企業(yè)信息的日?！拔淦鳌卑踩膶徲?jì)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在艾默生網(wǎng)絡(luò)能源公司位于深圳南山區(qū)科技園的大樓里，信息安全部經(jīng)理?xiàng)钍辣笳笇?dǎo)同事做電影剪輯。他面前的電腦屏幕上，尼古拉斯·凱奇剛剛通過再現(xiàn)密碼鎖上的指紋和對(duì)幾個(gè)數(shù)字排列組合的計(jì)算，破解了美國國家檔案館的密碼，閃身進(jìn)入機(jī)密檔案室，尋找隱藏著國家寶藏秘密的那份《獨(dú)立宣言》。

郭云凌: 我們要從整條供應(yīng)鏈上，保證信息安全體系的完整

這是美國大片《國家寶藏》中的經(jīng)典片斷，楊世斌小心地把這段剪下來，開始制作艾默生的信息安全宣傳錄像。自從2004年艾默生網(wǎng)絡(luò)能源公司建立信息安全審計(jì)制度和信息安全體系以來，他已制作了不少類似Flash、小電影，以加深員工對(duì)信息系統(tǒng)安全的認(rèn)識(shí)。

“保護(hù)神”

如今，IT系統(tǒng)幾乎普及應(yīng)用于企業(yè)運(yùn)營的所有關(guān)鍵部分，因此一旦IT出現(xiàn)風(fēng)險(xiǎn)將會(huì)帶來重創(chuàng)。于是，那些對(duì)IT系統(tǒng)依賴度強(qiáng)、組織結(jié)構(gòu)復(fù)雜的大型企業(yè)開始引進(jìn)信息安全審計(jì)制度，不斷“審視”自身的信息安全。

2006年底，畢博信息技術(shù)（上海）公司通過了ISO27001的認(rèn)證，成為中國第11個(gè)取得該認(rèn)證的企業(yè)。這是一項(xiàng)針對(duì)企業(yè)整體信息安全體系的認(rèn)證，通過它意味著企業(yè)的信息系統(tǒng)安全性得到了權(quán)威機(jī)構(gòu)的認(rèn)可。不過，通過認(rèn)證并不意味著一勞永逸，畢博以后不但需要每年兩次要“應(yīng)對(duì)”相關(guān)機(jī)構(gòu)的審計(jì)，它的IT部門還需要不斷根據(jù)業(yè)務(wù)與市場(chǎng)發(fā)展，更新IT系統(tǒng)安全標(biāo)準(zhǔn)，以保證持續(xù)取得認(rèn)證。據(jù)負(fù)責(zé)該項(xiàng)目的畢博信息技術(shù)公司高級(jí)IT經(jīng)理江瑋介紹，他們?yōu)榱巳〉谜J(rèn)證，“耗資巨大，單是硬件投資就有數(shù)十萬美元，另外還有數(shù)十萬美元用于改進(jìn)軟件系統(tǒng)”。此外，他們還做了多項(xiàng)重大流程修改。

對(duì)畢博信息技術(shù)公司而言，通過ISO27001認(rèn)證的好處顯而易見。畢博信息技術(shù)公司是畢博管理咨詢公司的全球研發(fā)中心，負(fù)責(zé)咨詢項(xiàng)目的IT系統(tǒng)研發(fā)部分，其承擔(dān)的很多項(xiàng)目都涉及客戶的核心流程與信息數(shù)據(jù)。2004年，畢博信息技術(shù)公司開始接到客戶對(duì)其IT系統(tǒng)進(jìn)行信息安全審計(jì)的要求；之后，有這種需求的客戶越來越多，在2007年的前5個(gè)月，已有10家客戶向它提出了信息安全審計(jì)的要求。

“過去，客戶請(qǐng)來外審機(jī)構(gòu)，要求我們改哪里就改哪里。”江瑋說。然而隨著有類似需求的客戶逐年增加，“頭疼醫(yī)頭”的做法使得畢博信息技術(shù)公司不得不付出巨大成本。于是，它急需建立一套完備的日常信息安全審計(jì)制度，以覆蓋企業(yè)信息安全的方方面面，且得到市場(chǎng)認(rèn)可。參照國際通行的ISO27001改進(jìn)企業(yè)流程，建立相應(yīng)的信息安全保障制度，無疑可以給客戶吃下一顆定心丸——他們外包給畢博開發(fā)的信息系統(tǒng)與相關(guān)數(shù)據(jù)，都能得到“國際水平”的保護(hù)。

