已阅读5页,还剩60页未读, 继续免费阅读
(工商管理专业论文)基于生命周期的信息安全服务管理研究.pdf.pdf 免费下载
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
摘要 信息安全服务管理是企业信息安全建设过程中不可缺少的一部分。信息安全 服务管理通过对服务提供商所实施的信息安全服务生命周期过程进行计划、控制 和评价,使企业的信息安全服务实施满足企业的合规性需求和内在业务安全需 求。然而,目前国内并没有相关的文献针对信息安全服务实施过程的管理作出明 确地定义和阐述,企业在实施安全服务过程中,缺乏一套与实际安全服务过程相 匹配的、可供参考的方法论对信息安全服务的实施过程和结果进行管理。 本研究针对上述问题,引入了安全服务生命周期思想,把信息安全服务管理 按照信息安全体系建设生命周期进行划分,明确各阶段的任务和活动,使企业能 够较轻松地掌握和应用以指导其规划、实施、持续改进及评价信息安全服务实施 过程。 本文首先对信息安全及i t 服务管理的相关标准进行研究,分析国内信息安 全服务的现状,把信息安全服务管理按照信息安全体系建设生命周期划分为四个 阶段,对预实施的信息安全服务进行论证与规划,明确安全需求、可行性方案及 服务目标;然后,根据论证规划的结果选择服务提供商和实施安全服务过程管理; 并对实施的信息安全服务进行持续的运营、改进及评价;一旦本次信息安全服务 项目实施完成或不再满足企业既定的目标和需求,就必须退出本次安全服务生命 周期,从而可能进入到下一次的安全服务生命周期循环过程中。 最后本人结合了某大学的信息安全服务管理实施的实例,论述了基于生命周 期的信息安全服务管理的具体应用。 关键词:信息安全,安全服务生命周期,信息安全服务管理 5 a b s t r a c t i n f o r m a t i o ns e c u r i t ys e r v i c em a n a g e m e n ti st h ei n d i s p e n s a b l ep a r td u r i n g b u i l d i n ge n t e r p r i s ei n f o r m a t i o ns e c u r i t ys y s t e m i n f o r m a t i o ns e c u r i t ys e r v i c e m a n a g e m e n ta p p l yp l a n n i n g 、c o n t r o l l i n ga n de v a l u a t i o np e r f o r m i n go ft h el i f e c y c l ep h a s eo fi n f o r m a t i o ns e c u r i t ys e r v i c e so ft h es e r v i c ep r o v i d e r st om e e t c o r p o r a t ec o m p f i a n c er e q u i r e m e n t sa n db u s i n e s ss e c u r i t yn e e d s h o w e v e r , t h e r e i sn or e l e v a n td o m e s t i cl i t e r a t u r ef o rt h em a n a g e m e n to fi n f o r m a t i o ns e c u r i t y s e r v i c e st om a k ec l e a rt h ed e f i n i t i o na n de l a b o r a t i o no fp r o c e s so fs e c u r i t y s e r v i c e s ,d u r i n gi m p l e m e n t a t i o no fi n f o r m a t i o ns e c u r i t ys e r v i c e s ,e n t e r p r i s el a c k as e to fr e f e r e n c em e t h o d o l o g ym a t c h i n ga c t u a lp r o c e s st om a n a g et h ea c t i v i t yo f s e r v i c e b a s e do nt h ea b o v ep r o b l e m , d i v i s i o no fi n f o r m a t i o n s e c u r i t ys e r v i c e s m a n a g e m e n ta c c o r d i n g t oi n f o r m a t i o ns e c u r i t ys y s t e mb u i l d i n gl i f ec y c l e ,c l e a r i n g m a n d a t ea n da c t i v i t i e so fe a c hs t a g e ,s ot h a te n t e r p r i s e sc a nb em o r e e a s i l yg r a s p a n da p p l yt og u i d et h e f tp l a n