企業(yè)信息的日常“武器”安全的審計

申請免費試用、咨詢電話：400-8352-114

在艾默生網(wǎng)絡(luò)能源公司位于深圳南山區(qū)科技園的大樓里，信息安全部經(jīng)理楊世斌正指導(dǎo)同事做電影剪輯。他面前的電腦屏幕上，尼古拉斯·凱奇剛剛通過再現(xiàn)密碼鎖上的指紋和對幾個數(shù)字排列組合的計算，破解了美國國家檔案館的密碼，閃身進(jìn)入機(jī)密檔案室，尋找隱藏著國家寶藏秘密的那份《獨立宣言》。

郭云凌: 我們要從整條供應(yīng)鏈上，保證信息安全體系的完整

這是美國大片《國家寶藏》中的經(jīng)典片斷，楊世斌小心地把這段剪下來，開始制作艾默生的信息安全宣傳錄像。自從2004年艾默生網(wǎng)絡(luò)能源公司建立信息安全審計制度和信息安全體系以來，他已制作了不少類似Flash、小電影，以加深員工對信息系統(tǒng)安全的認(rèn)識。

“保護(hù)神”

如今，IT系統(tǒng)幾乎普及應(yīng)用于企業(yè)運營的所有關(guān)鍵部分，因此一旦IT出現(xiàn)風(fēng)險將會帶來重創(chuàng)。于是，那些對IT系統(tǒng)依賴度強(qiáng)、組織結(jié)構(gòu)復(fù)雜的大型企業(yè)開始引進(jìn)信息安全審計制度，不斷“審視”自身的信息安全。

2006年底，畢博信息技術(shù)（上海）公司通過了ISO27001的認(rèn)證，成為中國第11個取得該認(rèn)證的企業(yè)。這是一項針對企業(yè)整體信息安全體系的認(rèn)證，通過它意味著企業(yè)的信息系統(tǒng)安全性得到了權(quán)威機(jī)構(gòu)的認(rèn)可。不過，通過認(rèn)證并不意味著一勞永逸，畢博以后不但需要每年兩次要“應(yīng)對”相關(guān)機(jī)構(gòu)的審計，它的IT部門還需要不斷根據(jù)業(yè)務(wù)與市場發(fā)展，更新IT系統(tǒng)安全標(biāo)準(zhǔn)，以保證持續(xù)取得認(rèn)證。據(jù)負(fù)責(zé)該項目的畢博信息技術(shù)公司高級IT經(jīng)理江瑋介紹，他們?yōu)榱巳〉谜J(rèn)證，“耗資巨大，單是硬件投資就有數(shù)十萬美元，另外還有數(shù)十萬美元用于改進(jìn)軟件系統(tǒng)”。此外，他們還做了多項重大流程修改。

對畢博信息技術(shù)公司而言，通過ISO27001認(rèn)證的好處顯而易見。畢博信息技術(shù)公司是畢博管理咨詢公司的全球研發(fā)中心，負(fù)責(zé)咨詢項目的IT系統(tǒng)研發(fā)部分，其承擔(dān)的很多項目都涉及客戶的核心流程與信息數(shù)據(jù)。2004年，畢博信息技術(shù)公司開始接到客戶對其IT系統(tǒng)進(jìn)行信息安全審計的要求；之后，有這種需求的客戶越來越多，在2007年的前5個月，已有10家客戶向它提出了信息安全審計的要求。

“過去，客戶請來外審機(jī)構(gòu)，要求我們改哪里就改哪里?！苯|說。然而隨著有類似需求的客戶逐年增加，“頭疼醫(yī)頭”的做法使得畢博信息技術(shù)公司不得不付出巨大成本。于是，它急需建立一套完備的日常信息安全審計制度，以覆蓋企業(yè)信息安全的方方面面，且得到市場認(rèn)可。參照國際通行的ISO27001改進(jìn)企業(yè)流程，建立相應(yīng)的信息安全保障制度，無疑可以給客戶吃下一顆定心丸——他們外包給畢博開發(fā)的信息系統(tǒng)與相關(guān)數(shù)據(jù)，都能得到“國際水平”的保護(hù)。

通過推進(jìn)ISO27001安全標(biāo)準(zhǔn)，江瑋將畢博信息技術(shù)公司相對松散的IT管理流程轉(zhuǎn)化為集中管理模式，通過IT部門的統(tǒng)一控制來降低信息安全風(fēng)險。他在客戶端的管理上，采用了“瘦客戶端”理念——員工對自己的電腦只有使用權(quán)，沒有管理權(quán)，電腦中的所有信息都由IT部門進(jìn)行統(tǒng)一管理和部署；用戶禁止用U盤，也不能在電腦上安裝、使用即時通信工具。

