5步構(gòu)建信息安全保障體系

申請免費試用、咨詢電話：400-8352-114

隨著信息化的發(fā)展，政府或企業(yè)對信息資源的依賴程度越來越大，沒有各種信息系統(tǒng)的支持，很多政府或企業(yè)其核心的業(yè)務(wù)和職能幾乎無法正常運行。這無疑說明信息系統(tǒng)比傳統(tǒng)的實物資產(chǎn)更加脆弱，更容易受到損害，更應(yīng)該加以妥善保護。而目前，隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，對于政府或企業(yè)的信息系統(tǒng)來講，更是面臨著更大的風(fēng)險和挑戰(zhàn)。這就使得更多的用戶、廠商和標(biāo)準(zhǔn)化組織都在尋求一種完善的體系，來有效的保障信息系統(tǒng)的全面安全。于是，信息安全保障體系應(yīng)運而生，其主要目的是通過信息安全管理體系、信息安全技術(shù)體系以及信息安全運維體系的綜合有效的建設(shè)，讓政府或企業(yè)的信息系統(tǒng)面臨的風(fēng)險能夠達到一個可以控制的標(biāo)準(zhǔn)，進一步保障信息系統(tǒng)的運行效率。

通常所指的信息安全保障體系包含了信息安全的管理體系、技術(shù)體系以及運維體系。本文將重點介紹信息安全管理體系的建設(shè)方法。

構(gòu)建第一步　確定信息安全管理體系建設(shè)具體目標(biāo)

信息安全管理體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過信息安全治理來達到具體的建設(shè)目標(biāo)。

信息安全的組織體系：是指為了在某個組織內(nèi)部為了完成信息安全的方針和目標(biāo)而組成

的特定的組織結(jié)構(gòu)，其中包括：決策、管理、執(zhí)行和監(jiān)管機構(gòu)四部分組成。

信息安全的策略體系：是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。策略體系從上而下分為三個層次：

第一層  策略總綱

策略總綱是該團體組織內(nèi)信息安全方面的基本制度，是組織內(nèi)任何部門和人不能違反的，說明了信息安全工作的總體要求。

第二層 技術(shù)指南和管理規(guī)定

遵循策略總綱的原則，結(jié)合具體部門、應(yīng)用和實際情況而制定的較專業(yè)要求和方法以及技術(shù)手段。包括以下兩個部分：

技術(shù)指南：從技術(shù)角度提出要求和方法；

管理規(guī)定：側(cè)重組織和管理，明確職責(zé)和要求，并提供考核依據(jù)。

第三層  操作手冊、工作細則、實施流程

遵循策略總綱的原則和技術(shù)指南和管理規(guī)定，結(jié)合實際工作，針對具體系統(tǒng)，對第二層的技術(shù)指南和管理規(guī)定進行細化，形成可指導(dǎo)和規(guī)范具體工作的操作手冊及工作流程，保證安全工作的制度化、日?；?。

構(gòu)建第二步　確定適合的信息安全建設(shè)方法論

太極多年信息安全建設(shè)積累的信息安全保障體系建設(shè)方法論，也稱“1-5-4-3-4”。即：運用1個基礎(chǔ)理論，參照5個標(biāo)準(zhǔn)，圍繞4個體系，形成3道防線，最終實現(xiàn)4個目標(biāo)。

一、風(fēng)險管理基礎(chǔ)理論

信息系統(tǒng)風(fēng)險管理方法論就是建立統(tǒng)一安全保障體系，建立有效的應(yīng)用控制機制，實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成，形成完備的信息系統(tǒng)流程控制體系，確保信息系統(tǒng)的效率與效果。

二、遵循五個相關(guān)國內(nèi)國際標(biāo)準(zhǔn)

在信息安全保障體系的建立過程中我們充分遵循國內(nèi)國際的相關(guān)標(biāo)準(zhǔn):

ISO 27001標(biāo)準(zhǔn)

等級保護建設(shè)

分級保護建設(shè)

IT流程控制管理（COBIT）

IT流程與服務(wù)管理（ITIL/ISO20000）

三、建立四個信息安全保障體系

信息安全組織保障體系：建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機構(gòu)，明確各級機構(gòu)的角色與職責(zé)，完善信息安全管理與控制的流程。

信息安全管理保障體系：是信息安全組織、運作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對信息安全的管理規(guī)定。

信息安全技術(shù)保障體系：綜合利用各種成熟的信息安全技術(shù)與產(chǎn)品，實現(xiàn)不同層次的身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能。

信息安全運維保障體系：在信息安全管理體系規(guī)范和指導(dǎo)下，通過安全運行管理，規(guī)范運行管理、安全監(jiān)控、事件處理、變更管理過程，及時、準(zhǔn)確、快速地處理安全問題，保障業(yè)務(wù)平臺系統(tǒng)和應(yīng)用系統(tǒng)的穩(wěn)定可靠運行。