n i n g , i m p l e m e n t a t i o n ,c o n t i n u o u si m p r o v e m e n ta n d e v a l u a t i o no ft h ei m p l e m e n t a t i o np r o c e s so fi n f o r m a t i o ns e c u r i t ys e r v i c e s f i r s t l y , s t u d y i n ga n d ta n a l y z i n gs t a n d a r d so fi n f o r m a t i o ns e c u r i t ya n di ts e r v i c e m a n a g e m e n t , t h ei n f o r m a t i o ns e c u r i t ys e r v i c em a n a g e m e n ti sd i v i d e di n t of o u r s t a g e si na c c o r d a n c ew i t hi n f o r m a t i o ns e c u r i t ys y s t e mb u i l d i n gl i f ec y c l e ,c l e a r i n g s e c u r i t yr e q u i r e m e n t s ,f e a s i b i l i t yo ft h ep r o g r a ma n ds e r v i c eg o a l st h r o u g h p l a n n i n ga n dd e m o n s t r a t i n gp r e i m p l e m e n t a t i o no fi n f o r m a t i o ns e c u r i t ys e r v i c e s t h e n ,s e l e c ts e c u r i t ys e r v i c e sp r o v i d e ra n dc a r r yo u ts e r v i c ep r o c e s sm a n a g e m e n t a c c o r d i n gt o t h er e s u l t so fd e m o n s t r a t i o na n dp l a n n i n g k e e p o p e r a t i n g , i m p r o v i n ga n de v a l u a t i n g i n f o r m a t i o n s e c u r i t ys e r v i c e s o n c et h et i m et o c o m p l e t et h ei m p l e m e n t a t i o no fi n f o r m a t i o ns e c u r i t ys e r v i c e sb u s i n e s so rn o l o n g e rm e e tt h ee s t a b l i s h e dg o a l sa n dn e e d s ,i tm u s tb ew i t h d r e wf r o mt h e s e c u r i t ys e r v i c el i f ec y c l e ,t h e nw h i c hm a ye n t e rt h en e x tl i f e - c y c l ep r o c e s so f s e c u r i t ys e r v i c e s f i n a l l y , lg a v ea ne x a m p l e o fau n i v e r s i t y si n f o r m a t i o ns e c u r i t ys e r v i c e m a n a g e m e n ti m p l e m e n t a t i o na n dd i s c u s s e sh o wt oa p p l y i n gi n f o r m a t i o ns e c u r i t y s e r v i c em a n a g e m e n tb a s e do nl i f ec y c l e k e y w o r d s : i n f o r m a t i o ns e c u r i t y ,l i f ec y c l eo fi n f o r m a t i o ns e c u r i t ys e r v i c e s , i n f o r m a t i o ns e c u r i t ys e r v i c em a n a g e m e n t 6 in f o r m a t i o ns e c u r i t ys e r v i c e sli f ec y c l e m a n a g e m e n ts y s t e ms t u d y 1 1 研究背景 第1 章前言 信息安全疫情爆发的最大损失,并非有形的灾害,而是营运中断所导致的商 机流失。因此,信息安全的第一要务是将企业营运危机降至最少。而传统仅能扫 描和删除病毒的防毒软件,已经不足以让企业远离信息安全暴风圈。