，認(rèn)為一個(gè)企業(yè)能夠根據(jù)圖1“企業(yè)信息安全保障框架”所表示框架進(jìn)行建設(shè):信息安全保障應(yīng)該建立縱深防御體系，什么是縱?什么是深?圖1所表示，縱是有三個(gè)層面(事前、事中、事后)全方面控制;深是從五個(gè)方向(安全組織體系、安全制度體系、安全運(yùn)行體系、安全技術(shù)體系、安全應(yīng)急體系)進(jìn)行深入防御。

縱：正如信息安全這四個(gè)字所表現(xiàn)一樣，以保護(hù)信息為其最關(guān)鍵目標(biāo)。那么就應(yīng)該對(duì)信息安全事件發(fā)生之前、之中和以后進(jìn)行有效控制。即以預(yù)防控制為主，不過也不能忽略操作性控制和恢復(fù)性控制。所以，應(yīng)該從信息事前預(yù)防、事中監(jiān)控和事后恢復(fù)三個(gè)層面建設(shè)信息安全。

深：信息安全包含領(lǐng)域很廣，以人員、硬件、數(shù)據(jù)、軟件等方面全部會(huì)包含。我們需要對(duì)從組織體系、制度體系、技術(shù)體系、運(yùn)行體系、應(yīng)急體系五個(gè)方面深度進(jìn)行概括。

組織：人是實(shí)施信息安全最關(guān)鍵原因，人控制好了，信息安全就控制

好了。所以成立一個(gè)合理和有效安全組織架構(gòu)，對(duì)于確保安全日常運(yùn)行是最關(guān)鍵。建立一個(gè)成功信息安全組織體系有很多關(guān)鍵步驟，不過組織高級(jí)管理層參與、安全納入績效考評(píng)、人員信息安全意識(shí)和技能培訓(xùn)是必不可少成功原因。

制度：把信息安全好做法固化下來形成規(guī)則，就是制度。所以，信息安全制度是組織中信息安全行為準(zhǔn)則。信息安全保障體系只有做到制度化、規(guī)范化才能愈加好地確保事前預(yù)防、事中監(jiān)控、和事后審計(jì)等安全方法實(shí)施和落實(shí)。

技術(shù)：技術(shù)是安全必不可少實(shí)施工具，采取哪些安全技術(shù)，市場上有哪些工具能夠使用，這是絕大部分信息安全管理工作者最關(guān)心話題。通常來說，能夠根據(jù)從上到下信息所流經(jīng)設(shè)備來布署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)和數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、物理安全六個(gè)方面來選擇不一樣安全工具。信息安全工具種類繁多，通常來說，每一個(gè)工具全部有其擅長安全方面，所以應(yīng)根據(jù)“適度防御”標(biāo)準(zhǔn)，綜合采取多種安全工具進(jìn)行組合，形成企業(yè)“適用”安全技術(shù)防線。最終，需要一到兩種提供綜合管理工具來幫助把全部安全監(jiān)控工具近進(jìn)行統(tǒng)一管控。這個(gè)和最終期望展現(xiàn)給使用者目標(biāo)不一樣有所不一樣。比如SOC(安全運(yùn)行中心)是給企業(yè)日常維護(hù)管理者使用，ITRM(風(fēng)險(xiǎn)管理工具)作為綜合風(fēng)險(xiǎn)展現(xiàn)，是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。

運(yùn)行：技術(shù)體系更多是處理安全風(fēng)險(xiǎn)點(diǎn)問題。也就是我們常說“就事論事”：有病毒殺病毒，有漏洞補(bǔ)漏洞等等。不過我們知道，信息分散在一系列工作步驟中各個(gè)步驟中，所以需要對(duì)各項(xiàng)日常運(yùn)行工作步驟進(jìn)行安全控制，也就是從信息生命周期進(jìn)行步驟控制，即在信息創(chuàng)建、使用、存放、傳輸、更改、銷毀等各個(gè)階段進(jìn)行安全控制?，F(xiàn)在受到熱捧開發(fā)安全就是在信息創(chuàng)建階段一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中，往往需要結(jié)合ITIL、cobit等步驟分析來關(guān)注信息生命周期安全。

應(yīng)急：自美國“9.11”事件以后，業(yè)務(wù)連續(xù)性關(guān)鍵程度提到了前所未有高度。包含災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等全部有對(duì)應(yīng)標(biāo)準(zhǔn)和理論支持。尤其是BS25999標(biāo)準(zhǔn)頒布，給怎樣建立一套完善應(yīng)急體系提供了參考。

信息安全保障體系建設(shè)

以上對(duì)怎樣構(gòu)建完整信息安全保障體系提供了一個(gè)方法模型，不過在企業(yè)中建立有效保障體系是一個(gè)長久過程,各企業(yè)應(yīng)該依據(jù)本身實(shí)際情況，制訂一個(gè)三到五年中長久建設(shè)計(jì)劃。通常來說，企業(yè)建立信息安全保障體系有以下多個(gè)步驟：

1)全方面分析企業(yè)信息安全現(xiàn)實(shí)狀況;

2)提供信息安全戰(zhàn)略和安全架構(gòu)提議;

3)制訂企業(yè)信息安全保障建設(shè)計(jì)劃;

4)對(duì)計(jì)劃中項(xiàng)目提出初步實(shí)施方案，對(duì)近期實(shí)施關(guān)鍵項(xiàng)目進(jìn)行可行性研究。

相信對(duì)于第1)到第3)步很多企業(yè)全部熟知，不過對(duì)于哪些屬于關(guān)鍵是近期實(shí)施項(xiàng)目，可能會(huì)有不一樣見解和意見。為了能夠愈加合理安排實(shí)施計(jì)劃，能夠?qū)υ谖磥砣陜?nèi)計(jì)劃實(shí)施信息安全控制方法進(jìn)行匯總后確定出需要實(shí)施項(xiàng)目，從項(xiàng)目緊迫性、項(xiàng)目可實(shí)施性、項(xiàng)目實(shí)施難易程度和項(xiàng)目預(yù)期效果等四個(gè)角度進(jìn)行綜合分析和量化評(píng)價(jià)，確定項(xiàng)目實(shí)施優(yōu)先級(jí)，制訂安全項(xiàng)目實(shí)施時(shí)間表過程。圖2所表示，依據(jù)每個(gè)階段不一樣目標(biāo)，制訂不一樣是建設(shè)計(jì)劃。IT內(nèi)控建設(shè)是屬于企業(yè)內(nèi)控建設(shè)關(guān)鍵組成部分，而