IT治理信息安全管理：標準、理解與實施(孫強 郝曉玲)

申請免費試用、咨詢電話：400-8352-114

1 信息安全管理的重要意義

在當今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運作業(yè)務的風險、收益和機會，使得信息安全管理成為企業(yè)管理越來越關鍵的一部分。管理高層需要確保信息技術適應企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當利用信息技術的優(yōu)勢。

但現(xiàn)實世界的任何系統(tǒng)都是一串復雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，其中一些甚至連系統(tǒng)的設計者、實現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒有一個系統(tǒng)是完美的，沒有一項技術是靈丹妙藥。

目前業(yè)界普遍認為，信息安全是政府和企業(yè)必須攜手面對的問題。政府和企業(yè)管理層有責任確保為所有使用者提供一個安全的信息系統(tǒng)環(huán)境，而且，政府部門和企業(yè)在認識到安全的信息系統(tǒng)好處的同時，應該自我保護以避免使用信息系統(tǒng)時的固有風險。

中國工程院院長徐匡迪曾指出："沒有安全的工程就是豆腐渣工程"。今年我國接連不斷地出現(xiàn)程度不同的信息安全事件，這些事件不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導致巨大的經(jīng)濟損失，還造成了不良的社會影響。如果說經(jīng)濟損失還能彌補，那么由于信息網(wǎng)絡的脆弱性而引起的公眾對網(wǎng)絡社會的誠信危機則不是短時期內可能恢復的。

我國政府主管部門以及各行各業(yè)已經(jīng)認識到了信息安全的重要性。政府部門開始出臺一系列相關策略，直接牽引、推進信息安全的應用和發(fā)展。由政府主導的各大信息系統(tǒng)工程和信息化程度要求非常高的相關行業(yè)，也開始出臺對信息安全技術產(chǎn)品的應用標準和規(guī)范。國務院信息化工作小組最近頒布的《關于我國電子政務建設指導意見》也強調指出了電子政務建設中信息系統(tǒng)安全的重要性；中國人民銀行正在加緊制定網(wǎng)上銀行系統(tǒng)安全性評估指引，并明確提出對信息安全的投資要達到IT總投資的10%以上，而在其他一些關鍵行業(yè)，信息安全的投資甚至已經(jīng)超過了總IT預算的30-50%。

我們回頭來看，政府和各行各業(yè)對信息安全的重要性有了認識，相關的標準規(guī)范正在形成，投資力度在加大，安全技術、產(chǎn)品、市場在發(fā)展，多數(shù)企業(yè)機構正在制定符合不同業(yè)務信息系統(tǒng)和網(wǎng)絡安全等級需要的綜合性安全策略和計劃。那么，我們?yōu)槭裁匆廊粵]有安全感呢？！到底需要什么樣的方法或機制來管理或治理信息安全呢？經(jīng)過近一年對國內外信息安全和最佳實務的研究，我們認為關鍵是要建立一套能夠涵蓋組織信息安全的制度安排機制，它包括治理機制和治理結構，這種制度安排通過建立和維護一個框架來保證信息安全戰(zhàn)略和組織的業(yè)務目標精確校準，并且和相關的法律和規(guī)范一致。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。

BS 7799作為信息安全管理領域的一個權威標準，是全球業(yè)界一致公認的輔助信息安全治理的手段，該標準的最大意義就在于它給管理層一整套可"量體裁衣"的信息安全管理要項、一套與技術負責人或在高層會議上進行溝通的共同語言以及保護信息資產(chǎn)的制度框架，這正是管理層能夠接受并理解的，而此前與之對應的情形是：一旦出現(xiàn)信息安全事件，IT部門負責人就想到要采用最先進的信息安全技術，如購買先進的防火墻等等，客觀上讓人感覺到IT部門總是在花錢，這是管理層難以理解和不接受的。BS 7799 管理體系將IT策略和企業(yè)發(fā)展方向統(tǒng)一起來，確保IT資源用得其所，使與IT相關的風險受到適當?shù)目刂?。該標準通過保證信息的機密性，完整性和可用性來管理和保護組織的所有信息資產(chǎn)，通過方針、慣例、程序、組織結構和軟件功能來確定控制方式并實施控制，組織按照這套標準管理信息安全風險，可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平，降低信息安全對持續(xù)發(fā)展造成的風險，最終保障組織的特定安全目標得以實現(xiàn)，進而利用信息技術為組織創(chuàng)造新的戰(zhàn)略競爭機遇。

