5步構(gòu)建信息安全保障體系

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著信息化的發(fā)展，政府或企業(yè)對(duì)信息資源的依賴程度越來(lái)越大，沒(méi)有各種信息系統(tǒng)的支持，很多政府或企業(yè)其核心的業(yè)務(wù)和職能幾乎無(wú)法正常運(yùn)行。這無(wú)疑說(shuō)明信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱，更容易受到損害，更應(yīng)該加以妥善保護(hù)。而目前，隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)于政府或企業(yè)的信息系統(tǒng)來(lái)講，更是面臨著更大的風(fēng)險(xiǎn)和挑戰(zhàn)。這就使得更多的用戶、廠商和標(biāo)準(zhǔn)化組織都在尋求一種完善的體系，來(lái)有效的保障信息系統(tǒng)的全面安全。于是，信息安全保障體系應(yīng)運(yùn)而生，其主要目的是通過(guò)信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)維體系的綜合有效的建設(shè)，讓政府或企業(yè)的信息系統(tǒng)面臨的風(fēng)險(xiǎn)能夠達(dá)到一個(gè)可以控制的標(biāo)準(zhǔn)，進(jìn)一步保障信息系統(tǒng)的運(yùn)行效率。

通常所指的信息安全保障體系包含了信息安全的管理體系、技術(shù)體系以及運(yùn)維體系。本文將重點(diǎn)介紹信息安全管理體系的建設(shè)方法。

構(gòu)建第一步　確定信息安全管理體系建設(shè)具體目標(biāo)

信息安全管理體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過(guò)信息安全治理來(lái)達(dá)到具體的建設(shè)目標(biāo)。

信息安全的組織體系：是指為了在某個(gè)組織內(nèi)部為了完成信息安全的方針和目標(biāo)而組成

的特定的組織結(jié)構(gòu)，其中包括：決策、管理、執(zhí)行和監(jiān)管機(jī)構(gòu)四部分組成。

信息安全的策略體系：是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。策略體系從上而下分為三個(gè)層次：

第一層  策略總綱

策略總綱是該團(tuán)體組織內(nèi)信息安全方面的基本制度，是組織內(nèi)任何部門(mén)和人不能違反的，說(shuō)明了信息安全工作的總體要求。

第二層 技術(shù)指南和管理規(guī)定

遵循策略總綱的原則，結(jié)合具體部門(mén)、應(yīng)用和實(shí)際情況而制定的較專業(yè)要求和方法以及技術(shù)手段。包括以下兩個(gè)部分：

技術(shù)指南：從技術(shù)角度提出要求和方法；

管理規(guī)定：側(cè)重組織和管理，明確職責(zé)和要求，并提供考核依據(jù)。

第三層  操作手冊(cè)、工作細(xì)則、實(shí)施流程

遵循策略總綱的原則和技術(shù)指南和管理規(guī)定，結(jié)合實(shí)際工作，針對(duì)具體系統(tǒng)，對(duì)第二層的技術(shù)指南和管理規(guī)定進(jìn)行細(xì)化，形成可指導(dǎo)和規(guī)范具體工作的操作手冊(cè)及工作流程，保證安全工作的制度化、日常化。

構(gòu)建第二步　確定適合的信息安全建設(shè)方法論

太極多年信息安全建設(shè)積累的信息安全保障體系建設(shè)方法論，也稱“1-5-4-3-4”。即：運(yùn)用1個(gè)基礎(chǔ)理論，參照5個(gè)標(biāo)準(zhǔn)，圍繞4個(gè)體系，形成3道防線，最終實(shí)現(xiàn)4個(gè)目標(biāo)。

一、風(fēng)險(xiǎn)管理基礎(chǔ)理論

信息系統(tǒng)風(fēng)險(xiǎn)管理方法論就是建立統(tǒng)一安全保障體系，建立有效的應(yīng)用控制機(jī)制，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成，形成完備的信息系統(tǒng)流程控制體系，確保信息系統(tǒng)的效率與效果。

二、遵循五個(gè)相關(guān)國(guó)內(nèi)國(guó)際標(biāo)準(zhǔn)

