5步構(gòu)建信息安全保障體系

申請免費試用、咨詢電話：400-8352-114

隨著信息化的發(fā)展，政府或企業(yè)對信息資源的依賴程度越來越大，沒有各種信息系統(tǒng)的支持，很多政府或企業(yè)其核心的業(yè)務和職能幾乎無法正常運行。這無疑說明信息系統(tǒng)比傳統(tǒng)的實物資產(chǎn)更加脆弱，更容易受到損害，更應該加以妥善保護。而目前，隨著互聯(lián)網(wǎng)和網(wǎng)絡技術(shù)的發(fā)展，對于政府或企業(yè)的信息系統(tǒng)來講，更是面臨著更大的風險和挑戰(zhàn)。這就使得更多的用戶、廠商和標準化組織都在尋求一種完善的體系，來有效的保障信息系統(tǒng)的全面安全。于是，信息安全保障體系應運而生，其主要目的是通過信息安全管理體系、信息安全技術(shù)體系以及信息安全運維體系的綜合有效的建設(shè)，讓政府或企業(yè)的信息系統(tǒng)面臨的風險能夠達到一個可以控制的標準，進一步保障信息系統(tǒng)的運行效率。

通常所指的信息安全保障體系包含了信息安全的管理體系、技術(shù)體系以及運維體系。本文將重點介紹信息安全管理體系的建設(shè)方法。

構(gòu)建第一步　確定信息安全管理體系建設(shè)具體目標

信息安全管理體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過信息安全治理來達到具體的建設(shè)目標。

信息安全的組織體系：是指為了在某個組織內(nèi)部為了完成信息安全的方針和目標而組成

的特定的組織結(jié)構(gòu)，其中包括：決策、管理、執(zhí)行和監(jiān)管機構(gòu)四部分組成。

信息安全的策略體系：是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度的總和。策略體系從上而下分為三個層次：

第一層  策略總綱

策略總綱是該團體組織內(nèi)信息安全方面的基本制度，是組織內(nèi)任何部門和人不能違反的，說明了信息安全工作的總體要求。

第二層 技術(shù)指南和管理規(guī)定

遵循策略總綱的原則，結(jié)合具體部門、應用和實際情況而制定的較專業(yè)要求和方法以及技術(shù)手段。包括以下兩個部分：

技術(shù)指南：從技術(shù)角度提出要求和方法；

管理規(guī)定：側(cè)重組織和管理，明確職責和要求，并提供考核依據(jù)。

第三層  操作手冊、工作細則、實施流程

遵循策略總綱的原則和技術(shù)指南和管理規(guī)定，結(jié)合實際工作，針對具體系統(tǒng)，對第二層的技術(shù)指南和管理規(guī)定進行細化，形成可指導和規(guī)范具體工作的操作手冊及工作流程，保證安全工作的制度化、日常化。

構(gòu)建第二步　確定適合的信息安全建設(shè)方法論

太極多年信息安全建設(shè)積累的信息安全保障體系建設(shè)方法論，也稱“1-5-4-3-4”。即：運用1個基礎(chǔ)理論，參照5個標準，圍繞4個體系，形成3道防線，最終實現(xiàn)4個目標。

一、風險管理基礎(chǔ)理論

信息系統(tǒng)風險管理方法論就是建立統(tǒng)一安全保障體系，建立有效的應用控制機制，實現(xiàn)應用系統(tǒng)與安全系統(tǒng)全面集成，形成完備的信息系統(tǒng)流程控制體系，確保信息系統(tǒng)的效率與效果。

二、遵循五個相關(guān)國內(nèi)國際標準

在信息安全保障體系的建立過程中我們充分遵循國內(nèi)國際的相關(guān)標準:

ISO 27001標準

等級保護建設(shè)

分級保護建設(shè)

IT流程控制管理（COBIT）

IT流程與服務管理（ITIL/ISO20000）

三、建立四個信息安全保障體系

信息安全組織保障體系：建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機構(gòu)，明確各級機構(gòu)的角色與職責，完善信息安全管理與控制的流程。

信息安全管理保障體系：是信息安全組織、運作、技術(shù)體系標準化、制度化后形成的一整套對信息安全的管理規(guī)定。

信息安全技術(shù)保障體系：綜合利用各種成熟的信息安全技術(shù)與產(chǎn)品，實現(xiàn)不同層次的身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能。