2 信息安全標準簡介與適用范圍

BS 7799主要提供了有效地實施IT安全管理的建議，介紹了安全管理的方法和程序。用戶可以參照這個完整的標準制訂出自己的安全管理計劃和實施步驟，為公司發(fā)展、實施和估量有效的安全管理實踐提供參考依據(jù)。該標準是由英國標準協(xié)會（BSI）制定，是目前英國最暢銷的標準。在此，我們順便介紹一下英國標準協(xié)會，英國標準協(xié)會是全球領先的國際標準、產(chǎn)品測試、體系認證機構。我們所熟知的ISO 9000（質量管理體系）、ISO 14001（環(huán)境管理體系）、OHSAS 18001（職業(yè)健康與安全管理體系）、QS-9000 / ISO/TS 16949（汽車供應行業(yè)的質量管理體系）以及TL 9000（電信供應行業(yè)的質量管理體系）均是由英國標準協(xié)會發(fā)起制定的，因此，如果企業(yè)已經(jīng)實施了ISO 9000，就很容易整合實施其它的管理標準，當然也包括BS 7799。

BS 7799-1于1995年首次出版，標準規(guī)定了一套適用于工商業(yè)組織使用的信息系統(tǒng)的信息安全管理體系（ISMS）控制條件，包括網(wǎng)絡和溝通中使用的信息處理技術，并提供了一套綜合的信息安全實施規(guī)則，作為工商業(yè)組織的信息系統(tǒng)在大多數(shù)情況下所遵循的唯一參考基準，標準的內容定期進行評定。BS 7799：1999是1995版本的一個修訂和擴展版本，它充分考慮了信息處理技術，尤其是網(wǎng)絡和通信領域應用的最新發(fā)展，同時還強調了涉及商務的信息安全責任，擴展了新的控制。例如，新版本包括關于電子商務，移動計算機，遠程工作和外部采辦等領域的控制。

2000年12月，BS 7799-1通過國際化標準組織認可，正式成為國際標準ISO 17799，這是通過ISO 表決最快的一個標準，足見世界各國對該標準的關注和接受程度。目前，已有二十多個國家引用BS 7799-2作為國標，BS 7799(ISO/IEC17799)也是賣出拷貝最多的管理標準，其在歐洲的證書發(fā)放量已經(jīng)超過ISO9001，越來越多的信息安全公司都以BS 7799 作指導為客戶提供信息安全咨詢服務。由此可見，BS 7799是國際上當之無愧的信息安全管理標準。

在該標準中，信息安全已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡單的設備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障商務的連續(xù)性，最大限度地減少業(yè)務的損失，從而最大限度地獲取投資和商務的回報。信息安全的涵義主要體現(xiàn)在以下三個方面：

· 安全性：確保信息僅可讓授權獲取的人士訪問；

· 完整性：保護信息和處理方法的準確和完善；

· 可用性：確保授權人需要時可以獲取信息和相應的資產(chǎn)。

BS 7799信息安全管理體系標準強調風險管理的思想。傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負責的、突擊式、事后糾正式的管理方式，導致的結果是不能從根本上避免、降低各類風險，也不能降低信息安全故障導致的綜合損失。而BS 7799標準基于風險管理的思想，指導組織建立信息安全管理體系ISMS。ISMS是一個系統(tǒng)化、程序化和文件化的管理體系，基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)預防控制為主的思想，強調遵守國家有關信息安全的法律法規(guī)及其他合同方要求，強調全過程和動態(tài)控制，本著控制費用與風險平衡的原則合理選擇安全控制方式保護組織所擁有的關鍵信息資產(chǎn)，使信息風險的發(fā)生概率和結果降低到可接受收水平，確保信息的保密性、完整性和可用性，保持組織業(yè)務運作的持續(xù)性。