在信息安全保障體系的建立過(guò)程中我們充分遵循國(guó)內(nèi)國(guó)際的相關(guān)標(biāo)準(zhǔn):

ISO 27001標(biāo)準(zhǔn)

等級(jí)保護(hù)建設(shè)

分級(jí)保護(hù)建設(shè)

IT流程控制管理（COBIT）

IT流程與服務(wù)管理（ITIL/ISO20000）

三、建立四個(gè)信息安全保障體系

信息安全組織保障體系：建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確各級(jí)機(jī)構(gòu)的角色與職責(zé)，完善信息安全管理與控制的流程。

信息安全管理保障體系：是信息安全組織、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對(duì)信息安全的管理規(guī)定。

信息安全技術(shù)保障體系：綜合利用各種成熟的信息安全技術(shù)與產(chǎn)品，實(shí)現(xiàn)不同層次的身份鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能。

信息安全運(yùn)維保障體系：在信息安全管理體系規(guī)范和指導(dǎo)下，通過(guò)安全運(yùn)行管理，規(guī)范運(yùn)行管理、安全監(jiān)控、事件處理、變更管理過(guò)程，及時(shí)、準(zhǔn)確、快速地處理安全問(wèn)題，保障業(yè)務(wù)平臺(tái)系統(tǒng)和應(yīng)用系統(tǒng)的穩(wěn)定可靠運(yùn)行。

四、三道防線

第一道防線：由管理體系、組織體系、技術(shù)保系構(gòu)成完備的安全管理體制與基礎(chǔ)安全設(shè)施，形成對(duì)安全苗頭進(jìn)行事前防范的第一道防線，為業(yè)務(wù)運(yùn)行安全打下良好的基礎(chǔ)。

第二道防線：由技術(shù)體系、運(yùn)維體系構(gòu)成事中控制的第二道防線。通過(guò)周密的生產(chǎn)調(diào)度、安全運(yùn)維管理、安全監(jiān)測(cè)預(yù)警，及時(shí)排除安全隱患，確保業(yè)務(wù)系統(tǒng)持續(xù)、可靠地運(yùn)行。

第三道防線：由技術(shù)體系構(gòu)成事后控制的第三道防線。針對(duì)各種突發(fā)災(zāi)難事件，對(duì)重要信息系統(tǒng)建立災(zāi)備系統(tǒng)，定期進(jìn)行應(yīng)急演練，形成快速響應(yīng)、快速恢復(fù)的機(jī)制，將災(zāi)難造成的損失降到組織可以接受的程度。

五、四大保障目標(biāo)

信息安全：保護(hù)政府或企業(yè)業(yè)務(wù)數(shù)據(jù)和信息的機(jī)密性、完整性和可用性。

系統(tǒng)安全：確保政府或企業(yè)網(wǎng)絡(luò)系統(tǒng)、主機(jī)操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)及應(yīng)用系統(tǒng)的安全。

物理安全：使業(yè)務(wù)和管理信息系統(tǒng)相關(guān)的環(huán)境安全、設(shè)備安全及存儲(chǔ)介質(zhì)安全的需要得到必要的保證。

運(yùn)行安全：確保業(yè)務(wù)和管理信息系統(tǒng)的各種運(yùn)行操作、日常監(jiān)控、變更維護(hù)符合規(guī)范操作的要求，保證系統(tǒng)運(yùn)行穩(wěn)定可靠。

構(gòu)建第三步　充分的現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估過(guò)程   

在現(xiàn)狀調(diào)研階段，我們要充分了解政府或企業(yè)的組織架構(gòu)、業(yè)務(wù)環(huán)境、信息系統(tǒng)流程等實(shí)際情況。只有了解政府或企業(yè)的組織架構(gòu)和性質(zhì)，才能確定該組織信息安全保障體系所遵循的標(biāo)準(zhǔn)，另外，還要充分了解政府或企業(yè)的文化，保證管理體系與相關(guān)文化的融合性，以便于后期的推廣、宣貫和實(shí)施。在調(diào)研時(shí)，采用“假設(shè)為導(dǎo)向，事實(shí)為基礎(chǔ)”的方法，假定該政府或企業(yè)滿足相關(guān)標(biāo)準(zhǔn)的所有控制要求，那么將通過(guò)人工訪談、調(diào)查問(wèn)卷等等各種方式和手段去收集信息，證明或者證偽該組織的控制措施符合所有標(biāo)準(zhǔn)的要求，然后在此基礎(chǔ)上，對(duì)比現(xiàn)狀和標(biāo)準(zhǔn)要求進(jìn)行差距分析。