畢博信息技術(shù)公司借助引入ISO27001，還對管理流程進(jìn)行了重新梳理，在原有流程中加入了很多為保證信息安全而設(shè)立的環(huán)節(jié)，并建立了相應(yīng)的評估機(jī)制。以前，畢博信息技術(shù)公司基本沒有規(guī)范的IT故障報送流程，遇到IT故障的員工會直接給IT部門打電話，而IT部門也會隨便派一個IT人員處理故障。現(xiàn)在，他們增加了對IT故障的潛在風(fēng)險進(jìn)行評估和相應(yīng)處理的流程，故障從報送入口就被統(tǒng)一起來，事故有相應(yīng)人負(fù)責(zé)處理和記錄；報送記錄同時會被提交到IT工程師和系統(tǒng)分析團(tuán)隊，前者負(fù)責(zé)處理事故，后者負(fù)責(zé)評估風(fēng)險。

為了保證信息安全管理流程能落到實處，江瑋建立了相應(yīng)的制度。他將企業(yè)的硬件、軟件和數(shù)據(jù)、流程、人定義為4大信息資產(chǎn)，分別指定了明確的責(zé)任人，用白紙黑字的制度文件固定下來，并制定了評估標(biāo)準(zhǔn)與周期，確定了可量化的考核指標(biāo)，“這些都是為了避免問題發(fā)生時，出現(xiàn)互相扯皮的現(xiàn)象”。

信息安全一定無法離開IT技術(shù)的保障。在技術(shù)應(yīng)用上，江瑋同樣遵循了統(tǒng)一管理的思路。他在與總部進(jìn)行深入探討后，準(zhǔn)備在新加坡設(shè)立統(tǒng)一的亞太區(qū)管理中心，將轄區(qū)內(nèi)所有項目組的服務(wù)器都放在新加坡進(jìn)行統(tǒng)一管理與備份?！绊椖拷M要用服務(wù)器必須向管理中心申請，由它批相應(yīng)的CPU空間?！币郧埃叢┬畔⒓夹g(shù)公司各項目組通常是用自己的項目預(yù)算購買服務(wù)器、自己進(jìn)行管理，“這樣信息資產(chǎn)非常容易被拷貝或遭到破壞”。如果江瑋建議的這項流程變革能夠?qū)崿F(xiàn)，他覺得“全公司的信息安全才真正有了保障”。

兼顧安全與效率

去年10月在美國納斯達(dá)克上市的上海如家酒店管理公司為了滿足塞班斯法案對信息系統(tǒng)安全的要求，正在企業(yè)內(nèi)部“緊急”推廣信息安全審計制度。如家的技術(shù)總監(jiān)鄧樹洪希望，自己能在信息系統(tǒng)的可控性與靈活性之間找到一個最佳平衡點——“在不到半年的時間里，既要讓我們的信息安全審計體系符合塞班斯法案，還要兼顧如家快速發(fā)展帶來流程經(jīng)常性變化。”于是，重新梳理流程、劃分責(zé)權(quán)利不可避免。與眾不同的是，鄧樹洪提出了“用IT來監(jiān)控IT”的理念，將信息安全審計制度通過他們自己開發(fā)的IT總控系統(tǒng)落實下去。

塞班斯法案對于企業(yè)來說，只是一個用于控制財務(wù)風(fēng)險的框架性標(biāo)準(zhǔn)。通常企業(yè)在合規(guī)準(zhǔn)備階段，都會聘請外審機(jī)構(gòu)確定風(fēng)險控制點。鄧樹洪在進(jìn)行總控系統(tǒng)的設(shè)計之前，與外審機(jī)構(gòu)有過幾次開誠布公的詳談，明確提出了自己的“最低標(biāo)準(zhǔn)和關(guān)鍵控制點”。

最終，這些關(guān)鍵控制點被確定為如家關(guān)鍵應(yīng)用系統(tǒng)中的5個控制層面——公司層面、開發(fā)/變更層面、日常操作層面、備份管理及安全控制層面。它們涵蓋了IT戰(zhàn)略規(guī)劃、IT風(fēng)險評估、組織機(jī)構(gòu)/崗位職責(zé)、酒店管理系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)（數(shù)據(jù)采集系統(tǒng)、賬戶管理系統(tǒng)、后臺的采購平臺、CRS、CRM、財務(wù)管理系統(tǒng)、開發(fā)/變更）及IT系統(tǒng)的配置變更、重大故障等審批執(zhí)行等流程。這些關(guān)鍵點的任何操作、更改和變化都要被信息系統(tǒng)記錄下來，留待外審進(jìn)行審計。如家自行開發(fā)的IT總控系統(tǒng)全部覆蓋了這些關(guān)鍵控制點。

為了配合“監(jiān)控IT的IT系統(tǒng)”，如家還將內(nèi)部安全審計制度設(shè)計成一張大的流程控制表，把各個環(huán)節(jié)用流程號串起來?！斑@樣，當(dāng)一個新部門和一種新流程出現(xiàn)時，就相當(dāng)于在這個大表里加入一個模塊，只需把流程號重新排列一下，再串起來就是一個新流程；然后再根據(jù)流程定義相應(yīng)的責(zé)任人?！编嚇浜檎f。如今，如家的總控系統(tǒng)已可以做到一旦新流程確定后，幾個小時之內(nèi)就可以完成總控體系的更改，且完全能符合信息安全審計制度的要求。