病毒、垃圾 邮件和其它恶意程序的暴增与诡谲多变,造成信息和数据安全极大的威胁。这些 快速成长和不断演化的安全威胁,让防护工作的难度大大提高。 为了有效应对不断增加的安全威胁,企业只有通过应用专业的信息安全技术 和服务手段,才能有效缓解和避免相应的信息安全风险。但大多数企业对专业的 信息安全服务的内容、实施过程和效果依然比较陌生,对信息安全服务管理更是 知之甚少,因此,需要一套可行的信息安全服务管理方法论为其采购、规划、实 施、运营和评价安全服务提供指导。通过对信息安全服务管理的过程进行研究, 能够使企业更加清楚地了解在实施信息安全服务过程中,如何有效地计划、组织 和分配资源,以确保信息安全服务满足最初的安全需求,满足企业业务的发展目 标。 1 2 研究范围 信息安全服务管理是企业信息安全建设过程中不可缺少的一部分。信息安全 服务管理通过对服务提供商所实施的信息安全服务生命周期过程进行计划、控制 和评价,使企业的信息安全服务实施满足企业的合规性需求和内在业务安全需 求。 本文主要致力于基于生命周期的信息安全服务管理框架及安全服务管理过 程各阶段的主要任务与活动进行探讨,并辅以实例加以论述。通过本文,期望对 企业规划、实施、持续改进及评价信息安全服务实施过程能有所启示。 1 3 研究方法 本文按照提出问题、分析问题、解决问题的步骤进行构思。首先,通过对信 9 息安全服务的定义进行介绍,简单阐述了信息安全服务的基本内容;然后,分析 国内信息安全服务的现状及相关安全服务标准,得出目前我国企业在实施信息安 全服务管理方面存在的问题;再以此为基础,参考我国信息安全体系建设的一般 过程及p d c a 质量循环思想,提出基于生命周期的信息安全服务管理思想,对信 息安全服务管理的实施按照生命周期进行划分,并对每个阶段之问的关系以及各 阶段实施过程的主要任务进行分析。同时,结合某大学信息安全服务管理实施的 实例,论述了基于生命周期的信息安全服务管理思想在实践中的应用。希望本文 能够对中国企业实施信息安全服务服务管理有所借鉴。 1 0 第2 章信息安全服务概述 2 1 信息安全服务的定义 信息安全服务是指为了适应企业相关业务的发展及i t 系统安全防护的需要, 外部信息安全服务提供商或内部信息安全服务部门综合地使用人、工具、程序等 资源为企业提供全面或部分i t 系统安全防护解决方案的服务。信息安全服务提供 包含从高端的全面安全体系规划到细节的技术解决措施。 2 2 信息安全服务的内容 对i t 系统的安全防护应该从多个层次予以考虑。企业应该评估自己i t 系统 的能力和风险,然后确定需要采取的适当的风险控制措施。一个企业的要对其关 键的i t 系统实施保护,可以从管理和技术2 个方面进行信息安全建设。没有安全 管理方面的控制防范措施作为有力的补充,单纯地依靠技术是无法满足企业i t 系统的安全保障需求。下面分别按照管理和技术2 个方面简要地说明安全服务的 概念和包含的内容: 表2 1 管理方面的安全服务 信息安全服务服务内容 i t 安全规划服务 评估组织运营和资产的风险 确定适当的针对组织运营和资产安全的保护级别 为每个系统开发和维护对应的安全计划 分析组织i t 安全规划的集成范同,建立有效的安全控制措施和 技术 建立安全资金投入计划以及相关的控制流稃,以保证投入的有 效性 建立相关安全检查机制,以保证组织可以有效地评估安全策略、 措施和流程是否恰当 安全方针 建立统一的安全规划方针 建立针对特定问题和特定目标系统的安全方针 建立短期、中期和氏期的安全实施计划,包括明确安全的任务、 资源、优先级和责任者 现有的安全方针和朱米期望之间的差距分析 风险管理 提供风险管理指导手册 进行风险评估或提供风险缓解计划 对风险管理的有效性进行审计 安全架构 建立组织的安全基线,包括识别业务需求、功能需求、安全需 求和风险评估以及安全控制 建立选择安全解决方案的方法_ j f l i 流程、设计安全技术架构以及 对安全技术架构进行文档管理 系统的安全鉴定和批 建立安全测试和评估的计划和流程 准 实施安全测试和评估并报告和分析测试结果 建立或执行脆弱性评估,提交最终的报告 产品的安全评估 目前通常采川相关的国家标准并有国家指定的机构完成,以保 证评估的权威性和一致性 持续性计划 为持续性计划生命周期的每个阶段提供相关的服务: 建立阶段:建立组织的持续性计划。包括进行业务影响评估, 以确定系统对内部和外部的依赖程度,允许的中断时间和恢复 的优先级 更新霸i 测试阶段:更新持续性计划和测试计划的可行性。测试 包括仿真环境测试和包括所有相关人员针对恢复计划所有指标 的运行演习 执行阶段:对组织执行持续性计划提供特定的支持 安全事件处理 建立安全事彳,l :处理规划 建立和维护系统配置以及仿真或应对演习的能力 1 2 测试和更新安全事 ;,i :处理流程 管理和执行相关处理流样 安全测试 是验证安全措施利流群有效性的重要方法。 测试还可以识别朱知的系统弱点和脆弱性。 安全培训 川丁培训相关人员的安全技能和知识,安全培训必须与业务和 技术的发展同步。 资料来源:基丁i t i l 体系的安全服务级别管理研究,计算机i :程与设计,第2 8 卷第四期 表2 2 技术方面的安全服务 信息安全服务服务内容 病毒防治 用于预防、检测和清除病毒对组织i t 系统的危害: 选择合适的网络防毒系统软件并进行安装调试和升级 提供病毒发作预警信息 检测系统遭受的病毒感染,及时清除并恢复网络利系统的止常 运行 防火墙 是根据网络安全事态控制网络通信数据流的设备和系统。 