企業信息安全保障體系建設要點

　　建立有效信息安全保障體系的前提

　　隨著信息技術的發展，絕大部分企業的業務模式離不開信息系統的支持，業務在新的電子化模式下如何得到有效安全保障，特別是如何保障系統運行安全與業務信息安全，已成為企業內部控制的重要任務之一。信息安全已經從部署防火墻、防病毒軟件等單一的技術手段，發展到建立整體化的信息安全保障體系，因此信息安全保障體系的規劃與建設就顯得尤為重要。

　　信息安全不僅僅是it部門的工作，也是需要公司所有部門和員工共同實現的一項日常工作，因此信息安全保障體系的建設是一個復雜而且長期的過程。以下要素是有效建立信息安全保障體系的重要前提：

　　業務驅動

　　信息安全任務的實施一定要從業務的角度出發，在實施時必須時刻考慮到業務的需求，在信息安全建設過程中獲得業務部門的支持與配合，共同推動信息安全建設的開展。

　　長期可靠的合作伙伴

　　良好的合作伙伴對于保證信息安全建設能夠成功實施是十分重要的。通過長期可靠的合作關系，快速引進外部專業資源和先進技術，可以幫助企業推動信息安全建設工作。

　　高層的支持

　　信息安全任務通常情況下會涉及到企業的各個部門的參與、配合乃至利益關系，因此在實施過中需要企業高層的支持，以分配必要的資源，推動跨部門協作，保證項目的順利實施。

　　有效的實施管理和監控

　　為了獲取體系建設的最大收益，盡可能降低風險，需要落實強有力的實施管理和監控措施，在跟蹤總體計劃的同時，合理安排各任務的進度和資源，強化對各任務/子任務的管理和監控。

　　各企業的企業文化差異，可能會有不同的影響因素，但是以上四個因素是任何企業在開展信息安全工作是要充分考慮的因素，否則很可能會把這項工作成果束之高閣。

　　信息安全保障體系框架模型

　　如何建立信息安全保障框架？國內外有哪些標準或者指南可以參考？這是建立一個合理的信息安全保障體系框架的基礎。當前有很多非常好的綜合性標準與規范可以參考，其中非常有名的就是iso/iec27000系列標準。iso/iec 27001通過pdca過程(即戴明環)，指導企業如何建立可持續改進的體系。

　　其次， 美國國家安全局提出的信息保障技術框架(information assurance technical framework，iatf)是另一個可以參照的有效框架。iatf創造性地提出了信息保障依賴于人、技術和操作來共同實現組織職能和業務運作的思想，對技術和信息基礎設施的管理也離不開這三個要素。iatf認為，穩健的信息保障狀態意味著信息保障的策略、過程、技術和機制在整個組織的信息基礎設施的所有層面上都能得以實施。

　　此外，bs25999提出業務連續性是一個企業業務保障的重要方法，iscaca組織的信息系統審計師cisa教程認為it審計是保障組織建立有效控制的重要手段等等。

　　企業如何綜合利用這么多的理論框架，建立適合于自身的信息安全保障體系？依據作者的多年經驗，認為一個企業可以按照如圖1“企業信息安全保障框架”所示的框架進行建設：

　　信息安全保障應當建立縱深防御體系，什么是縱？什么是深？如圖1所示，縱的是有三個層面(事前、事中、事后)全面控制;深的是從五個方向(安全組織體系、安全制度體系、安全運行體系、安全技術體系、安全應急體系)進行深入防御。

　　縱

　　正如信息安全這四個字所表現一樣，以保護信息為其最重要的目的。那么就應當對信息安全事件發生的之前、之中和之后進行有效控制。即以預防控制為主，但是也不能忽略操作性控制和恢復性控制。因此，應當從信息的事前預防、事中監控和事后恢復三個層面建設信息安全。