在風(fēng)險(xiǎn)評(píng)估階段，首先對(duì)于信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估．其中涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：

● 對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；

● 對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；

● 對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；

● 根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性；

● 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失；

● 根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。

其次，進(jìn)行信息系統(tǒng)流程的風(fēng)險(xiǎn)評(píng)估。根據(jù)“國(guó)際知名咨詢機(jī)構(gòu)Gartner的調(diào)查結(jié)果”以及我們?cè)趯?shí)踐中證實(shí)發(fā)現(xiàn)，要減少信息系統(tǒng)故障最有效的方式之一，就是進(jìn)行有效的流程管理。因此需要在保證“靜態(tài)資產(chǎn)”安全的基礎(chǔ)上，對(duì)IT相關(guān)業(yè)務(wù)流程進(jìn)行有效管理，以保護(hù)業(yè)務(wù)流程這類“動(dòng)態(tài)資產(chǎn)”的安全。

構(gòu)建第四步　設(shè)計(jì)建立信息安全保障體系總體框架在充分進(jìn)行現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)分析與評(píng)估的基礎(chǔ)上，建立組織的信息安全保障體系總綱，總綱將全面覆蓋該組織的信息安全方針、策略、框架、計(jì)劃、執(zhí)行、檢查和改進(jìn)所有環(huán)節(jié)，并對(duì)未來(lái)3-5年信息安全建設(shè)提出了明確的安全目標(biāo)和規(guī)范。信息安全體系框架設(shè)計(jì)在綜合了現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評(píng)估、組織架構(gòu)和信息安全總綱后，還需要綜合考慮了風(fēng)險(xiǎn)管理、監(jiān)管機(jī)構(gòu)的法律法規(guī)、國(guó)內(nèi)國(guó)際相關(guān)標(biāo)準(zhǔn)的符合性。為確保信息安全建設(shè)目標(biāo)的實(shí)現(xiàn)，導(dǎo)出該組織未來(lái)信息安全任務(wù)，信息安全保障體系總體框架設(shè)計(jì)文件（一級(jí)文件）將包括：

信息安全保障體系總體框架設(shè)計(jì)報(bào)告；

信息安全保障體系建設(shè)規(guī)劃報(bào)告；

……

信息安全保障體系將依據(jù)信息安全保障體系模型，從安全組織、安全管理、安全技術(shù)和安全運(yùn)維四個(gè)方面展開(kāi)而得到。對(duì)展開(kāi)的四個(gè)方面再做進(jìn)一步的分解和比較詳細(xì)的規(guī)定將得到整個(gè)政府部門(mén)或企業(yè)信息安全保障體系的二級(jí)文件。具體二級(jí)文件包括：

信息安全組織體系：組織架構(gòu)、角色責(zé)任、教育與培訓(xùn)、合作與溝通

信息安全管理體系：信息資產(chǎn)管理；人力資源安全；物理與環(huán)境安全；通信與操作管理；訪問(wèn)控制；信息系統(tǒng)獲取與維護(hù)；業(yè)務(wù)連續(xù)性管理；符合性；

信息安全技術(shù)體系：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、終端層技術(shù)規(guī)范；

信息安全運(yùn)維體系：日常運(yùn)維層面的相關(guān)工作方式、流程、管理等。包括：事件管理、問(wèn)題管理、配置管理、變更管理、發(fā)布管理，服務(wù)臺(tái)。

構(gòu)建第五步　設(shè)計(jì)建立信息安全保障體系組織架構(gòu)信息安全組織體系是信息安全管理工作的保障，以保證在實(shí)際工作中有相關(guān)的管理崗位對(duì)相應(yīng)的控制點(diǎn)進(jìn)行控制。我們根據(jù)該組織的信息安全總體框架結(jié)合實(shí)際情況，確定該組織信息安全管理組織架構(gòu)。

