信息安全管理体系的实施过程.docVIP

信息安全管理体系的实施过程 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 信息平安管理体系的实施过程〔1〕 责任编辑：admin 　 更新日期：2005-8-6 信息平安管理体系的实施过程??? 一、问题的提出 人类正进入信息化社会，社会开展对信息资源的依赖程度越来越大，从人们日常生活、组织运作到国家管理信息资源都是不可或缺的重要资源，没有各种信息的支持，现代社会将不能生存和开展。在信息社会中，一方面信息已成为人类重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面计算机 技术的迅猛开展而带来的信息平安问题正变得日益突出，信息资产的比传统的实物资产更加脆弱，更容易受到损害，需要加以妥善保护。 长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，国内公众对平安的认识被广泛误导。有相当一局部人认为 黑客和病毒就已经涵盖了信息平安的一切威胁，似乎信息平安工作就是完全在与 黑客与病毒打交道，全面系统的平安解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息平安保护带来了不良影响。 目前，各厂商、各标准化组织都基于各自的角度提出了各种信息平安管理的体系标准，这些基于产品、 技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息平安的各个角度和整个生命周期来考察，现有的信息平安管理体系与标准是不够完备的，特别是忽略了组织中最活泼的因素――人的作用。考察国内外的各种信息平安事件，我们不难发现，在信息平安事件表象后面其实都是人的因素在起决定作用。不完备的平安体系是不能保证日趋复杂的组织信息系统平安性的。 因此，组织为到达保护信息资产的目的，应在“以人为本〞的根底上，充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理 效劳标准与最正确实践，制定出周密的、系统的、适合组织自身需求的信息平安管理体系。 二、HTP模型 信息平安的建立是一个系统工程，它需求对信息系统的各个环节进展统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的平安缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息平安。一个组织的信息平安水平将由与信息平安有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息平安水平。要实现信息平安目标，一个组织必须使构成平安防范体系这只“木桶〞的所有木板都要到达一定的长度。从宏观的角度来看，我们认为信息平安可以由以下HTP模型来描述：人员与管理(Human and management)、 技术与产品(Technology and products)、流程与体系(Process and Framework)。 HTP--“以人为本〞的信息平安模型 其中人是信息平安最活泼的因素，人的行为是信息平安保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的平安防线。统计结果说明，在所有的信息平安事故中，只有20%-30%是由于 黑客入侵或其他外部原因造成得，70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和 网络平安的全貌就会发现平安问题实际上都是人的问题，单凭 技术是无法实现从“最大威胁〞到“最可靠防线〞转变的。以往的各种平安模型，其最大的缺陷是忽略了对人的因素的考虑，在信息平安问题上，要以人为本，人的因素比信息平安 技术和产品的因素更重要。与人相关的平安问题涉及面很广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有平安方针政策程序、平安管理、平安教育与培训、组织文化、应急方案和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。 在信息平安的 技术防范措施上，可以综合采用商用密码、防火墙、防病毒、身份识别、 网络隔离、可信 效劳、平安 效劳、备份恢复、PKI 效劳、取证、 网络入侵陷阱、主动还击等多种 技术与产品来保护信息系统平安，但不应把部署所有平安产品与 技术和追求信息平安的零风险为目标，平安本钱太高，平安也就失去其意义。组织实现信息平安应采用“适度防范〞(Rightsizing)的原那么，就是在风险评估的前提下，引入恰当的控制措施，使组织的风险降到可以