　　深

　　信息安全涉及的領域非常廣，以人員、硬件、數據、軟件等方面都會涉及。我們需要對從組織體系、制度體系、技術體系、運行體系、應急體系五個方面的深度進行概括。

　　組織

　　人是實施信息安全的最關鍵的因素，人控制好了，信息安全就控制

　　好了。因此成立一個合理和有效的安全組織架構，對于保證安全日常運行是最重要的。建立一個成功的信息安全組織體系有很多關鍵環節，但是組織高級管理層的參與、安全納入績效考核、人員信息安全意識與技能培訓是必不可少的成功因素。

　　制度

　　把信息安全好的做法固化下來形成規則，就是制度。因此，信息安全制度是組織中信息安全行為準則。信息安全保障體系只有做到制度化、規范化才能更好地保證事前預防、事中監控、和事后審計等安全措施的執行與落實。

　　技術

　　技術是安全必不可少的實施工具，采取哪些安全技術，市場上有哪些工具可以使用，這是絕大部分信息安全管理工作者最關心的話題。一般來說，可以按照從上到下信息所流經的設備來部署工具。即從數據安全、終端安全、應用安全、操作系統與數據庫安全、網絡安全、物理安全六個方面來選擇不同的安全工具。信息安全工具種類繁多，一般來說，每一種工具都有其擅長的安全方面，因此應按照“適度防御”原則，綜合采用各種安全工具進行組合，形成企業“適用的”安全技術防線。最后，需要一到兩種提供綜合管理的工具來幫助把所有的安全監控工具近進行統一管控。這個和最終希望呈現給使用者的目的不同有所不同。例如soc(安全運行中心)是給企業日常維護管理者使用，itrm(風險管理工具)作為綜合風險呈現，是給企業風險或安全管理層使用。

　　運行

　　技術體系更多是解決安全風險點的問題。也就是我們常說的“就事論事”：有病毒殺病毒，有漏洞補漏洞等等。但是我們知道，信息分散在一系列工作流程中各個環節中，因此需要對各項日常運行工作流程進行安全控制，也就是從信息的生命周期進行流程控制，即在信息的創建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。目前受到熱捧的開發安全就是在信息創建階段的一個細化控制手段。在運行體系建設中，往往需要結合itil、cobit等流程分析來關注信息的生命周期安全。

　　應急

　　自美國“9.11”事件以后，業務連續性的重要程度提到了前所未有的高度。包括災備中心建設、業務連續性計劃、應急響應等等都有相應的標準與理論支持。特別是bs25999標準的頒布，給如何建立一套完善的應急體系提供了參考。

　　信息安全保障體系的建設

　　以上對如何構建完整的信息安全保障體系提供了一個方法模型，但是在企業中建立有效的保障體系是一個長期的過程，各企業應當根據自身實際情況，制定一個三到五年的中長期建設規劃。一般來說，企業建立信息安全保障體系有如下幾個步驟：

　　1) 全面分析企業的信息安全現狀;

　　2) 提供信息安全戰略和安全架構建議;

　　3) 制定企業信息安全保障建設規劃;

　　4) 對規劃中的項目提出初步實施方案，對近期實施的重點項目進行可行性研究。

　　相信對于第1)到第3)步很多企業都熟知，但是對于哪些屬于重點是近期實施項目，可能會有不同的看法與意見。為了能夠更加合理安排實施計劃，可以對在未來三年內計劃實施的信息安全控制措施進行匯總后確定出需要實施的項目，從項目緊迫性、項目可實施性、項目實施難易程度和項目預期效果等四個角度進行綜合分析和量化評價，確定項目實施的優先級，制訂安全項目實施時間表的過程。如圖2所示，根據每個階段不同目標，制定不同的是建設計劃。

　　it內控建設是屬于企業內控建設的重要組成部分，而信息安全保障體系的建設則是it內控建設的落地方法。內控體系建設本身就是一個復雜而且浩大的工程，目前都不缺乏完整的內控體系理論，但如何把如此復雜的工程進行細化、分類和落地，則需要一些實用的方法與步驟。作者依據多年的咨詢經驗，提出了如何建設完整的信息安全保障體系的前提、框架及過程，對當前企業的信息安全體系建設具有一定的參考意義。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]