



全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
企业信息安全保障体系建设要点 2012-04-10 18:15 出处:pconline 作者:佚名 责任编辑: pcnanjing (评论 0 条) 如何保障业务信息安全与系统运行安全,已经成为企业内部控制的重要任务之一。企业內控体系建设是一 个复杂而且浩大的工程,目前不缺乏完整的内控体系理论,但如何把如此复杂的工程进行细化与落地,则 需要一些实际适用的方法。下面如何建设完整的信息安全保障体系的方法与步骤,可以作为内控体系建设 的参考方法。 建立有效信息安全保障体系的前提 随着信息技术的发展,绝大部分企业的业务模式离不开信息系统的支持,业务在新的电子化模式下如 何得到有效安全保障,特别是如何保障系统运行安全与业务信息安全,已成为企业内部控制的重要任务之 一。信息安全已经从部署防火墙、防病毒软件等单一的技术手段,发展到建立整体化的信息安全保障体系, 因此信息安全保障体系的规划与建设就显得尤为重要。 信息安全不仅仅是 IT 部门的工作,也是需要公司所有部门和员工共同实现的一项日常工作,因此信 息安全保障体系的建设是一个复杂而且长期的过程。以下要素是有效建立信息安全保障体系的重要前提: 业务驱动:信息安全任务的实施一定要从业务的角度出发,在实施时必须时刻考虑到业务的需求,在 信息安全建设过程中获得业务部门的支持与配合,共同推动信息安全建设的开展。 长期可靠的合作伙伴:良好的合作伙伴对于保证信息安全建设能够成功实施是十分重要的。通过长期 可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。 高层的支持:信息安全任务通常情况下会涉及到企业的各个部门的参与、配合乃至利益关系,因此在 实施过中需要企业高层的支持,以分配必要的资源,推动跨部门协作,保证项目的顺利实施。 有效的实施管理和监控:为了获取体系建设的最大收益,尽可能降低风险,需要落实强有力的实施管 理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和 监控。 各企业的企业文化差异,可能会有不同的影响因素,但是以上四个因素是任何企业在开展信息安全工 作是要充分考虑的因素,否则很可能会把这项工作成果束之高阁。 信息安全保障体系框架模型 如何建立信息安全保障框架?国内外有哪些标准或者指南可以参考?这是建立一个合理的信息安全保障 体系框架的基础。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是 ISO/IEC27000 系列标准。ISO/IEC 27001 通过 PDCA 过程(即戴明环) ,指导企业如何建立可持续改进的体系。 其次, 美国国家安全局提出的信息保障技术框架(Information Assurance Technical Framework,IATF) 是另一个可以参照的有效框架。IATF 创造性地提出了信息保障依赖于人、技术和操作来共同实现组织职 能和业务运作的思想,对技术和信息基础设施的管理也离不开这三个要素。IATF 认为,稳健的信息保障 状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。 此外,BS25999 提出业务连续性是一个企业业务保障的重要方法,ISCACA 组织的信息系统审计师 CISA 教程认为 IT 审计是保障组织建立有效控制的重要手段等等。 企业如何综合利用这么多的理论框架,建立适合于自身的信息安全保障体系?依据作者的多年经验, 认为一个企业可以按照如图 1“企业信息安全保障框架” 所示的框架进行建设: 信息安全保障应当建立纵深防御体系,什么是纵?什么是深? 如图 1 所示,纵的是有三个层面(事前、事中、 事后)全面控制;深的是从五个方向 (安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应 急体系)进行深入防御。 纵:正如信息安全这四个字所表现一样,以保护信息为其最重要的目的。那么就应当对信息安全事件 发生的之前、之中和之后进行有效控制。即以预防控制为主,但是也不能忽略操作性控制和恢复性控制。 因此,应当从信息的事前预防、事中监控和事后恢复三个层面建设信息安全。 深:信息安全涉及的领域非常广,以人员、硬件、数据、软件等方面都会涉及。我们需要对从组织体 系、制度体系、技术体系、运行体系、应急体系五个方面的深度进行概括。 组织:人是实施信息安全的最关键的因素,人控制好了,信息安全就控制 好了。