信息安全運維保障體系：在信息安全管理體系規(guī)范和指導下，通過安全運行管理，規(guī)范運行管理、安全監(jiān)控、事件處理、變更管理過程，及時、準確、快速地處理安全問題，保障業(yè)務平臺系統(tǒng)和應用系統(tǒng)的穩(wěn)定可靠運行。

四、三道防線

第一道防線：由管理體系、組織體系、技術(shù)保系構(gòu)成完備的安全管理體制與基礎(chǔ)安全設(shè)施，形成對安全苗頭進行事前防范的第一道防線，為業(yè)務運行安全打下良好的基礎(chǔ)。

第二道防線：由技術(shù)體系、運維體系構(gòu)成事中控制的第二道防線。通過周密的生產(chǎn)調(diào)度、安全運維管理、安全監(jiān)測預警，及時排除安全隱患，確保業(yè)務系統(tǒng)持續(xù)、可靠地運行。

第三道防線：由技術(shù)體系構(gòu)成事后控制的第三道防線。針對各種突發(fā)災難事件，對重要信息系統(tǒng)建立災備系統(tǒng)，定期進行應急演練，形成快速響應、快速恢復的機制，將災難造成的損失降到組織可以接受的程度。

五、四大保障目標

信息安全：保護政府或企業(yè)業(yè)務數(shù)據(jù)和信息的機密性、完整性和可用性。

系統(tǒng)安全：確保政府或企業(yè)網(wǎng)絡系統(tǒng)、主機操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及應用系統(tǒng)的安全。

物理安全：使業(yè)務和管理信息系統(tǒng)相關(guān)的環(huán)境安全、設(shè)備安全及存儲介質(zhì)安全的需要得到必要的保證。

運行安全：確保業(yè)務和管理信息系統(tǒng)的各種運行操作、日常監(jiān)控、變更維護符合規(guī)范操作的要求，保證系統(tǒng)運行穩(wěn)定可靠。

構(gòu)建第三步　充分的現(xiàn)狀調(diào)研和風險評估過程   

在現(xiàn)狀調(diào)研階段，我們要充分了解政府或企業(yè)的組織架構(gòu)、業(yè)務環(huán)境、信息系統(tǒng)流程等實際情況。只有了解政府或企業(yè)的組織架構(gòu)和性質(zhì)，才能確定該組織信息安全保障體系所遵循的標準，另外，還要充分了解政府或企業(yè)的文化，保證管理體系與相關(guān)文化的融合性，以便于后期的推廣、宣貫和實施。在調(diào)研時，采用“假設(shè)為導向，事實為基礎(chǔ)”的方法，假定該政府或企業(yè)滿足相關(guān)標準的所有控制要求，那么將通過人工訪談、調(diào)查問卷等等各種方式和手段去收集信息，證明或者證偽該組織的控制措施符合所有標準的要求，然后在此基礎(chǔ)上，對比現(xiàn)狀和標準要求進行差距分析。

在風險評估階段，首先對于信息系統(tǒng)的風險評估．其中涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析的主要內(nèi)容為：

● 對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；

● 對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；

● 對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；

● 根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性；

● 根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；

● 根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。

其次，進行信息系統(tǒng)流程的風險評估。根據(jù)“國際知名咨詢機構(gòu)Gartner的調(diào)查結(jié)果”以及我們在實踐中證實發(fā)現(xiàn)，要減少信息系統(tǒng)故障最有效的方式之一，就是進行有效的流程管理。因此需要在保證“靜態(tài)資產(chǎn)”安全的基礎(chǔ)上，對IT相關(guān)業(yè)務流程進行有效管理，以保護業(yè)務流程這類“動態(tài)資產(chǎn)”的安全。

構(gòu)建第四步　設(shè)計建立信息安全保障體系總體框架在充分進行現(xiàn)狀調(diào)研、風險分析與評估的基礎(chǔ)上，建立組織的信息安全保障體系總綱，總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執(zhí)行、檢查和改進所有環(huán)節(jié)，并對未來3-5年信息安全建設(shè)提出了明確的安全目標和規(guī)范。信息安全體系框架設(shè)計在綜合了現(xiàn)狀調(diào)研、風險評估、組織架構(gòu)和信息安全總綱后，還需要綜合考慮了風險管理、監(jiān)管機構(gòu)的法律法規(guī)、國內(nèi)國際相關(guān)標準的符合性。為確保信息安全建設(shè)目標的實現(xiàn)，導出該組織未來信息安全任務，信息安全保障體系總體框架設(shè)計文件（一級文件）將包括：