入侵检测 是检测危害信息资源机密性、完整性和可h j 性的行为的网络安 全技术。 公钥基础设施( p k i ) 是通过使川公开密钥技术和数字证1 s 米确保系统信息安全并负 责验证数字证书持有者身份的体系。 资料来源:基于i t i l 体系的安全服务级别管理研究,计算机j i :程与设计,第2 8 卷第四期 第3 章如何管理信息安全服务 3 1 国内信息安全服务现状 目前,国内企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理 规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水 平的限制,在短期内很难根本改变。j 下是看到这样的市场需求自i 景,国内涌现出 多家信息安全服务提供商,并纷纷提出了自己的安全服务体系,一般都包括信息 安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引 用户的同时,给用户造成了很大的迷茫。一方面是因为,企业对自身i t 系统的建 设与发展缺乏客观的理解和认识,不知道该选择什么样的信息安全服务以满足自 身业务的需求;另一方面是因为,企业面对如此众多信息安全服务提供商所提供 的服务,没有办法对信息安全服务实施过程和效果进行有效的管理和评估,因此 实施效果不如人意。很多用户购买安全服务的直接动机是应付当i j 的安全事件、 满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存 在较大落差。 为了有效地解决当前企业在实施信息安全服务过程中所面临的一系列问题, 企业急需要一套可行的信息安全服务管理方法以指导其采购、实施、监控和评价 信息安全服务,从而满足企业i t 系统安全防护的需求,满足企业业务发展的目标。 3 2 部分安全i l t 务管理标准 3 2 1 i8 0 2 7 0 0 0 i s 0 2 7 0 0 0 是i s o 为信息安全管理定义的一个标准族。i s 0 2 7 0 0 0 是i s o 为信息 安全管理体系标准预留的系列编号,i s 0 2 7 0 0 0 系列包含下列标准: i s 0 2 7 0 0 0原理与术语 i s 0 2 7 0 0 1 信息安全管理体系一要求 i s 0 2 7 0 0 2 信息技术一安全技术一信息安全管理实践规范( i s o i e c 1 7 7 9 9 :2 0 0 5 ) i s 0 2 7 0 0 3 信息安全管理体系一风险管理 1 4 i s 0 2 7 0 0 4 信息安全管理体系一指标与测量i s 02 7 0 0 5 信息安全管理体 系一实施南 i s 0 2 7 0 0 3 信息安全管理体系一风险管理 i s 0 2 7 0 0 4 信息安全管理体系一指标与测量 i s 0 2 7 0 0 5 信息安全管理体系一实施指南 其中i s 0 2 7 0 0 1 和i s 0 2 7 0 0 2 是i s 0 2 7 0 0 0 系列的主标准,各类组织可以按照 i s 0 2 7 0 0 1 的要求和i s 0 2 7 0 0 2 的实施指南建立自己的信息安全管理体系( i s m s ) , 并通过认证。 i s 02 7 0 0 1 是建立信息安全管理体系( i s m s ) 的一套规范,其中详细说明了 建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用i s 0 2 7 0 0 2 ,其最终目的,在于建立适合企业需要的信息安全管理体系( i s m s ) 。 i s 0 2 7 0 0 2 通过层次结构化形式提供安全策略、信息安全的组织结构、资产 管理、人力资源安全等1 1 个安全控制章节,还有3 9 个主要安全类和1 3 3 个具体 控制措施( 最佳实践) ,供负责信息安全系统丌发的人员作为参考使用,以规范 化组织机构信息安全管理建设的内容。 3 2 2l t 服务管理 3 2 2 1i t 服务管理的定义 i t 服务管理是一种以流程为导向、以客户为中心的方法,它通过整合i t 服 务与组织业务,提高组织i t 服务提供和服务支持的能力及其水平。首先,i t 服 务管理适用于l t 管理,而非企业的业务管理,这是它与e r p 、c r m 和s c m 等 概念之间的本质差别,i t 服务管理面向i t 管理,而e r p 、c r m 和s c m 等面向 业务管理,也有人形象地把i t s m 称作是i t 管理的“e r p 解决方案 其次,虽然技术管理是i t 服务管理的重要组成部分,但i t 服务管理的主要 目标不是管理技术,而是管理客户和用户的i t 需求。分析以下这个例子,某个用 户急需打印一份文件,恰好此时打印机出现故障,在没有应用r r 服务管理的情况 下,用户不得不通知并等待i t 部门修复打印机,而i t 服务管理则明确地获取用 户的业务需求,如“用户在血点自玎需要使用该打印文档 ,并设法满足它:至于 如何完成打印工作,是修复原打印机还是更换一台打印机,这对于用户都足不可 1 5 见的,用户只需关注服务本身,免去了他们对故障处理过程的担忧和抱怨。这是 i t 服务管理对业务需求和信息技术迸行管理的典型模式。 目前i t 服务管理在世界各国受到了广泛的关注,许多研究机构和民问组织都 在积极地参与i t 服务管理的研究和应用推广。i t 服务管理已经取得了很大的发 展,但它还远未成熟。