企业信息安全保障标准体系建设要点

企业信息安全保障体系建设关键点-04-1018:15出处：pconline作者：佚名责任编辑：pcnanjing(评论0条)怎样保障业务信息安全和系统运行安全，已经成为企业内部控制关键任务之一。企业內控体系建设是一个复杂而且浩大工程，现在不缺乏完整内控体系理论，但怎样把如此复杂工程进行细化和落地，则需要部分实际适用方法。下面怎样建设完整信息安全保障体系方法和步骤，能够作为内控体系建设参考方法。

建立有效信息安全保障体系前提

伴随信息技术发展，绝大部分企业业务模式离不开信息系统支持，业务在新电子化模式下怎样得到有效安全保障，尤其是怎样保障系统运行安全和业务信息安全，已成为企业内部控制关键任务之一。信息安全已经从布署防火墙、防病毒软件等单一技术手段，发展到建立整体化信息安全保障体系，所以信息安全保障体系计划和建设就显得尤为关键。

信息安全不仅仅是IT部门工作，也是需要企业全部部门和职员共同实现一项日常工作，所以信息安全保障体系建设是一个复杂而且长久过程。以下要素是有效建立信息安全保障体系关键前提：

业务驱动：信息安全任务实施一定要从业务角度出发，在实施时必需时刻考虑到业务需求，在信息安全建设过程中取得业务部门支持和配合，共同推进信息安全建设开展。

长久可靠合作伙伴：良好合作伙伴对于确保信息安全建设能够成功实施是十分关键。经过长久可靠合作关系，快速引进外部专业资源和优异技术，能够帮助企业推进信息安全建设工作。

高层支持：信息安全任务通常情况下会包含到企业各个部门参与、配合乃至利益关系，所以在实施过中需要企业高层支持，以分配必需资源,推进跨部门协作，确保项目标顺利实施。

有效实施管理和监控：为了获取体系建设最大收益，尽可能降低风险，需要落实强有力实施管理和监控方法，在跟踪总体计划同时，合理安排各任务进度和资源，强化对各任务/子任务管理和监控。

各企业企业文化差异，可能会有不一样影响原因，不过以上四个原因是任何企业在开展信息安全工作是要充足考虑原因，不然很可能会把这项工作结果束之高阁。

信息安全保障体系框架模型

怎样建立信息安全保障框架?中国外有哪些标准或指南能够参考?这是建立一个合理信息安全保障体系框架基础。目前有很多很好综合性标准和规范能够参考，其中很有名就是ISO/IEC27000系列标准。ISO/IEC27001经过PDCA过程(即戴明环)，指导企业怎样建立可连续改善体系。

其次，美国国家安全局提出信息保障技术框架(InformationAssuranceTechnicalFramework，IATF)是另一个能够参考有效框架。IATF发明性地提出了信息保障依靠于人、技术和操作来共同实现组织职能和业务运作思想，对技术和信息基础设施管理也离不开这三个要素。IATF认为，稳健信息保障状态意味着信息保障策略、过程、技术和机制在整个组织信息基础设施全部层面上全部能得以实施。

另外，BS25999提出业务连续性是一个企业业务保障关键方法，ISCACA组织信息系统审计师CISA教程认为IT审计是保障组织建立有效控制关键手段等等。

企业怎样综合利用这么多理论框架，建立适合于本身信息安全保障体系?依据作者多年经验，认为一个企业能够根据图1“企业信息安全保障框架”所表示框架进行建设:信息安全保障应该建立纵深防御体系，什么是纵?什么是深?图1所表示，纵是有三个层面(事前、事中、事后)全方面控制;深是从五个方向(安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应急体系)进行深入防御。

纵：正如信息安全这四个字所表现一样，以保护信息为其最关键目标。那么就应该对信息安全事件发生之前、之中和以后进行有效控制。即以预防控制为主，不过也不能忽略操作性控制和恢复性控制。所以，应该从信息事前预防、事中监控和事后恢复三个层面建设信息安全。

深：信息安全包含领域很广，以人员、硬件、数据、软件等方面全部会包含。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面深度进行概括。

组织：人是实施信息安全最关键原因，人控制好了，信息安全就控制

好了。所以成立一个合理和有效安全组织架构，对于确保安全日常运行是最关键。建立一个成功信息安全组织体系有很多关键步骤，不过组织高级管理层参与、安全纳入绩效考评、人员信息安全意识和技能培训是必不可少成功原因。

制度：把信息安全好做法固化下来形成规则，就是制度。所以，信息安全制度是组织中信息安全行为准则。信息安全保障体系只有做到制度化、规范化才能愈加好地确保事前预防、事中监控、和事后审计等安全方法实施和落实。

技术：技术是安全必不可少实施工具，采取哪些安全技术，市场上有哪些工具能够使用，这是绝大部分信息安全管理工作者最关心话题。通常来说，能够根据从上到下信息所流经设备来布署工具。即从数据安全、终端安全、应用安全、操作系统和数据库安全、网络安全、物理安全六个方面来选择不一样安全工具。信息安全工具种类繁多，通常来说，每一个工具全部有其擅长安全方面，所以应根据“适度防御”标准，综合采取多种安全工具进行组合，形成企业“适用”安全技术防线。最终，需要一到两种提供综合管理工具来帮助把全部安全监控工具近进行统一管控。这个和最终期望展现给使用者目标不一样有所不一样。比如SOC(安全运行中心)是给企业日常维护管理者使用，ITRM(风险管理工具)作为综合风险展现，是给企业风险或安全管理层使用。

运行：技术体系更多是处理安全风险点问题。也就是我们常说“就事论事”：有病毒杀病毒，有漏洞补漏洞等等。不过我们知道，信息分散在一系列工作步骤中各个步骤中，所以需要对各项日常运行工作步骤进行安全控制，也就是从信息生命周期进行步骤控制，即在信息创建、使用、存放、传输、更改、销毁等各个阶段进行安全控制。现在受到热捧开发安全就是在信息创建阶段一个细化控制手段。在运行体系建设中，往往需要结合ITIL、cobit等步骤分析来关注信息生命周期安全。

应急：自美国“9.11”事件以后，业务连续性关键程度提到了前所未有高度。包含灾备中心建设、业务连续性计划、应急响应等等全部有对应标准和理论支持。尤其是BS25999标准颁布，给怎样建立一套完善应急体系提供了参考。

信息安全保障体系建设

以上对怎样构建完整信息安全保障体系提供了一个方法模型，不过在企业中建立有效保障体系是一个长久过程,各企业应该依据本身实际情况，制订一个三到五年中长久建设计划。通常来说，企业建立信息安全保障体系有以下多个步骤：

1)全方面分析企业信息安全现实状况;

2)提供信息安全战略和安全架构提议;

3)制订企业信息安全保障建设计划;

4)对计划中项目提出初步实施方案，对近期实施关键项目进行可行性研究。

相信对于第1)到第3)步很多企业全部熟知，不过对于哪些属于关键是近期实施项目，可能会有不一样见解和意见。为了能够愈加合理安排实施计划，能够对在未来三年内计划实施信息安全控制方法进行汇总后确定出需要实施项目，从项目紧迫性、项目可实施性、项目实施难易程度和项目预期效果等四个角度进行综合分析和量化评价，确定项目实施优先级，制订安全项目实施时间表过程。图2所表示，依据每个阶段不一样目标，制订不一样是建设计划。IT内控建设是属于企业内控建设关键组成部分，而