信息安全保障體系總體框架設(shè)計報告；

信息安全保障體系建設(shè)規(guī)劃報告；

……

信息安全保障體系將依據(jù)信息安全保障體系模型，從安全組織、安全管理、安全技術(shù)和安全運維四個方面展開而得到。對展開的四個方面再做進一步的分解和比較詳細的規(guī)定將得到整個政府部門或企業(yè)信息安全保障體系的二級文件。具體二級文件包括：

信息安全組織體系：組織架構(gòu)、角色責任、教育與培訓、合作與溝通

信息安全管理體系：信息資產(chǎn)管理；人力資源安全；物理與環(huán)境安全；通信與操作管理；訪問控制；信息系統(tǒng)獲取與維護；業(yè)務連續(xù)性管理；符合性；

信息安全技術(shù)體系：物理層、網(wǎng)絡層、系統(tǒng)層、應用層、終端層技術(shù)規(guī)范；

信息安全運維體系：日常運維層面的相關(guān)工作方式、流程、管理等。包括：事件管理、問題管理、配置管理、變更管理、發(fā)布管理，服務臺。

構(gòu)建第五步　設(shè)計建立信息安全保障體系組織架構(gòu)信息安全組織體系是信息安全管理工作的保障，以保證在實際工作中有相關(guān)的管理崗位對相應的控制點進行控制。我們根據(jù)該組織的信息安全總體框架結(jié)合實際情況，確定該組織信息安全管理組織架構(gòu)。

● 信息安全組織架構(gòu)：針對該組織內(nèi)部負責開展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門進行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果。

● 信息安全角色和職責：主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責。

● 安全教育與培訓：主要包括對安全意識與認知，安全技能培訓，安全專業(yè)教育等幾個方面的要求。

● 合作與溝通：與上級監(jiān)管部門，同級兄弟單位，本單位內(nèi)部，供應商，安全業(yè)界專家等各方的溝通與合作

構(gòu)建第六步　設(shè)計建立信息安全保障體系管理體系

根據(jù)信息安全總體框架設(shè)計，結(jié)合風險評估的結(jié)果以及該組織的信息系統(tǒng)建設(shè)的實際情況，參照相關(guān)標準建立信息安全管理體系的三、四級文件，具體包括：

● 資產(chǎn)管理：信息系統(tǒng)敏感性分類與標識實施規(guī)范與對應表單、信息系統(tǒng)分類控制實規(guī)范與對應表單

● 人力資源安全：內(nèi)部員工信息安全守則、第三方人員安全管理規(guī)范與對應表單、保密協(xié)議

● 物理與環(huán)境安全：物理安全區(qū)域劃分與標識規(guī)范以及對應表單、機房安全管理規(guī)范與對應表單、門禁系統(tǒng)安全管理規(guī)范與對應表單

● 訪問控制：用戶訪問管理規(guī)范及對應表單、網(wǎng)絡訪問控制規(guī)范與對應表單、操作系統(tǒng)訪問控制規(guī)范及對應表單、應用及信息訪問規(guī)范及對應表單、移動計算及遠程訪問規(guī)范及對應表單

● 通信與操作管理：網(wǎng)絡安全管理規(guī)范與對應表單、Internet服務使用安全管理規(guī)范及對應表單、惡意代碼防范規(guī)范、存儲及移動介質(zhì)安全管理規(guī)范與對應表單

● 信息系統(tǒng)獲取與維護：信息安全項目立項管理規(guī)范及對應表單、軟件安全開發(fā)管理規(guī)范及對應表單、軟件系統(tǒng)漏洞管理規(guī)范及對應表單

● 業(yè)務連續(xù)性管理：業(yè)務連續(xù)性管理過程規(guī)范及對應表單、業(yè)務影響分析規(guī)范及對應表單

● 符合性：行業(yè)適用法律法規(guī)跟蹤管理規(guī)范及對應表單

最終形成整體的信息安全管理體系，務必要符合整個組織的戰(zhàn)略目標、遠景、組織文化和實際情況并做相應融合，在整個實施過程還需要進行全程的貫穿性培訓．將整體信息安全保障體系建設(shè)的意義傳遞給組織的每個角落，提高整體的信息安全意識。這樣幾方面的結(jié)合才能使建設(shè)更有效。