企業(yè)信息安全保障標準體系建設要點

企業(yè)信息安全保障體系建設關鍵點-04-1018:15出處：pconline作者：佚名責任編輯：pcnanjing(評論0條)怎樣保障業(yè)務信息安全和系統(tǒng)運行安全，已經(jīng)成為企業(yè)內部控制關鍵任務之一。企業(yè)內控體系建設是一個復雜而且浩大工程，現(xiàn)在不缺乏完整內控體系理論，但怎樣把如此復雜工程進行細化和落地，則需要部分實際適用方法。下面怎樣建設完整信息安全保障體系方法和步驟，能夠作為內控體系建設參考方法。

建立有效信息安全保障體系前提

伴隨信息技術發(fā)展，絕大部分企業(yè)業(yè)務模式離不開信息系統(tǒng)支持，業(yè)務在新電子化模式下怎樣得到有效安全保障，尤其是怎樣保障系統(tǒng)運行安全和業(yè)務信息安全，已成為企業(yè)內部控制關鍵任務之一。信息安全已經(jīng)從布署防火墻、防病毒軟件等單一技術手段，發(fā)展到建立整體化信息安全保障體系，所以信息安全保障體系計劃和建設就顯得尤為關鍵。

信息安全不僅僅是IT部門工作，也是需要企業(yè)全部部門和職員共同實現(xiàn)一項日常工作，所以信息安全保障體系建設是一個復雜而且長久過程。以下要素是有效建立信息安全保障體系關鍵前提：

業(yè)務驅動：信息安全任務實施一定要從業(yè)務角度出發(fā)，在實施時必需時刻考慮到業(yè)務需求，在信息安全建設過程中取得業(yè)務部門支持和配合，共同推進信息安全建設開展。

長久可靠合作伙伴：良好合作伙伴對于確保信息安全建設能夠成功實施是十分關鍵。經(jīng)過長久可靠合作關系，快速引進外部專業(yè)資源和優(yōu)異技術，能夠幫助企業(yè)推進信息安全建設工作。

高層支持：信息安全任務通常情況下會包含到企業(yè)各個部門參與、配合乃至利益關系，所以在實施過中需要企業(yè)高層支持，以分配必需資源,推進跨部門協(xié)作，確保項目標順利實施。

有效實施管理和監(jiān)控：為了獲取體系建設最大收益，盡可能降低風險，需要落實強有力實施管理和監(jiān)控方法，在跟蹤總體計劃同時，合理安排各任務進度和資源，強化對各任務/子任務管理和監(jiān)控。

各企業(yè)企業(yè)文化差異，可能會有不一樣影響原因，不過以上四個原因是任何企業(yè)在開展信息安全工作是要充足考慮原因，不然很可能會把這項工作結果束之高閣。

信息安全保障體系框架模型

怎樣建立信息安全保障框架?中國外有哪些標準或指南能夠參考?這是建立一個合理信息安全保障體系框架基礎。目前有很多很好綜合性標準和規(guī)范能夠參考，其中很有名就是ISO/IEC27000系列標準。ISO/IEC27001經(jīng)過PDCA過程(即戴明環(huán))，指導企業(yè)怎樣建立可連續(xù)改善體系。

其次，美國國家安全局提出信息保障技術框架(InformationAssuranceTechnicalFramework，IATF)是另一個能夠參考有效框架。IATF發(fā)明性地提出了信息保障依靠于人、技術和操作來共同實現(xiàn)組織職能和業(yè)務運作思想，對技術和信息基礎設施管理也離不開這三個要素。IATF認為，穩(wěn)健信息保障狀態(tài)意味著信息保障策略、過程、技術和機制在整個組織信息基礎設施全部層面上全部能得以實施。

另外，BS25999提出業(yè)務連續(xù)性是一個企業(yè)業(yè)務保障關鍵方法，ISCACA組織信息系統(tǒng)審計師CISA教程認為IT審計是保障組織建立有效控制關鍵手段等等。

企業(yè)怎樣綜合利用這么多理論框架，建立適合于本身信息安全保障體系?依據(jù)作者多年經(jīng)驗，認為一個企業(yè)能夠根據(jù)圖1“企業(yè)信息安全保障框架”所表示框架進行建設:信息安全保障應該建立縱深防御體系，什么是縱?什么是深?圖1所表示，縱是有三個層面(事前、事中、事后)全方面控制;深是從五個方向(安全組織體系、安全制度體系、安全運行體系、安全技術體系、安全應急體系)進行深入防御。