有关i t 服务管理的各种标准和方法大部分还处于丌发中, 还没有经过组织的大量实践;针对i t 服务管理的软件系统和解决方案还有待完 善。i t 服务管理在应用的深度和广度上还有待提高,成功的案例不多。目前除了 i t i l 作为i t 服务管理的一种理论方法外,还有其它一些与i t 服务管理有关的理 论、标准和方法,有待进一步的统一和完善。 i s 0 2 0 0 0 0 服务管理标准是一个针对i t 服务管理的国际标准体系,它提出了 一系列相对独立而又彼此相互关联的l t 服务管理流程。i s 0 2 0 0 0 0 为i t 服务部门 提供了一个基准线,i t 服务部门根据这个基准线可以向业务部门表明本部门提供 的i t 服务是可以为公司的业务运作提供有效的支持。i s 0 2 0 0 0 0 为i t 服务提供方 和客户方建立一致的、双方易于理解的服务评价指标,为开发跨组织的i t 运作流 程提供了一个平台,从而降低提供i t 服务的成本和培训费用。 p r i n c e 2 ( p r o j e c ti nc o n t r o l l e de n v i r o n m e n t 2 ) 是对i t 项目管理的某些特定方 面提供支持的方法。i t 项目管理人员必须在项目实施前先确定好人力、物力、财 力和时间,在此基础上应用p r l n c e 2 进行项目管理。它描述了项目中应涉及到 的各种不同的角色及其相应的管理职责,强调项目按预期交出结果,而不是简单 地计划在何时该做何事。由前面的介绍可以发现尽管在i t 服务管理领域有众多的 标准,但每个标准都有各自的关注领域,侧重点不同。这些标准从过程管理、质 量管理、项目管理、组织管理、成本管理、风险管理等方面对i t 服务管理制定了 相应的规范,但这些规范和标准都很抽象,实际可操作的细节不够。因此,需要 一个具体详细的方法来指导i t 服务管理的实施,使企业在实施过程中少走弯路, 增强l t 服务管理的可操作性,为组织提供低成本、高质量的i t 服务,保障企业 信息化过程的顺利进行,从而实现企业的战略目标,使之在瞬息万变的市场经济 竞争坏境中求得最大的经济效益。 3 2 2 2i t 服务管理最佳实践一l t l l i t i l 以高质量服务管理为核心思想,融合了i t 服务管理的最佳实践。2 0 世 纪8 0 年代,英国o g c ( 英国商务部) 为解决“l t 务质量不佳问题,丌发了一 1 6 套最佳实践方法来指导i t 服务,这套方法就是“i t i l ”。i t i l 将l t 服务管理分为 1 0 个核心流程和一项管理职能。这1 0 个核心流程分别是服务级别管理、i t 服务 财务管理、能力管理、i t 服务持续性管理、可用性管理、配置管理、变更管理、 发布管理、事故管理、问题管理,一项管理职能是服务台。前5 个流程属于服务 提供流程,后5 个流程和服务台职能属于服务支持流程。 此后在2 0 0 5 年底,o g c 发布更新i t i l 的决定,i t i lv 3 ,俗称信息技术基 础设施库第三版。此项目于2 0 0 7 年5 月3 0 号完成并发表了5 本核心读物以及 全新的i t i l 词汇表。与i t i l 以f j 的版本相比,i t i l v 3 最主要的变化是引入了服 务生命周期的概念,它面向核心业务。依据服务的生命周期理论将i t 服务管理最 佳实践进行重新组合,在这个框架下,由i t 提供的服务生命周期管理,重要的是 创造商业价值而不是机械去执行流程。i t i l v 3 主要包括以下几个方面的内容: 服务战略:它的侧重点是开发出符合内外部客户需求的,并能够支持市场 活动的服务。输出一种为设计、实施、维护和持续改进服务的战略资产。主要涉 及到服务组合管理和财务管理。 服务设计:它侧重于服务设计的原则和服务设计流程等要素,以为制定和维 护i t 战略、架构提供文档化的相关指导,用于设计符合当前及具有创新性的i t 服务解决方案。关键环节是可用性管理,能力管理,连续性管理和安全管理。 服务转化:它的重点是实施服务设计中定义的活动,并建立一组可行的并具 备实操性的服务或改良现有的服务。在服务转化和服务运营当中均有涉及。关键 环节是变更管理,发布管理,配置管理和服务知识管理。 服务运营:它的侧重点在于定义在服务水平协议中的服务运营和维护其功能 性的各项目活动。关键环节是事件管理,问题管理和解决各种服务请求。 服务持续改进:它的侧重点在于提供支持核心业务的i t 组织是否高品质的持 续改进的服务交付。关键环节是服务报告,服务的量化和服务水平管理。 3 2 3n i s t8 p 8 0 0 - 3 5 n i s t 是美国国家标准和技术学会的简称,n i s t 信息技术实验室通过对国家 测量和标准体系提供技术指导而促进美国经济和公共事业的发展。n i s t 信息技 术实验室通过开发测试、测试方法、参考数据、对概念的证明、以及技术分析来 改善信息技术的开发和生产应用。n i s t 信息技术实验室的职责包括开发应用于 联邦计算机系统中为敏感但非保密信息提供经济有效的安全和隐私保护的相关 技术性、物理性、行政性和管理性的标准和指导方针。8 0 0 系列特别报告书是关 于n i s t 信息技术实验室在计算机安全等领域所进行的研究、指导和成果以及在 此领域与业界、政府和学术组织协同工作的报告。 s p 8 0 0 3 5 就是8 0 0 系列特别报告书中的一部分。其主要目的是为组织在信息 安全服务生命周期的各个阶段选择、实施和管理安全服务提供指导。