安全鏈

艾默生網(wǎng)絡(luò)能源公司是全球最大的生產(chǎn)通信電源與相關(guān)設(shè)備的公司。最初，它的信息安全審計壓力來自摩托羅拉、愛立信、諾基亞等大客戶，于是它開始逐漸在企業(yè)內(nèi)部建立了信息安全管理與審計制度。在內(nèi)部制度建立完畢后，艾默生開始把“安全壓力”轉(zhuǎn)移到供應(yīng)鏈下游，它要求自己的供應(yīng)商也要接受相應(yīng)的安全審計。“我們要從整條供應(yīng)鏈上，保證信息安全體系的完整。”艾默生網(wǎng)絡(luò)能源公司信息工程部總監(jiān)郭云凌說。

由于外包業(yè)務(wù)的不斷發(fā)展和供應(yīng)鏈上不同企業(yè)間協(xié)同的增強(qiáng)，建立并對整條安全鏈進(jìn)行審計，可以保證自己的核心知識產(chǎn)權(quán)不被泄密。有關(guān)專業(yè)人士指出，這種針對“安全鏈”的信息安全審計將會在國內(nèi)大型制造企業(yè)中流行起來。

當(dāng)供應(yīng)商確定后，艾默生就會對它有定期或不定期的安全審計，看看供應(yīng)商承諾的信息安全保護(hù)措施是否真正落實了。從去年開始，對于新增的供應(yīng)商，艾默生實行了信息安全否決制——只要不符合他們的信息安全審計標(biāo)準(zhǔn)，就不能成為其供應(yīng)商。目前，艾默生已對兩家供應(yīng)商提出了基于網(wǎng)絡(luò)安全、病毒防護(hù)、數(shù)據(jù)保護(hù)、災(zāi)備等的審計標(biāo)準(zhǔn)。

郭云凌強(qiáng)調(diào)：“我們的信息安全體系必須與業(yè)務(wù)發(fā)展戰(zhàn)略相配合。”艾默生最新確立的業(yè)務(wù)發(fā)展目標(biāo)是在全球每個有研發(fā)的地方，都可以進(jìn)行產(chǎn)品設(shè)計；同時，這些產(chǎn)品還可以在各地的制造合作伙伴處生產(chǎn)出來。這就涉及到不同地理區(qū)域和公司之間的文檔信息交流，所以它的信息安全鏈必須保證全球戰(zhàn)略的實現(xiàn)，保證文檔信息在溝通和交流中不能出現(xiàn)泄密風(fēng)險。

艾默生在通信電源和相關(guān)設(shè)備上，有著非常強(qiáng)的自主研發(fā)能力，每年申請的專利達(dá)上百個，“這構(gòu)成了公司最重要的信息資產(chǎn)”。這也決定了艾默生面臨的最大的信息安全威脅不是來自病毒或黑客攻擊，而是來自企業(yè)內(nèi)部。為此，2004年前后，艾默生開始建立自身的信息安全管理制度，信息安全審計制度作為管理體系的組成部分也在那時開始形成。郭云凌通過推動信息安全委員會的建立，將保障信息安全提升到公司的戰(zhàn)略高度。這個信息安全委員會由CEO、CFO和所有副總經(jīng)理組成。在信息安全委員會的指導(dǎo)下，郭云凌領(lǐng)導(dǎo)的信息工程部下專設(shè)了信息安全部，由3個人全職負(fù)責(zé)一系列制度的執(zhí)行。此外，她還在在供應(yīng)鏈、研發(fā)、市場、客服和財務(wù)等各業(yè)務(wù)部門都設(shè)置了一個信息安全專員，他們由信息安全部統(tǒng)一管理。

信息安全審計

信息安全審計是一種針對信息系統(tǒng)安全和可信度，所提出的安全評估方法。它在身份鑒別、訪問控制、信息流控制、加密技術(shù)等多種安全措施的基礎(chǔ)上，通過對已獲得的數(shù)據(jù)進(jìn)行評估，以及對信息系統(tǒng)及環(huán)境連續(xù)性、完整性管理的考核，從而評估信息系統(tǒng)的安全性。

在上世紀(jì)70 年代，伴隨著多用戶、分時計算機(jī)系統(tǒng)的普及，信息安全審計作為保障信息系統(tǒng)安全的制度逐漸發(fā)展起來；后來，它在對信息系統(tǒng)依賴性最高的金融業(yè)開始普及。一般而言，信息安全審計的主要依據(jù)為相關(guān)標(biāo)準(zhǔn)，如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800 等。這些標(biāo)準(zhǔn)從不同角度提出信息安全控制體系，基于它們可以有效地控制信息安全風(fēng)險。(ccw-CEOCIO)