企业信息安全保障体系建设要点.docVIP

企业信息安全保障体系建设要点 2012-04-10 18:15 出处：pconline 作者：佚名 责任编辑： pcnanjing (评论0条) 如何保障业务信息安全与系统运行安全，已经成为企业内部控制的重要任务之一。企业內控体系建设是一个复杂而且浩大的工程，目前不缺乏完整的内控体系理论，但如何把如此复杂的工程进行细化与落地，则需要一些实际适用的方法。下面如何建设完整的信息安全保障体系的方法与步骤，可以作为内控体系建设的参考方法。　　建立有效信息安全保障体系的前提　　随着信息技术的发展，绝大部分企业的业务模式离不开信息系统的支持，业务在新的电子化模式下如何得到有效安全保障，特别是如何保障系统运行安全与业务信息安全，已成为企业内部控制的重要任务之一。信息安全已经从部署防火墙、防病毒软件等单一的技术手段，发展到建立整体化的信息安全保障体系，因此信息安全保障体系的规划与建设就显得尤为重要。　　信息安全不仅仅是IT部门的工作，也是需要公司所有部门和员工共同实现的一项日常工作，因此信息安全保障体系的建设是一个复杂而且长期的过程。以下要素是有效建立信息安全保障体系的重要前提：　　业务驱动：信息安全任务的实施一定要从业务的角度出发，在实施时必须时刻考虑到业务的需求，在信息安全建设过程中获得业务部门的支持与配合，共同推动信息安全建设的开展。　　长期可靠的合作伙伴：良好的合作伙伴对于保证信息安全建设能够成功实施是十分重要的。通过长期可靠的合作关系，快速引进外部专业资源和先进技术，可以帮助企业推动信息安全建设工作。　　高层的支持：信息安全任务通常情况下会涉及到企业的各个部门的参与、配合乃至利益关系，因此在实施过中需要企业高层的支持，以分配必要的资源,推动跨部门协作，保证项目的顺利实施。　　有效的实施管理和监控：为了获取体系建设的最大收益，尽可能降低风险，需要落实强有力的实施管理和监控措施，在跟踪总体计划的同时，合理安排各任务的进度和资源，强化对各任务/子任务的管理和监控。　　各企业的企业文化差异，可能会有不同的影响因素，但是以上四个因素是任何企业在开展信息安全工作是要充分考虑的因素，否则很可能会把这项工作成果束之高阁。　　信息安全保障体系框架模型　　如何建立信息安全保障框架?国内外有哪些标准或者指南可以参考?这是建立一个合理的信息安全保障体系框架的基础。当前有很多非常好的综合性标准与规范可以参考，其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程(即戴明环)，指导企业如何建立可持续改进的体系。　　其次， 美国国家安全局提出的信息保障技术框架(Information Assurance Technical Framework，IATF)是另一个可以参照的有效框架。IATF创造性地提出了信息保障依赖于人、技术和操作来共同实现组织职能和业务运作的思想，对技术和信息基础设施的管理也离不开这三个要素。IATF认为，稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。　　此外，BS25999提出业务连续性是一个企业业务保障的重要方法，ISCACA组织的信息系统审计师CISA教程认为IT审计是保障组织建立有效控制的重要手段等等。　　企业如何综合利用这么多的理论框架，建立适合于自身的信息安全保障体系?依据作者的多年经验，认为一个企业可以按照如图1“企业信息安全保障框架”所示的框架进行建设: 信息安全保障应当建立纵深防御体系，什么是纵?什么是深?如图1所示，纵的是有三个层面(事前、事中、事后)全面控制;深的是从五个方向(安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应急体系)进行深入防御。　　纵：正如信息安全这四个字所表现一样，以保护信息为其最重要的目的。那么就应当对信息安全事件发生的之前、之中和之后进行有效控制。即以预防控制为主，但是也不能忽略操作性控制和恢复性控制。因此，应当从信息的事前预防、事中监控和事后恢复三个层面建设信息安全。　　深：信息安全涉及的领域非常广，以人员、硬件、数据、软件等方面都会涉及。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面的深度进行概括。　　组织：人是实施信息安全的最关键的因素，人控制好了，信息安全就控制好了。因此成立一个合理和有效的安全组织架构，对于保证安全日常运行是最重要的。建立一个成功的信息安全组织体系有很多关键环节，但是组织高级管理层的参与、安全纳入绩效考核、人员信息安全意识与技能培训是必不可少的成功因素。　　制度：把信息安全好的做法固化下来形成规则，就是制度。因此，信息安全制度是组织中信息安全行为准则。信息安全保障体系只