s p 8 0 0 3 5 将 信息安全服务分为以下几个生命阶段: 启动阶段:识别触发企业实施信息安全服务的动机和原因,明确企业实 施相关信息安全服务的需求; 评估阶段:决策者在选择某个信息安全服务提供商之前,应该对本企业 目前的i t 环境安全现状进行评估,明确企业实施信息安全服务可能承担 的风险; 解决方案阶段:企业决策者在本阶段对可能需要实施的信息安全服务进 行商业论证,列举一系列可能的信息安全服务内容及制定实施计划; 实施阶段:企业决策者在本阶段需要确定服务提供商、签订信息安全服 务协议、并开始着手实施信息安全服务,同时管理信息安全服务相关利 益方的期望值; 运行阶段:在本阶段,企业需要持续评估和度量信息安全服务的效果, 并不断改进信息安全服务的质量。 结束阶段:信息安全服务一旦实施完毕,企业需要选择恰当的推出策略, 从而进入下一个信息安全服务生命周期过程中。 3 3 信息安全服务管理问题分析 通过对国内企业信息安全服务发展的现状及国内外相关安全服务管理标准 的研究进行总结,可以发现: 第一,我国信息安全服务市场的发展还不成熟,企业对自身信息系统的安全 状况缺乏客观的认识和了解,面对市场上如此众多信息安全服务提供商所提供的 服务,没有办法对信息安全服务的采购、实施过程和效果进行有效的管理和评估。 第二,目前国内外已有的信息安全标准( 如i s 0 2 7 0 0 0 ) 主要针对整体信息安 全体系的建设过程提出有益地指导,但对于一个企业来说,有时候其采购信息安 全服务并非为了建立整个信息安全体系,其可能只是为了通过采购信息安全服务 完善安全体系中的部分内容,企业可能无需对整个安全体系的每个细节进行掌 1 5 握,而只需要知道如何规划、控制和评价服务提供商为其提供的解决方案和服务 即可。然而,目f j f 国内并没有专门针对信息安全服务管理方面的研究成果。 第三,虽然国内外目前已经丌发出一些针对i t 服务管理的最佳实践和标准 ( 如i t i l ) ,但这些最佳实践和标准并非针对信息安全服务管理进行丌发,企业 要对自身实施的信息安全服务过程进行管理,必须从这些标准中根据自身的经验 进行提取和总结,对企业的信息安全服务管理人员的素质要求较高,管理难度较 高;而诸如n i s ts p 8 0 0 3 5 这样的标准对信息安全服务的生命周期的各阶段作出 了相关的定义,并对各阶段给出了相关的管理注意事项,但s p 8 0 0 3 5 为了保证 其广泛的适用性,并没有就安全服务管理的细节给出更多的阐述,只是提出在安 全服务生命周期各阶段企业可能需要遵循的管理原则和框架,要真j 下依照 s p 8 0 0 3 5 实施信息安全服务管理,还需要参考s p 8 0 0 其他的相关报告的内容,应 用难度较大。 1 9 第4 章信息安全服务管理研究 4 1 基于生命周期的信息安全服务管理理论依据 首先,基于生命周期的信息安全服务管理与企业信息安全体系建设过程是一 致的。企业的信息安全体系建设具有自己的生命周期,是一个不断循环的过程, 它一般要经过规划、建设、运营和测评四个阶段,从而满足公司战略和业务运作 变化和发展的要求。而信息安全服务是企业为建设和完善信息安全体系,而需求 外部支持的一种方式,因此信息安全服务周期和企业信息安全体系建设周期应该 是相吻合的,企业在实施信息安全体系建设的同时,可能需要丌展信息安全服务 管理工作。基于生命周期的信息安全服务管理的思想,把信息安全服务管理贯穿 于企业信息安全体系建设的整个过程中,在信息安全体系建设之初就开展信息安 全服务论证与规划工作、讨论需求和可行性方案及服务目标,确保信息安全体系 建设和服务实施过程的顺利进行。 其次,基于生命周期的信息安全服务管理,回归了信息安全建设的本质。目 前国内外相关安全标准和i t 服务管理方法对安全服务管理这方面往往阐述比较 淡薄,这些标准和方法一般更多地从单一的角度对信息安全和服务管理进行阐 述。例如i s 0 2 7 0 0 0 更多地是从安全体系建设的角度对所需要达到的安全控制措 施进行选择,但对安全体系建设服务的实施和管理几乎很少涉及;i t i l 在通用i t 服务管理领域提提出了一个较完整的框架,但在安全和服务管理的结合方面只有 一个章节进行阐述,而且更多地是推荐企业利用i s 0 2 7 0 0 0 进行安全管理体系的 建设。事实上,信息安全服务管理的最大目标是为了保障信息资产安全和特定的 安全需求。从这点上看信息安全服务管理也给了我们一个从服务管理的角度去研 究安全管理的切入点如何将安全服务管理与企业的信息安全建设有机地结 a 口。 再次,安全服务管理实施过程中,需要采取一定的手段来保证信息安全服务 管理实施的顺利进行。基于生命周期的安全服务管理,把信息安全服务管理分成 四个不断循环的阶段和一个退出阶段:服务论证与规划、服务选择与实施、服务 运营与改进、服务测试与评价、服务的终止与退出。前四个阶段表示了一个持续 改进( 提高) 的过程,在经历规划、实施、运营和测评四个阶段后,找出差距,改 进安全体系建设,从而达到提升信息系统安全水平、保障服务实施质量的目的。 这种想法和p d c a 质量控制坏不谋而合。 p d c a 循环的概念最早是由美国质量管理专家戴明r w e d e m i n g ) 于2 0 世纪 5 0 年代初提出的,所以又称为“戴明坏”。它是全面质量管理所应遵循的科学程 序。全面质量管理活动的全部过程,就是质量计划的制定和组织实现的过程,这 个过程就是按照p d c a 循环,不停顿地周而复始地运转的。 