縱：正如信息安全這四個字所表現(xiàn)一樣，以保護信息為其最關鍵目標。那么就應該對信息安全事件發(fā)生之前、之中和以后進行有效控制。即以預防控制為主，不過也不能忽略操作性控制和恢復性控制。所以，應該從信息事前預防、事中監(jiān)控和事后恢復三個層面建設信息安全。

深：信息安全包含領域很廣，以人員、硬件、數(shù)據(jù)、軟件等方面全部會包含。我們需要對從組織體系、制度體系、技術體系、運行體系、應急體系五個方面深度進行概括。

組織：人是實施信息安全最關鍵原因，人控制好了，信息安全就控制

好了。所以成立一個合理和有效安全組織架構，對于確保安全日常運行是最關鍵。建立一個成功信息安全組織體系有很多關鍵步驟，不過組織高級管理層參與、安全納入績效考評、人員信息安全意識和技能培訓是必不可少成功原因。

制度：把信息安全好做法固化下來形成規(guī)則，就是制度。所以，信息安全制度是組織中信息安全行為準則。信息安全保障體系只有做到制度化、規(guī)范化才能愈加好地確保事前預防、事中監(jiān)控、和事后審計等安全方法實施和落實。

技術：技術是安全必不可少實施工具，采取哪些安全技術，市場上有哪些工具能夠使用，這是絕大部分信息安全管理工作者最關心話題。通常來說，能夠根據(jù)從上到下信息所流經(jīng)設備來布署工具。即從數(shù)據(jù)安全、終端安全、應用安全、操作系統(tǒng)和數(shù)據(jù)庫安全、網(wǎng)絡安全、物理安全六個方面來選擇不一樣安全工具。信息安全工具種類繁多，通常來說，每一個工具全部有其擅長安全方面，所以應根據(jù)“適度防御”標準，綜合采取多種安全工具進行組合，形成企業(yè)“適用”安全技術防線。最終，需要一到兩種提供綜合管理工具來幫助把全部安全監(jiān)控工具近進行統(tǒng)一管控。這個和最終期望展現(xiàn)給使用者目標不一樣有所不一樣。比如SOC(安全運行中心)是給企業(yè)日常維護管理者使用，ITRM(風險管理工具)作為綜合風險展現(xiàn)，是給企業(yè)風險或安全管理層使用。

運行：技術體系更多是處理安全風險點問題。也就是我們常說“就事論事”：有病毒殺病毒，有漏洞補漏洞等等。不過我們知道，信息分散在一系列工作步驟中各個步驟中，所以需要對各項日常運行工作步驟進行安全控制，也就是從信息生命周期進行步驟控制，即在信息創(chuàng)建、使用、存放、傳輸、更改、銷毀等各個階段進行安全控制?，F(xiàn)在受到熱捧開發(fā)安全就是在信息創(chuàng)建階段一個細化控制手段。在運行體系建設中，往往需要結合ITIL、cobit等步驟分析來關注信息生命周期安全。

應急：自美國“9.11”事件以后，業(yè)務連續(xù)性關鍵程度提到了前所未有高度。包含災備中心建設、業(yè)務連續(xù)性計劃、應急響應等等全部有對應標準和理論支持。尤其是BS25999標準頒布，給怎樣建立一套完善應急體系提供了參考。

信息安全保障體系建設

以上對怎樣構建完整信息安全保障體系提供了一個方法模型，不過在企業(yè)中建立有效保障體系是一個長久過程,各企業(yè)應該依據(jù)本身實際情況，制訂一個三到五年中長久建設計劃。通常來說，企業(yè)建立信息安全保障體系有以下多個步驟：

1)全方面分析企業(yè)信息安全現(xiàn)實狀況;

2)提供信息安全戰(zhàn)略和安全架構提議;

3)制訂企業(yè)信息安全保障建設計劃;

4)對計劃中項目提出初步實施方案，對近期實施關鍵項目進行可行性研究。

相信對于第1)到第3)步很多企業(yè)全部熟知，不過對于哪些屬于關鍵是近期實施項目，可能會有不一樣見解和意見。為了能夠愈加合理安排實施計劃，能夠對在未來三年內計劃實施信息安全控制方法進行匯總后確定出需要實施項目，從項目緊迫性、項目可實施性、項目實施難易程度和項目預期效果等四個角度進行綜合分析和量化評價，確定項目實施優(yōu)先級，制訂安全項目實施時間表過程。圖2所表示，依據(jù)每個階段不一樣目標，制訂不一樣是建設計劃。IT內控建設是屬于企業(yè)內控建設關鍵組成部分，而