四、三道防線

第一道防線：由管理體系、組織體系、技術(shù)保系構(gòu)成完備的安全管理體制與基礎(chǔ)安全設(shè)施，形成對安全苗頭進行事前防范的第一道防線，為業(yè)務(wù)運行安全打下良好的基礎(chǔ)。

第二道防線：由技術(shù)體系、運維體系構(gòu)成事中控制的第二道防線。通過周密的生產(chǎn)調(diào)度、安全運維管理、安全監(jiān)測預(yù)警，及時排除安全隱患，確保業(yè)務(wù)系統(tǒng)持續(xù)、可靠地運行。

第三道防線：由技術(shù)體系構(gòu)成事后控制的第三道防線。針對各種突發(fā)災(zāi)難事件，對重要信息系統(tǒng)建立災(zāi)備系統(tǒng)，定期進行應(yīng)急演練，形成快速響應(yīng)、快速恢復(fù)的機制，將災(zāi)難造成的損失降到組織可以接受的程度。

五、四大保障目標(biāo)

信息安全：保護政府或企業(yè)業(yè)務(wù)數(shù)據(jù)和信息的機密性、完整性和可用性。

系統(tǒng)安全：確保政府或企業(yè)網(wǎng)絡(luò)系統(tǒng)、主機操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)的安全。

物理安全：使業(yè)務(wù)和管理信息系統(tǒng)相關(guān)的環(huán)境安全、設(shè)備安全及存儲介質(zhì)安全的需要得到必要的保證。

運行安全：確保業(yè)務(wù)和管理信息系統(tǒng)的各種運行操作、日常監(jiān)控、變更維護符合規(guī)范操作的要求，保證系統(tǒng)運行穩(wěn)定可靠。

構(gòu)建第三步　充分的現(xiàn)狀調(diào)研和風(fēng)險評估過程   

在現(xiàn)狀調(diào)研階段，我們要充分了解政府或企業(yè)的組織架構(gòu)、業(yè)務(wù)環(huán)境、信息系統(tǒng)流程等實際情況。只有了解政府或企業(yè)的組織架構(gòu)和性質(zhì)，才能確定該組織信息安全保障體系所遵循的標(biāo)準(zhǔn)，另外，還要充分了解政府或企業(yè)的文化，保證管理體系與相關(guān)文化的融合性，以便于后期的推廣、宣貫和實施。在調(diào)研時，采用“假設(shè)為導(dǎo)向，事實為基礎(chǔ)”的方法，假定該政府或企業(yè)滿足相關(guān)標(biāo)準(zhǔn)的所有控制要求，那么將通過人工訪談、調(diào)查問卷等等各種方式和手段去收集信息，證明或者證偽該組織的控制措施符合所有標(biāo)準(zhǔn)的要求，然后在此基礎(chǔ)上，對比現(xiàn)狀和標(biāo)準(zhǔn)要求進行差距分析。

在風(fēng)險評估階段，首先對于信息系統(tǒng)的風(fēng)險評估．其中涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風(fēng)險分析的主要內(nèi)容為：

● 對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；

● 對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；

● 對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；

● 根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性；

● 根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；

● 根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。

其次，進行信息系統(tǒng)流程的風(fēng)險評估。根據(jù)“國際知名咨詢機構(gòu)Gartner的調(diào)查結(jié)果”以及我們在實踐中證實發(fā)現(xiàn)，要減少信息系統(tǒng)故障最有效的方式之一，就是進行有效的流程管理。因此需要在保證“靜態(tài)資產(chǎn)”安全的基礎(chǔ)上，對IT相關(guān)業(yè)務(wù)流程進行有效管理，以保護業(yè)務(wù)流程這類“動態(tài)資產(chǎn)”的安全。

構(gòu)建第四步　設(shè)計建立信息安全保障體系總體框架在充分進行現(xiàn)狀調(diào)研、風(fēng)險分析與評估的基礎(chǔ)上，建立組織的信息安全保障體系總綱，總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執(zhí)行、檢查和改進所有環(huán)節(jié)，并對未來3-5年信息安全建設(shè)提出了明確的安全目標(biāo)和規(guī)范。信息安全體系框架設(shè)計在綜合了現(xiàn)狀調(diào)研、風(fēng)險評估、組織架構(gòu)和信息安全總綱后，還需要綜合考慮了風(fēng)險管理、監(jiān)管機構(gòu)的法律法規(guī)、國內(nèi)國際相關(guān)標(biāo)準(zhǔn)的符合性。為確保信息安全建設(shè)目標(biāo)的實現(xiàn)，導(dǎo)出該組織未來信息安全任務(wù)，信息安全保障體系總體框架設(shè)計文件（一級文件）將包括：