最后,基于生命周期的安全服务管理还需要一些工具加以支持,企业才能更 好对服务提供商的服务内容进行论证、规划、运营和评价。 4 2 基于生命周期的信息安全服务管理框架 依据上述理论依据,并结合国内信息系统安全服务的实践经验,本人认为, 一个完整信息安全服务管理生命周期过程可以通过以下模型加以概括: 图1 基于生命周期的信息安全服务管理框架 ( 一) 信息安全服务的论证与规划:是信息安全服务的最重要的一步,是整个 信息安全服务是否得到利益相关方的认可,能否顺利验收的基础。在这 一步,信息安全服务提供商要和客户一同确定整个信息系统的安全服务 需求、讨论可行性方案、进行服务目标计划及服务级别协议。任何一次 安全服务的实施都必须建立在需求发掘的基础之上; ( 二) 信息安全服务的选择与实施:在确定了安全服务的需求和目标及内容之 后,企业必须选择恰当的服务提供商以实施相应的信息安全措施,这些 措施包括技术措施和管理措施。企业应该对服务提供商的实施过程进行 有效地管理,以保证安全服务的实施满足既定需求和目标: ( - - ) 信息安全服务的运营与改进:信息系统的安全不仅仅来源于安全措施的 选择和部署,更重要地来源于信息系统安全服务后的运营和持续改进。 企业通过对安全服务项目实施后,信息系统和安全服务状态的监控、安 全事件的管理、变更管理及安全状态的持续改进,以保持其不断满足既 定的业务安全需求及合规性需求; ( 四) 信息安全服务的测评与退出:在信息安全服务的最后企业要对信息安全 服务提供商所提供的信息安全实施服务绩效评审和服务能力的评价( 服 务能力的评价也可能在。事实上,信息安全服务的每一个阶段都应该有 阶段性的实施测评,以确保整个信息安全服务的过程遵循p d c a 持续改 进的原则,达到i t 系统防护的最佳效果。一旦安全服务不再满足既定的 安全需求和目标,企业应该选择退出安全服务生命周期,或实施新的安 全服务实施的论证与规划。 4 3 信息安全服务的论证与规划 4 3 1 安全服务需求分析 企业的信息安全服务的需求一般来源于两个方面。一方面是企业实施信息安 全的合规性需求,即,企业可能受某些法律法规的要求,需要实施信息安全服务 以帮助企业满足特定的政策法规条款;另一方面,来源于企业对自身业务发展及 i t 系统风险防护的内在需求,这些需求可能由以下类别的事件触发: 表4 1安全服务需求触发因素 战略使命 战略目标、使命和愿景、商业模式的改变导致需要实施信息安全 服务; 预算 信息安全预算有所增长,企业可以选择更好的信息安全服务; 信息安全预算有所削减,企业不得不选择性价比较高的信息安全 服务: 技术体系结构 不同的技术架构在业务系统中的麻片j ,需要实施新的信息安令服 务以满足业务发展的要求; 新技术的应州,需要新的信息安全服务与之相匹配 组织机构 之前采购的外部信息安全服务,无法较好地与现有业务部门、运 营机制及企业文化相兼容 人员 一些重要人员的离职,导致在特定信息安全领域内缺乏专业的技 术人员 策略流程 当前的安全策略或流程不再适川丁组织的安全需求 4 3 1 1 确定合规性安全需求 资料米源:n i s ts p 8 0 0 3 5 本活动的目标是根据信息系统的合规性要求,判断信息系统现有的安全保护 水平与相关法律、规范和技术标准之自j 的差距,提出信息系统的合规性安全需求。 本活动主要包括以下子活动内容: 1 ) 确定系统范围和分析对象 明确不同合规性要求的范围和边界,通过调查或查阅资料的方式,了解系统 的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初 步确定每个系统的分析对象,如机房、办公环境、边界设备、网关设备、服务器 设备、工作站、应用系统等。 2 ) 形成合规性评价指标和评估方案 根据各个系统的合规性要求从对应的法律法规中选择相应的合规性条款,形 成评价指标。根据评价指标,结合确定的具体对象制定可以操作的评估方案。 3 ) 现状与评价指标对比 可以通过诸如观察现场、询问人员、查询资料、检查记录、检查配置、技术 测试等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各 个方面与评价指标的符合程度,给出判断结论。整理和分析不符合的评价指标, 确定系统的安全防护合规性需求。 4 3 1 2 确定内在业务安全需求 本活动的目标是通过对i t 系统重要资产内在业务发展及风险要素的分析, 确定内在的安全防护需求。确定内在安全需求可以采用目自i 成熟或流行的需求分 析j t , 险分析方法,或者采用下面介绍的活动: 1 ) 重要资产的分析 明确i t 环境中的重要部件,如边界设备、网关设备、核心网络设备、重要 服务器设备、重要应用系统等。 2 ) 重要资产安全弱点评估 检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析安 全弱点被利用的可能性。 3 ) 重要资产面临威胁评估 分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁, 威胁发生的可能性或概率。 4 ) 综合风险分析 分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的 损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重 要资产的排序和风险的排序确定安全保护的要求。 