《信息安全管理体系的实施过程》由会员分享,可在线阅读,更多相关《信息安全管理体系的实施过程(14页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系的实施过程 一、问题的提出 人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出,信息资产的比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善保护。长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对安全的认识被广泛误导。有相当一部分人认为黑客和病毒就已经涵盖了信息安全的
2、一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。 目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全
3、性的。 因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践,制定出周密的、系统的、适合组织自身需求的信息安全管理体系。 二、HTP模型 信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样
4、适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全可以由以下HTP模型来描述:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。HTP-“以
5、人为本”的信息安全模型 其中人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成得,70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广
6、,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,
7、使组织的风险降到可以接受的水平,保证组织的业务的连续性和商业价值最大化就达到了安全的目的。 信息安全不是一个孤立静止的概念,信息安全是一个多层面、多因素的、综合的、动态的过程。一方面,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基本上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性;另一方面,这个安全体系统还应当随着组织
8、环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。 1、 了解组织业务与组织文件2、 评估组织风险3、 建立组织的风险基线报告,了解风险4、根据国内信息安全建设的现状与特点并结合信息安全国际标准、行业标准以及通用最佳实践,并考虑实用性与易用性,我们提出以下实现信息的方法论及具体步骤。 信息安全的方法论:根据自顶向下,逐步求精的原则,根据组织的业务目标与安全要求,在风险评估的基础上,先建立并运行信息安全框架,初步达到粗粒度的信息安全;在完整的信息安全框架之上,建立“人力防火墙”与“技术防火墙”,在细粒度上的保证信息安全
9、;实施阶段性的信息系统审计,在持续不断的改进过程中保证信息的安全性、完整性、可用性,从而建立一套完整的信息安全管理体系。信息安全管理体系的实施过程 三、建立HTP信息安全的步骤: (一)在充分理解组织业务目标、组织文件及信息安全的条件下,通过ISO13335的风险分析的方法,通过建立组织的信息安全基线(Security Baseline),可以对组织的安全的现状有一个清晰的了解,并可以为以后进行安全控制绩效分析提供一个评价基础。 1理解组织业务与组织文化 充分了解组织业务是设计安全方案的前提,只有了解组织业务,才能发现并分析组织业务所处的风险环境,并在此基础上提出可能的安全保障措施;只有了解组
10、织业务,才可能定义出合理的安全投资规模和计划;只有了解组织业务,才能制定出合理的安全政策和制度。 对组织业务的了解包括对其业务内容、性质、目标及其价值进行分析,在信息安全中,业务一般是以资产形式表现出来,它包括信息/数据、软/硬件、无形资产、人员及其能力等。安全风险管理理论认为,对业务资产的适度保护对业务的成功至关重要。要实现对业务资产的有效保护,必须要对资产有很清晰的了解。 对组织文化及员工状况的了解有助于知道组织中员工的安全意识、心理状况和行为状况,为制定合理的安全政策打下基础。 2评估用户组织风险环境 ISO/IEC TR 13335-1把风险的定义为特定的威胁利用资产的一种或一组薄弱点
11、,导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估,即利用适当的风险评估工具、包括定性与定量的方法,确定资产风险等级和优先控制顺序。 风险可以表示为威胁发生的可能性、薄弱点被威胁利用的可能性和威胁的潜在影响的函数,记为: 通过风险评估,上图中位于“主要高商业风险”区域的风险对组织的安全水平有着显著的影响,是应主要加以控制的风险;位于“高可能性”和“高影响”区域的风险要根据组织的接受风险的能力,可适当加以控制;位于“低风险”区域的风险只要是处于组织可以接受的水平,一般可以忽略。 3准备安全基线分析报告 通过对组织业务特征、组织文化、安全意
12、识、人员状况及信息风险评估的综合分析,详细描述当前组织的信息安全状况,为进一步制定信息安全投资预算计划、信息安全投资回报分析、人员组织计划、建立安全体系、制定安全政策、引入安全控制措施而提供基础数据、辅助最高管理层对信息安全管理的计划与实践做出正确决策。 (二)根据安全基线分析报告,制定组织信息安全计划,包括组织建设计划、预算计划和投资回报计划 根据风险分析报告(安全基线分析报告),制定组织信息安全计划1、 组织建设计划2、 预算计划3、 ROI计划1 安全组织建设计划 在一个组织内实施信息安全的第一步是根据企业目标及安全方针,建立信息安全指导委员会,委员会要由组织高层领导挂帅,各职能部分相关
13、负责人参加,定期召开会议,对组织内的信息安全问题进行讨论并作为决策,为组织的信息安全提供指导与支持。主要职能有:审批信息安全方针、政策,分配信息安全管理职责;确认风险评估,审批信息安全预算计划及设施的购置;评审与监测信息安全措施的实施及安全事故的处理;对与信息安全管理有关的重大更改事项进行决策,协调信息安全管理队伍与各部门之间的关系。 其次是建立一支专业、高效的信息安全管理的队伍,一般由信息安全主管为核心,并由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后,为了加强对安全的统一管理,在美国有一种把安全保卫部门与信息安全部门合并的趋势,许多大公司设置一个首席安全官(Ch
14、ief Security Officer)职位,负责包括信息安全在内的所有安全事宜。由于首席安全官在组织的整体安全管理中有着举足轻重的作用,这就对首席安全官的管理素质、职业技能提出了全新的挑战。 2 安全预算计划 一般来说,没有特别的需要,为信息安全的投入不应超过信息化建设总投资额的15%,过高的安全成本将使安全失去意义。由于网络技术的发展,网络攻击工具唾手可得,再加上组织对信息化的依赖性越来越强,这在某种程度上造成信息安全的信息防御的成本越来越高,而攻击的成本则越来越低。所以安全预算计划是一项具有挑战性的工作,要采用“适度防范”的原则,把有限的资金用在刀刃上。 在制订预算计划时考虑以下几点:
15、 不应把部署所有安全产品与技术作为目标,因为某些风险可能并不存在,某些风险组织可以容忍和接受(不需要那些不必要的木板,以节省成本)。 没有必要去为追求信息安全的零风险加固所有的安全弱点,这些弱点可能因为成本、知识、文化、法律等方面的因素,没有人能利用它们(不需要无限厚度的木板,这可以减少成本)。 没有必要无限制地提高安全保护措施的强度:只需要将相应的风险降到可接受的程度即可(不需要无限高度的木板,只需要符合要求就好,这也可以降低成本)。 对安全保护措施的选择还要考虑到成本和技术等因素的限制(用给定数量的钱去打造一个能装尽可能多水的桶)。信息安全管理体系的实施过程 3投资回报计划 通常人们只是认
16、为信息安全只是花钱的部门,不能产生直接的经济效益。在一个企业内我们经常看到这样的情景:年终总结会上,销售经理们在为不断提高的销售业绩而沾沾自喜、弹冠相庆时,安全主管对自己的最高奖赏只能是向总经理汇报“平安无事”。 因此安全预算经常受到质疑,特别是在企业经营状态不佳时,首先受到压缩就是信息安全预算,然而企业决策者们往往没有意识到,过度压缩的安全预算会使企业蒙受很大的风险。 “911”事件中,当Morgan Stanley 集团和American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时,没有人完全怀疑灾难恢复计划的重要性;中国“SARS”肆虐时,成功实施业务持续性计划的亚信、摩托罗拉中国、台湾惠普等公司使人们看到面对这样的重大灾害时,企业怎样才能避免束手无策。 安全计划