信息安全保障體系總體框架設(shè)計報告；

信息安全保障體系建設(shè)規(guī)劃報告；

……

信息安全保障體系將依據(jù)信息安全保障體系模型，從安全組織、安全管理、安全技術(shù)和安全運維四個方面展開而得到。對展開的四個方面再做進一步的分解和比較詳細的規(guī)定將得到整個政府部門或企業(yè)信息安全保障體系的二級文件。具體二級文件包括：

信息安全組織體系：組織架構(gòu)、角色責(zé)任、教育與培訓(xùn)、合作與溝通

信息安全管理體系：信息資產(chǎn)管理；人力資源安全；物理與環(huán)境安全；通信與操作管理；訪問控制；信息系統(tǒng)獲取與維護；業(yè)務(wù)連續(xù)性管理；符合性；

信息安全技術(shù)體系：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、終端層技術(shù)規(guī)范；

信息安全運維體系：日常運維層面的相關(guān)工作方式、流程、管理等。包括：事件管理、問題管理、配置管理、變更管理、發(fā)布管理，服務(wù)臺。

構(gòu)建第五步　設(shè)計建立信息安全保障體系組織架構(gòu)信息安全組織體系是信息安全管理工作的保障，以保證在實際工作中有相關(guān)的管理崗位對相應(yīng)的控制點進行控制。我們根據(jù)該組織的信息安全總體框架結(jié)合實際情況，確定該組織信息安全管理組織架構(gòu)。

● 信息安全組織架構(gòu)：針對該組織內(nèi)部負責(zé)開展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門進行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果。

● 信息安全角色和職責(zé)：主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責(zé)。

● 安全教育與培訓(xùn)：主要包括對安全意識與認知，安全技能培訓(xùn)，安全專業(yè)教育等幾個方面的要求。

● 合作與溝通：與上級監(jiān)管部門，同級兄弟單位，本單位內(nèi)部，供應(yīng)商，安全業(yè)界專家等各方的溝通與合作

構(gòu)建第六步　設(shè)計建立信息安全保障體系管理體系

根據(jù)信息安全總體框架設(shè)計，結(jié)合風(fēng)險評估的結(jié)果以及該組織的信息系統(tǒng)建設(shè)的實際情況，參照相關(guān)標(biāo)準(zhǔn)建立信息安全管理體系的三、四級文件，具體包括：

● 資產(chǎn)管理：信息系統(tǒng)敏感性分類與標(biāo)識實施規(guī)范與對應(yīng)表單、信息系統(tǒng)分類控制實規(guī)范與對應(yīng)表單

● 人力資源安全：內(nèi)部員工信息安全守則、第三方人員安全管理規(guī)范與對應(yīng)表單、保密協(xié)議

● 物理與環(huán)境安全：物理安全區(qū)域劃分與標(biāo)識規(guī)范以及對應(yīng)表單、機房安全管理規(guī)范與對應(yīng)表單、門禁系統(tǒng)安全管理規(guī)范與對應(yīng)表單

● 訪問控制：用戶訪問管理規(guī)范及對應(yīng)表單、網(wǎng)絡(luò)訪問控制規(guī)范與對應(yīng)表單、操作系統(tǒng)訪問控制規(guī)范及對應(yīng)表單、應(yīng)用及信息訪問規(guī)范及對應(yīng)表單、移動計算及遠程訪問規(guī)范及對應(yīng)表單

● 通信與操作管理：網(wǎng)絡(luò)安全管理規(guī)范與對應(yīng)表單、Internet服務(wù)使用安全管理規(guī)范及對應(yīng)表單、惡意代碼防范規(guī)范、存儲及移動介質(zhì)安全管理規(guī)范與對應(yīng)表單

● 信息系統(tǒng)獲取與維護：信息安全項目立項管理規(guī)范及對應(yīng)表單、軟件安全開發(fā)管理規(guī)范及對應(yīng)表單、軟件系統(tǒng)漏洞管理規(guī)范及對應(yīng)表單

● 業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性管理過程規(guī)范及對應(yīng)表單、業(yè)務(wù)影響分析規(guī)范及對應(yīng)表單

● 符合性：行業(yè)適用法律法規(guī)跟蹤管理規(guī)范及對應(yīng)表單

最終形成整體的信息安全管理體系，務(wù)必要符合整個組織的戰(zhàn)略目標(biāo)、遠景、組織文化和實際情況并做相應(yīng)融合，在整個實施過程還需要進行全程的貫穿性培訓(xùn)．將整體信息安全保障體系建設(shè)的意義傳遞給組織的每個角落，提高整體的信息安全意識。這樣幾方面的結(jié)合才能使建設(shè)更有效。