3 BS 7799的主要內容

下面主要以BS 7799：1999為例介紹標準的主要內容。該標準主要由兩大部分組成：BS 7799-1：1999，以及BS 7799-2：1999。

3.1 第一部分（BS 7799-1）簡介

信息安全管理實施規(guī)則，是作為國際信息安全指導標準ISO/IEC 17799基礎的指導性文件，主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構內部實施和維護信息安全。這一部分包括十大管理要項，三十六個執(zhí)行目標，一百二十七種控制方法，如圖一所示。其詳細內容如表1所示：

附注：(m，n)－ m：執(zhí)行目標的數(shù)目 n：控制方法的數(shù)目

圖一 十大管理要項圖

表1 BS 7799 的內容列表

3.2 第二部分（BS 7799-2）簡介

信息安全管理系統(tǒng)的規(guī)范，詳細說明了建立、實施和維護信息安全管理系統(tǒng)（ISMS）的要求，指出實施組織需遵循某一風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當?shù)目刂?。本部分提出了應該如何了建立信息安全管理體系的步驟，如圖1所示：

（1）定義信息安全策略

信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內各個部門的實際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個信息安全策略，并適用于組織內所有部門、員工；而規(guī)模大的集團組織則需要制訂一個信息安全策略文件，分別適用于不同的子公司或各分支機構。信息安全策略應該簡單明了、通俗易懂，并形成書面文件，發(fā)給組織內的所有成員。同時要對所有相關員工進行信息安全策略的培訓，對信息安全負有特殊責任的人員要進行特殊的培訓，以使信息安全方針真正植根于組織內所有員工的腦海并落實到實際工作中。

(2)定義ISMS的范圍

ISMS的范圍確定需要重點進行信息安全管理的領域，組織需要根據(jù)自己的實際情況，在整個組織范圍內、或者在個別部門或領域構架ISMS。在本階段，應將組織劃分成不同的信息安全控制領域，以易于組織對有不同需求的領域進行適當?shù)男畔踩芾怼?

(3)進行信息安全風險評估

信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應該與組織對信息資產(chǎn)風險的保護需求相一致。風險評估主要對ISMS范圍內的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全管制措施進行鑒定。風險評估主要依賴于商業(yè)信息和系統(tǒng)的性質、使用信息的商業(yè)目的、所采用的系統(tǒng)環(huán)境等因素，組織在進行信息資產(chǎn)風險評估時，需要將直接后果和潛在后果一并考慮。

(4)信息安全風險管理

根據(jù)風險評估的結果進行相應的風險管理。信息安全風險管理主要包括以下幾種措施：

降低風險：在考慮轉嫁風險前，應首先考慮采取措施降低風險；

避免風險：有些風險很容易避免，例如通過采用不同的技術、更改操作流程、采用簡單的技術措施等；

轉嫁風險：通常只有當風險不能被降低或避免、且被第三方（被轉嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產(chǎn)生重大影響的風險。

接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。

（5）確定管制目標和選擇管制措施。

管制目標的確定和管制措施的選擇原則是費用不超過風險所造成的損失。由于信息安全是一個動態(tài)的系統(tǒng)工程，組織應實時對選擇的管制目標和管制措施加以校驗和調整，以適應變化了的情況，使組織的信息資產(chǎn)得到有效、經(jīng)濟、合理的保護。

(6)準備信息安全適用性聲明。

信息安全適用性聲明紀錄了組織內相關的風險管制目標和針對每種風險所采取的各種控制措施。信息安全適用性聲明的準備，一方面是為了向組織內的員工聲明對信息安全面對的風險的態(tài)度，在更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)地審視了組織的信息安全系統(tǒng)，并將所有有必要管制的風險控制在能夠被接受的范圍內。

3.3 新版本BS 7799-2:2002的特點

新版本BS 7799-2:2002于2002年9月5日在英國發(fā)布。新版本同ISO 9001:2000(質量管理體系) 和ISO 14001:1996（環(huán)境管理體系）等國際知名管理體系標準采用相同的風格，使信息安全管理體系更容易和其它的管理體系相協(xié)調。新版標準的主要更新在于：