4 3 1 3 形成信息安全服务需求分析报告 本活动的目标是总结合规性安全需求和内在业务安全需求,形成安全需求分 析报告。安全需求分析报告可能包含以下内容: i t 系统描述; 安全管理状况; 安全技术状况; 存在的不足和可能的风险: 安全需求描述。 4 3 2 编制可行性方案 4 3 2 1 识别可选的服务方案 安全服务方案的选择应该根据企业既有安全管理策略加以采购和实施,从而 满足总体安全防护的要求。企业在实施本次安全服务之前,安全策略可能已经制 定;也可能,企业需要通过本次安全服务,与服务提供商共同合作加以制定。识 别可选服务方案时,企业不仅仅需要考虑服务方案的技术架构和管理架构,也需 要考虑服务方案实施的可能的成本。 1 1 识别安全策略 如果企业没有制定安全策略,则需要通过安全服务制定本企业纲领性的安全 策略文件,包括确定安全方针,制定安全策略,以便结合合规性和内在业务安全 需求,设计安全服务方案所可能采用的技术架构和管理架构。安全策略一般包含 以下内容: 安全方针 企业最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全 的总体目标,规定信息安全责任部门和职责,建立安全工作运行模式等。 制定安全策略 企业高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构 划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控 制策略等。 2 ) 识别安全技术体系结构 本活动的目标是根据安全服务需求、企业总体安全策略文件等,提出安全服 务拟采用的安全技术措施,形成企业特定的安全技术体系架构,用以指导安全服 务措施的具体实现。具体的技术结构的将根据企业的信息系统的实际情况及未来 业务的发展方向加以制定。安全技术体系结构可能包括一下几个方面的内容: 结构框架设计:内容可能包括安全防护的层次、信息安全产品技术措施 的使用、网络予系统划分、i p 地址规划其他内容。 功能要求设计:安全技术措施提出功能指标要求。 性能要求设计:安全技术措施提出性能指标要求。 部署方案设计:结合目前信息系统网络拓扑,以图示的方式给出安全技 术的实现方式。 3 ) 识别安全管理体系结构 本活动的目标是根据安全服务需求、总体安全策略文件等,识别原有管理模 式和管理策略。了解哪些管理模式和策略可能对本次安全服务的实施造成影响, 安全管理体系结构可能包括但不限于以下内容: 信息安全的组织管理体系和各信息系统的安全管理职责 各信息系统的人员安全管理策略 各信息系统机房及办公区等物理环境的安全管理策略 各信息系统介质、设备等的安全管理策略 各信息系统运行安全管理策略 各信息系统安全事件处置和应急管理策略 4 3 2 2 识别服务成本 识别信息安全服务的成本就是要尽可能地识别安全服务过程可能涉及的各 种费用。通过对这些直接费用和问接费用的进行计算,企业可以评估实施本次安 全服务所需付出的经济上和管理上的成本。一般来说,企业在聘请第三方服务提 供商实施安全服务之前,可能需要服务提供商就本次安全服务提供按人天进行计 价的报价表,可能包含以下要素: 安全服务实施各阶段及工作内容描述; 安全服务实施各阶段参与的服务人员级别( 高级普通) 和数量; 安全服务实施各阶段参所需的时间周期( 工作r ) 各阶段工作的费用小计 各阶段工作的费用合计 需自行购置的硬件和软件; 后期维护和支持的费用( 按年计算) 培训费用 其他费用 4 3 3 安全服务总体规划 4 3 3 1 确定安全服务目标 本活动的目标是依据安全服务需求分析的输出结果、可行性方案、企业信息 化建设的中长期发展规划和机构的安全建设资会状况确定安全服务目标。本活动 主要包括以下子活动内容: 1 ) 确定安全服务总体目标 确定哪个信息安全服务项目实施的整体目标,目标包括合规性目标和内在安 2 6 全防护目标。 2 ) 确定安全服务分阶段
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026文化英语面试题及答案大全
- 汽车借款担保合同范本
- 美容美发租赁合同范本
- 确认2026年软件系统升级时间窗口确认函4篇
- 职业规划课:设定未来的目标的小学主题班会课件
- 小学主题班会课件:勤奋探索与创新思维
- 2026届深圳市七年级数学期末质量检测QS01黑白可打印原创仿真卷B1第004套(含答案详解与评分标准)
- 2026年南京市玄武区网格员招聘笔试参考题库及答案详解
- 2026年哈密地区社区工作者招聘笔试备考题库及答案详解
- 2026年苏州市金阊区事业编单位人员招聘考试参考题库及答案详解
- 2026中国农业科学院蔬菜花卉所高层次人才引进11人(北京)笔试题库及完整答案详解一套
- 新疆维吾尔自治区2026年中考数学真题
- 2026年检验科质量管理试题及答案
- 2026北师大版小学五年级下册语文期末模拟试卷 两套全套含答案解析
- 2026年云南校长职级经典例题完整参考答案详解
- 2026年机关单位内部资料性出版物管理题
- 《建设工程高大模板支撑系统施工安全监督管理导则》
- 教材识图专练-2025-2026学年人教版七年级生物下册
- 2026内蒙古畜牧养殖业市场现状与行业生态与投资前景研究报告
- 2026年医师定期考核口腔科考核通关题库【满分必刷】附答案详解
- (正式版)DB36∕T 1134-2019 《桥涵台背回填泡沫混凝土施工技术规程》
评论
0/150
提交评论