通過推進(jìn)ISO27001安全標(biāo)準(zhǔn)，江瑋將畢博信息技術(shù)公司相對(duì)松散的IT管理流程轉(zhuǎn)化為集中管理模式，通過IT部門的統(tǒng)一控制來降低信息安全風(fēng)險(xiǎn)。他在客戶端的管理上，采用了“瘦客戶端”理念——員工對(duì)自己的電腦只有使用權(quán)，沒有管理權(quán)，電腦中的所有信息都由IT部門進(jìn)行統(tǒng)一管理和部署；用戶禁止用U盤，也不能在電腦上安裝、使用即時(shí)通信工具。

畢博信息技術(shù)公司借助引入ISO27001，還對(duì)管理流程進(jìn)行了重新梳理，在原有流程中加入了很多為保證信息安全而設(shè)立的環(huán)節(jié)，并建立了相應(yīng)的評(píng)估機(jī)制。以前，畢博信息技術(shù)公司基本沒有規(guī)范的IT故障報(bào)送流程，遇到IT故障的員工會(huì)直接給IT部門打電話，而IT部門也會(huì)隨便派一個(gè)IT人員處理故障?，F(xiàn)在，他們?cè)黾恿藢?duì)IT故障的潛在風(fēng)險(xiǎn)進(jìn)行評(píng)估和相應(yīng)處理的流程，故障從報(bào)送入口就被統(tǒng)一起來，事故有相應(yīng)人負(fù)責(zé)處理和記錄；報(bào)送記錄同時(shí)會(huì)被提交到IT工程師和系統(tǒng)分析團(tuán)隊(duì)，前者負(fù)責(zé)處理事故，后者負(fù)責(zé)評(píng)估風(fēng)險(xiǎn)。

為了保證信息安全管理流程能落到實(shí)處，江瑋建立了相應(yīng)的制度。他將企業(yè)的硬件、軟件和數(shù)據(jù)、流程、人定義為4大信息資產(chǎn)，分別指定了明確的責(zé)任人，用白紙黑字的制度文件固定下來，并制定了評(píng)估標(biāo)準(zhǔn)與周期，確定了可量化的考核指標(biāo)，“這些都是為了避免問題發(fā)生時(shí)，出現(xiàn)互相扯皮的現(xiàn)象”。

信息安全一定無法離開IT技術(shù)的保障。在技術(shù)應(yīng)用上，江瑋同樣遵循了統(tǒng)一管理的思路。他在與總部進(jìn)行深入探討后，準(zhǔn)備在新加坡設(shè)立統(tǒng)一的亞太區(qū)管理中心，將轄區(qū)內(nèi)所有項(xiàng)目組的服務(wù)器都放在新加坡進(jìn)行統(tǒng)一管理與備份。“項(xiàng)目組要用服務(wù)器必須向管理中心申請(qǐng)，由它批相應(yīng)的CPU空間?！币郧埃叢┬畔⒓夹g(shù)公司各項(xiàng)目組通常是用自己的項(xiàng)目預(yù)算購買服務(wù)器、自己進(jìn)行管理，“這樣信息資產(chǎn)非常容易被拷貝或遭到破壞”。如果江瑋建議的這項(xiàng)流程變革能夠?qū)崿F(xiàn)，他覺得“全公司的信息安全才真正有了保障”。