·PDCA(Plan-Do-Check-Act)的模型

·基于PDCA模型的基于過程的方法

·對風險評估過程、控制選擇和適用性聲明的內容與相互關系的闡述

·對ISMS持續(xù)過程改進的重要性

·文檔和記錄方面更清楚的需求

·風險評估和管理過程的改進

·對新版本使用提供指南的附錄

新版本在介紹信息安全管理體系的建立、實施和改進的過程中也引用了PDCA模型，按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執(zhí)行、安全管理和再評估四個子過程，特別介紹了基于PDCA模型的過程管理方法，并在附錄中為解釋或采用新版標準提供了指南，如圖2所示。組織通過持續(xù)的執(zhí)行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過程如下：

1. 計劃（PLAN）:定義信息安全管理體系的范圍，鑒別和評估業(yè)務風險

2. 實施(DO )：實施同意的風險治理活動以及適當?shù)目刂?

3. 檢查(CHECK)：監(jiān)控控制的績效，審查變化中環(huán)境的風險水平，執(zhí)行內部信息安全管理體系審計

4. 改進(ACTION)：在信息安全管理體系過程方面實行改進，并對控制進行必要的改進，以滿足環(huán)境的變化。

　　圖2 PDCA模型應用與信息安全管理體系過程

新版標準較BS7799-2:1999沒有引入任何新的審核和認證要求，新標準完全兼容依據(jù)BS 7799-2:1999建立、實施和保持的信息安全管理體系（ISMS）。新版標準沒有增加任何控制目標和控制方式，所有的控制目標和控制方式都是來自ISO/IEC 17799:2000。只是新版標準將原來BS7799-2:1999的第四部分作為附件A放在了標準后面，而且采用了不同的編號方式，將BS7799-2:1999和ISO/IEC 17799:2000結合起來了。

4 BS 7799的簡單評價

BS 7799提供了一個組織進行有效安全管理的公共基礎，反映了信息安全的"三分技術，七分管理"的原則。它全面涵蓋了信息系統(tǒng)日常安全管理方面的內容，提供了一個可持續(xù)提高的信息安全管理環(huán)境。包括安全管理的注意事項和安全制度，例如磁盤文件交換和處理的安全規(guī)定、設備的安全配置管理、工作區(qū)進出的控制等一些很容易理解的問題。這些管理制度易于理解，一般的單位都可以制定，具有可操作性，推廣信息安全管理標準的關鍵在于重視程度和制度落實方面。

BS 7799是對一個組織進行全面信息安全評估的基礎，可以作為組織實施信息安全管理的一項體制。它規(guī)定了建立、實施信息安全管理體系的文檔，以及如何根據(jù)組織的需要進行安全控制，可以作為一個非正式認證方案的基礎。

然而，BS 7799僅僅提供一些原則性的建議，如何將這些原則性的建議與各個組織單位自身的實際情況相結合，構架起符合組織自身狀況的ISMS，才是真正具有挑戰(zhàn)性的工作。BS 7799在標準里描述的所有控制方式并非都適合于每種情況，它不可能將當?shù)叵到y(tǒng)、環(huán)境和技術限制考慮在內，也不可能適合一個組織中的每個潛在的用戶，因此，這個標準還需結合實際情況進一步加以補充。

此外，信息安全管理建立在風險評估的基礎上，而風險評估本身是一個復雜的過程，不同組織面臨不同程度和不同類型的風險，風險的測度需要有效的方法支持，因此按照該標準衡量一個系統(tǒng)還需要一些相關技術的配合。

5 信息安全管理體系的實施

實施管理體系需要切實可行的計劃以及管理高層的支持。對于所有的管理體系，在實施的過程中都是運用相近的工具和相同的方法來完成。因此，以下內容同樣適用于其它管理體系的實施。