因此成立一个合理和有效的安全组织架构,对于保证安全日常运行是最重要的。建立一个成功的信 息安全组织体系有很多关键环节,但是组织高级管理层的参与、安全纳入绩效考核、人员信息安全意识与 技能培训是必不可少的成功因素。 制度:把信息安全好的做法固化下来形成规则,就是制度。因此,信息安全制度是组织中信息安全行 为准则。信息安全保障体系只有做到制度化、规范化才能更好地保证事前预防、事中监控、和事后审计等 安全措施的执行与落实。 技术:技术是安全必不可少的实施工具,采取哪些安全技术,市场上有哪些工具可以使用,这是绝大 部分信息安全管理工作者最关心的话题。一般来说,可以按照从上到下信息所流经的设备来部署工具。即 从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的 安全工具。信息安全工具种类繁多,一般来说,每一种工具都有其擅长的安全方面,因此应按照“适度防 御”原则,综合采用各种安全工具进行组合,形成企业“ 适用的”安全技术防线。最后,需要一到两种提供 综合管理的工具来帮助把所有的安全监控工具近进行统一管控。这个和最终希望呈现给使用者的目的不同 有所不同。例如 SOC(安全运行中心)是给企业日常维护管理者使用,ITRM( 风险管理工具)作为综合风险呈 现,是给企业风险或安全管理层使用。 运行:技术体系更多是解决安全风险点的问题。也就是我们常说的“就事论事”:有病毒杀病毒,有漏 洞补漏洞等等。但是我们知道,信息分散在一系列工作流程中各个环节中,因此需要对各项日常运行工作 流程进行安全控制,也就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、 销毁等各个阶段进行安全控制。目前受到热捧的开发安全就是在信息创建阶段的一个细化控制手段。在运 行体系建设中,往往需要结合 ITIL、cobit 等流程分析来关注信息的生命周期安全。 应急:自美国“9.11”事件以后,业务连续性的重要程度提到了前所未有的高度。包括灾备中心建设、 业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是 BS25999 标准的颁布,给如何建立 一套完善的应急体系提供了参考。 信息安全保障体系的建设 以上对如何构建完整的信息安全保障体系提供了一个方法模型,但是在企业中建立有效的保障体系是 一个长期的过程,各企业应当根据自身实际情况,制定一个三到五年的中长期建设规划。一般来说,企业 建立信息安全保障体系有如下几个步骤: 1) 全面分析企业的信息安全现状; 2) 提供信息安全战略和安全架构建议; 3) 制定企业信息安全保障建设规划; 4) 对规划中的项目提出初步实施方案,对近期实施的重点项目进行可行性研究。 相信对于第 1)到第 3)步很多企业都熟知,但是对于哪些属于重点是近期实施项目,可能会有不同的 看法与意见。为了能够更加合理安排实施计划,可以对在未来三年内计划实施的信息安全控制措施进行汇 总后确定出需要实施的项目,从项目紧迫性、项目可实施性、项目实施难易程度和项目预期效果等四个角 度进行综合分析和量化评价,确定项目实施的优先级,制订安全项目实施时间表的过程。如图 2 所示,根 据每个阶段不同目标,制定不同的是建设计划。 IT 内控建设是属于企业内控建设的重要组成部分,而信息安全保障体系的建
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 行政管理学中现代管理的典型试题及答案
- 建筑工程考试深入分析试题及答案
- 行政管理中的心理学影响力探究试题及答案
- 2025关于旅游服务合同
- 2025化工原料采购合同
- 2025家居用品购销合同家居用品购销合同电子版
- 2025供暖系统安装合同
- 公文写作中的风格辨析试题及答案
- 2025年公文写作与处理的基础知识及答案
- 2025广州个人租房合同书
- 作风建设学习教育查摆问题清单及整改措施
- 2025届河北省石家庄第一中学高三下学期二模地理试题及答案
- 2024年山东开放大学招聘考试真题
- PSP问题解决流程分析
- 生活生命安全试题及答案
- 语文-华大新高考联盟2025届高三3月教学质量测评试题+答案
- (T8联考)2025届高三部分重点中学3月联合测评地理试卷(含答案详解)河南版
- 劳务合同完整版(2025年版)
- 低空经济行业分析报告
- 2025年霍山石斛市场调查报告
- 2025年安徽省C20教育联盟中考三模语文试题(含答案)
评论
0/150
提交评论