兼顧安全與效率

去年10月在美國納斯達(dá)克上市的上海如家酒店管理公司為了滿足塞班斯法案對(duì)信息系統(tǒng)安全的要求，正在企業(yè)內(nèi)部“緊急”推廣信息安全審計(jì)制度。如家的技術(shù)總監(jiān)鄧樹洪希望，自己能在信息系統(tǒng)的可控性與靈活性之間找到一個(gè)最佳平衡點(diǎn)——“在不到半年的時(shí)間里，既要讓我們的信息安全審計(jì)體系符合塞班斯法案，還要兼顧如家快速發(fā)展帶來流程經(jīng)常性變化。”于是，重新梳理流程、劃分責(zé)權(quán)利不可避免。與眾不同的是，鄧樹洪提出了“用IT來監(jiān)控IT”的理念，將信息安全審計(jì)制度通過他們自己開發(fā)的IT總控系統(tǒng)落實(shí)下去。

塞班斯法案對(duì)于企業(yè)來說，只是一個(gè)用于控制財(cái)務(wù)風(fēng)險(xiǎn)的框架性標(biāo)準(zhǔn)。通常企業(yè)在合規(guī)準(zhǔn)備階段，都會(huì)聘請(qǐng)外審機(jī)構(gòu)確定風(fēng)險(xiǎn)控制點(diǎn)。鄧樹洪在進(jìn)行總控系統(tǒng)的設(shè)計(jì)之前，與外審機(jī)構(gòu)有過幾次開誠布公的詳談，明確提出了自己的“最低標(biāo)準(zhǔn)和關(guān)鍵控制點(diǎn)”。

最終，這些關(guān)鍵控制點(diǎn)被確定為如家關(guān)鍵應(yīng)用系統(tǒng)中的5個(gè)控制層面——公司層面、開發(fā)/變更層面、日常操作層面、備份管理及安全控制層面。它們涵蓋了IT戰(zhàn)略規(guī)劃、IT風(fēng)險(xiǎn)評(píng)估、組織機(jī)構(gòu)/崗位職責(zé)、酒店管理系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)（數(shù)據(jù)采集系統(tǒng)、賬戶管理系統(tǒng)、后臺(tái)的采購平臺(tái)、CRS、CRM、財(cái)務(wù)管理系統(tǒng)、開發(fā)/變更）及IT系統(tǒng)的配置變更、重大故障等審批執(zhí)行等流程。這些關(guān)鍵點(diǎn)的任何操作、更改和變化都要被信息系統(tǒng)記錄下來，留待外審進(jìn)行審計(jì)。如家自行開發(fā)的IT總控系統(tǒng)全部覆蓋了這些關(guān)鍵控制點(diǎn)。

為了配合“監(jiān)控IT的IT系統(tǒng)”，如家還將內(nèi)部安全審計(jì)制度設(shè)計(jì)成一張大的流程控制表，把各個(gè)環(huán)節(jié)用流程號(hào)串起來?！斑@樣，當(dāng)一個(gè)新部門和一種新流程出現(xiàn)時(shí)，就相當(dāng)于在這個(gè)大表里加入一個(gè)模塊，只需把流程號(hào)重新排列一下，再串起來就是一個(gè)新流程；然后再根據(jù)流程定義相應(yīng)的責(zé)任人?！编嚇浜檎f。如今，如家的總控系統(tǒng)已可以做到一旦新流程確定后，幾個(gè)小時(shí)之內(nèi)就可以完成總控體系的更改，且完全能符合信息安全審計(jì)制度的要求。

安全鏈

艾默生網(wǎng)絡(luò)能源公司是全球最大的生產(chǎn)通信電源與相關(guān)設(shè)備的公司。最初，它的信息安全審計(jì)壓力來自摩托羅拉、愛立信、諾基亞等大客戶，于是它開始逐漸在企業(yè)內(nèi)部建立了信息安全管理與審計(jì)制度。在內(nèi)部制度建立完畢后，艾默生開始把“安全壓力”轉(zhuǎn)移到供應(yīng)鏈下游，它要求自己的供應(yīng)商也要接受相應(yīng)的安全審計(jì)?！拔覀円獜恼麠l供應(yīng)鏈上，保證信息安全體系的完整?！卑W(wǎng)絡(luò)能源公司信息工程部總監(jiān)郭云凌說。

由于外包業(yè)務(wù)的不斷發(fā)展和供應(yīng)鏈上不同企業(yè)間協(xié)同的增強(qiáng)，建立并對(duì)整條安全鏈進(jìn)行審計(jì)，可以保證自己的核心知識(shí)產(chǎn)權(quán)不被泄密。有關(guān)專業(yè)人士指出，這種針對(duì)“安全鏈”的信息安全審計(jì)將會(huì)在國內(nèi)大型制造企業(yè)中流行起來。