5.1 了解BS7799管理體系及其要求　　

管理層支持

所有員工都與決定實施BS7799管理體系有關，并要求對體系所包括的內容有一定的了解。典型的例子是：當?shù)谝淮螌嵤〣S7799管理體系時，管理高層決定實施，但實際實施的職責將落在實施經(jīng)理的身上，如信息中心主任。理想的情況是，實施BS7799管理體系應由見多識廣的管理高層來決定，他們的支持須貫穿于整個實施管理體系的長期過程中。

提升對管理體系的理解

所有實施體系的人員應了解標準并熟練掌握，因此需要將BS7799印刷多份并分發(fā)給參與體系實施的每一個人員，所有人員從仔細閱讀BS7799標準，通過召開例會學習BS7799的總體內容，并藉此進行安全意識訓練。在這個階段，還可以通過專家講座的形式，如管理高層親自參加一天的介紹性的培訓課程，這對體系的建立是有很大的好處，同時實施經(jīng)理也會受益非淺，但如果能夠參加更詳細培訓，毫無疑問這將更有利于BS7799標準的實施。

5.2 實施體系

選擇性的支持服務和書籍

當真正決定開始實施信息安全管理體系時，參與培訓課程和購買書籍是必不可少的。不過目前有不少企業(yè)為了實施的有效性，會選擇聘請顧問公司來幫助建立信息安全管理體系。顧問公司可以在實施的全過程和怎樣建立一套最適合客戶業(yè)務發(fā)展的管理體系中起到協(xié)助的作用，并為客戶提供更多的增值服務。

員工對信息安全管理體系的培訓和掌握

在實施的過程中，全體員工對信息安全管理體系的認識是非常重要的。如他們的日常工作是什么和對其有什么影響。故培訓課程對這方面是很有幫助的，另外有不少企業(yè)還會要求開發(fā)一些符合其自己特殊需求的課程。

5.3 申請信息安全管理體系的認證

一量信息安全管理體系開始運行，為了確保其長期有效的運行，獲得第三方認證機構的認證是必要的。

選擇合適的認證機構

·選擇認證機構是一個綜合考慮多種因素的復雜過程，選擇一個最適合和最能滿足自己需要的認證機構是非常重要的一步，通常需要考慮因素如下：

·地域的覆蓋----某些認證機構只是覆蓋較小的地域，但其它的認證機構則是在全球開展其業(yè)務。

·行業(yè)經(jīng)驗----一些認證機構在各行各業(yè)都有審核人員，但某些只是在少數(shù)行業(yè)內有審核人員。

·獲得認可機構的認可----某些認證機構是沒有獲得認可的，有些則獲得少數(shù)認可機構的認可，有些則獲得很多認可，當然獲得更多認可對申請認證的企業(yè)非常重要。

·價格的結成和比率----某些認證機構改變正常的費用，有些則不同。應著眼于多年的總計費用，而并不只是第一年的費用。

申請認證的過程

一旦選定適合您的認證機構后，認證的過程通常包括以下的步驟：

·選擇性的預備審核

·正式審核

·審核結果

·監(jiān)督審核

·多數(shù)認證機構在第三年須要進行重新審核，但BSI不需要。

5.4 推廣和維護既有的信息安全管理體系

經(jīng)過努力的工作，獲得管理體系的證書，并不只是企業(yè)內部受益，可以向客戶或利益相關方提供己方符合信息安全管理國際標準的證據(jù)，使組織獲得期望的信賴。為使信息安全管理體系保持有效，組織應通過使用安全方針、安全目標、審核結果、對監(jiān)控事件的分析、糾正、預防行動及管理評審信息來持續(xù)地維護和改善ISMS的有效性。另外，為了維持證書的有效性，維持和持續(xù)改善貫穿于整個監(jiān)督審核的全過程。

結束語

安全是一種"買不到"的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護體系是不存在的。建立一個有效的信息安全體系首先需要在好的信息安全治理的基礎上，其次要制定出相關的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個架構。相反，就不可能得到一個真正意義上的安全防護體系。這些單位可能安裝了一些安全產(chǎn)品，但并沒有一個安全的體系，因為沒有建立它的基礎。