● 信息安全組織架構(gòu)：針對(duì)該組織內(nèi)部負(fù)責(zé)開(kāi)展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門(mén)進(jìn)行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果。

● 信息安全角色和職責(zé)：主要是針對(duì)信息安全組織中的個(gè)體在信息安全工作中扮演的各種角色進(jìn)行定義、劃分和明確職責(zé)。

● 安全教育與培訓(xùn)：主要包括對(duì)安全意識(shí)與認(rèn)知，安全技能培訓(xùn)，安全專業(yè)教育等幾個(gè)方面的要求。

● 合作與溝通：與上級(jí)監(jiān)管部門(mén)，同級(jí)兄弟單位，本單位內(nèi)部，供應(yīng)商，安全業(yè)界專家等各方的溝通與合作

構(gòu)建第六步　設(shè)計(jì)建立信息安全保障體系管理體系

根據(jù)信息安全總體框架設(shè)計(jì)，結(jié)合風(fēng)險(xiǎn)評(píng)估的結(jié)果以及該組織的信息系統(tǒng)建設(shè)的實(shí)際情況，參照相關(guān)標(biāo)準(zhǔn)建立信息安全管理體系的三、四級(jí)文件，具體包括：

● 資產(chǎn)管理：信息系統(tǒng)敏感性分類與標(biāo)識(shí)實(shí)施規(guī)范與對(duì)應(yīng)表單、信息系統(tǒng)分類控制實(shí)規(guī)范與對(duì)應(yīng)表單

● 人力資源安全：內(nèi)部員工信息安全守則、第三方人員安全管理規(guī)范與對(duì)應(yīng)表單、保密協(xié)議

● 物理與環(huán)境安全：物理安全區(qū)域劃分與標(biāo)識(shí)規(guī)范以及對(duì)應(yīng)表單、機(jī)房安全管理規(guī)范與對(duì)應(yīng)表單、門(mén)禁系統(tǒng)安全管理規(guī)范與對(duì)應(yīng)表單

● 訪問(wèn)控制：用戶訪問(wèn)管理規(guī)范及對(duì)應(yīng)表單、網(wǎng)絡(luò)訪問(wèn)控制規(guī)范與對(duì)應(yīng)表單、操作系統(tǒng)訪問(wèn)控制規(guī)范及對(duì)應(yīng)表單、應(yīng)用及信息訪問(wèn)規(guī)范及對(duì)應(yīng)表單、移動(dòng)計(jì)算及遠(yuǎn)程訪問(wèn)規(guī)范及對(duì)應(yīng)表單

● 通信與操作管理：網(wǎng)絡(luò)安全管理規(guī)范與對(duì)應(yīng)表單、Internet服務(wù)使用安全管理規(guī)范及對(duì)應(yīng)表單、惡意代碼防范規(guī)范、存儲(chǔ)及移動(dòng)介質(zhì)安全管理規(guī)范與對(duì)應(yīng)表單

● 信息系統(tǒng)獲取與維護(hù)：信息安全項(xiàng)目立項(xiàng)管理規(guī)范及對(duì)應(yīng)表單、軟件安全開(kāi)發(fā)管理規(guī)范及對(duì)應(yīng)表單、軟件系統(tǒng)漏洞管理規(guī)范及對(duì)應(yīng)表單

● 業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性管理過(guò)程規(guī)范及對(duì)應(yīng)表單、業(yè)務(wù)影響分析規(guī)范及對(duì)應(yīng)表單

● 符合性：行業(yè)適用法律法規(guī)跟蹤管理規(guī)范及對(duì)應(yīng)表單

最終形成整體的信息安全管理體系，務(wù)必要符合整個(gè)組織的戰(zhàn)略目標(biāo)、遠(yuǎn)景、組織文化和實(shí)際情況并做相應(yīng)融合，在整個(gè)實(shí)施過(guò)程還需要進(jìn)行全程的貫穿性培訓(xùn)．將整體信息安全保障體系建設(shè)的意義傳遞給組織的每個(gè)角落，提高整體的信息安全意識(shí)。這樣幾方面的結(jié)合才能使建設(shè)更有效。