當(dāng)供應(yīng)商確定后，艾默生就會(huì)對(duì)它有定期或不定期的安全審計(jì)，看看供應(yīng)商承諾的信息安全保護(hù)措施是否真正落實(shí)了。從去年開始，對(duì)于新增的供應(yīng)商，艾默生實(shí)行了信息安全否決制——只要不符合他們的信息安全審計(jì)標(biāo)準(zhǔn)，就不能成為其供應(yīng)商。目前，艾默生已對(duì)兩家供應(yīng)商提出了基于網(wǎng)絡(luò)安全、病毒防護(hù)、數(shù)據(jù)保護(hù)、災(zāi)備等的審計(jì)標(biāo)準(zhǔn)。

郭云凌強(qiáng)調(diào)：“我們的信息安全體系必須與業(yè)務(wù)發(fā)展戰(zhàn)略相配合?！卑钚麓_立的業(yè)務(wù)發(fā)展目標(biāo)是在全球每個(gè)有研發(fā)的地方，都可以進(jìn)行產(chǎn)品設(shè)計(jì)；同時(shí)，這些產(chǎn)品還可以在各地的制造合作伙伴處生產(chǎn)出來。這就涉及到不同地理區(qū)域和公司之間的文檔信息交流，所以它的信息安全鏈必須保證全球戰(zhàn)略的實(shí)現(xiàn)，保證文檔信息在溝通和交流中不能出現(xiàn)泄密風(fēng)險(xiǎn)。

艾默生在通信電源和相關(guān)設(shè)備上，有著非常強(qiáng)的自主研發(fā)能力，每年申請(qǐng)的專利達(dá)上百個(gè)，“這構(gòu)成了公司最重要的信息資產(chǎn)”。這也決定了艾默生面臨的最大的信息安全威脅不是來自病毒或黑客攻擊，而是來自企業(yè)內(nèi)部。為此，2004年前后，艾默生開始建立自身的信息安全管理制度，信息安全審計(jì)制度作為管理體系的組成部分也在那時(shí)開始形成。郭云凌通過推動(dòng)信息安全委員會(huì)的建立，將保障信息安全提升到公司的戰(zhàn)略高度。這個(gè)信息安全委員會(huì)由CEO、CFO和所有副總經(jīng)理組成。在信息安全委員會(huì)的指導(dǎo)下，郭云凌領(lǐng)導(dǎo)的信息工程部下專設(shè)了信息安全部，由3個(gè)人全職負(fù)責(zé)一系列制度的執(zhí)行。此外，她還在在供應(yīng)鏈、研發(fā)、市場(chǎng)、客服和財(cái)務(wù)等各業(yè)務(wù)部門都設(shè)置了一個(gè)信息安全專員，他們由信息安全部統(tǒng)一管理。

信息安全審計(jì)

信息安全審計(jì)是一種針對(duì)信息系統(tǒng)安全和可信度，所提出的安全評(píng)估方法。它在身份鑒別、訪問控制、信息流控制、加密技術(shù)等多種安全措施的基礎(chǔ)上，通過對(duì)已獲得的數(shù)據(jù)進(jìn)行評(píng)估，以及對(duì)信息系統(tǒng)及環(huán)境連續(xù)性、完整性管理的考核，從而評(píng)估信息系統(tǒng)的安全性。

在上世紀(jì)70 年代，伴隨著多用戶、分時(shí)計(jì)算機(jī)系統(tǒng)的普及，信息安全審計(jì)作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來；后來，它在對(duì)信息系統(tǒng)依賴性最高的金融業(yè)開始普及。一般而言，信息安全審計(jì)的主要依據(jù)為相關(guān)標(biāo)準(zhǔn)，如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800 等。這些標(biāo)準(zhǔn)從不同角度提出信息安全控制體系，基于它們可以有效地控制信息安全風(fēng)險(xiǎn)。(ccw-CEOCIO)