| |
 |
| |
| 对于一个组织来说,比较切实可行的第一步是建立信息安全管理框架。 |
| |
按照英国国家标准局制定的 BS7799-1 《信息安全管理实践规范》和 BS7799-2 《信息安全管理体系规范》,可以帮助在
组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个
最佳的实践指导。 |
| |
| 制定组织信息安全计划
|
一、安全组织建设计划
在一个组织内实施信息安全的第一步,是根据企业目标及安全方针,建立信息安全指导委员会。委员会要由组织高层领导
挂帅,各职能部分相关负责人参加,定期召开会议,对组织内的信息安全问题进行讨论并作为决策,目的是为组织的信息安全
提供指导与支持。 |
| |
信息安全指导委员会的主要职能有:审批信息安全方针、政策,分配信息安全管理职责;确认风险评估,审批信息安全预
算计划及设施的购置;评审与监测信息安全措施的实施及安全事故的处理;对与信息安全管理有关的重大更改事项进行决策,
协调信息安全管理队伍与各部门之间的关系。 |
| |
其次是建立一支专业、高效的信息安全管理的队伍,一般由信息安全主管为核心,并由信息安全日常管理、信息安全技术
操作两方面的人员组成。在“911”事件以后,为了加强对安全的统一管理,在美国有一种把安全保卫部门与信息安全部门合
并的趋势,许多大公司设置一个首席安全官( Chief Security Officer )职位,负责包括信息安全在内的所有安全事宜。由
于首席安全官在组织的整体安全管理中有着举足轻重的作用,这就对首席安全官的管理素质、职业技能提出了全新的挑战。 |
| |
二、安全预算计划
一般来说,没有特别的需要,为信息安全的投入不应超过信息化建设总投资额的15%,过高的安全成本将使安全失去意义。 |
| |
由于网络技术的发展,网络攻击工具唾手可得,再加上组织对信息化的依赖性越来越强,这在某种程度上造成信息安全的
信息防御的成本越来越高,而攻击的成本则越来越低。所以安全预算计划是一项具有挑战性的工作,要采用“适度防范”的原
则,把有限的资金用在刀刃上。 |
| |
| 在制订预算计划时考虑以下几点: |
| |
| 首先,不应把部署所有安全产品与技术作为目标,因为某些风险可能并不存在,某些风险组织可以容忍和接受。 |
| |
| 其次,没有必要去为追求信息安全的零风险,加固所有的安全弱点,这些弱点可能因为成本、知识、文化、法律等方面的
因素,没有人能利用它们。 |
| |
| 第三,没有必要无限制地提高安全保护措施的强度,只需要将相应的风险降到可接受的程度即可。
|
| 对安全保护措施的选择还要考虑到成本和技术等因素的限制。 |
| |
三、投资回报计划
通常人们只是认为信息安全只是花钱的部门,不能产生直接的经济效益。 |
| |
在一个企业内我们经常看到这样的情景:年终总结会上,销售经理们在为不断提高的销售业绩而沾沾自喜、弹冠相庆时,
安全主管对自己的最高奖赏只能是向总经理汇报“平安无事”。 因此安全预算经常受到质疑,特别是在企业经营状态不佳时,
首先受到压缩就是信息安全预算,然而企业决策者们往往没有意识到,过度压缩的安全预算,往往会使企业蒙受很大的风险。 |
| |
“911”事件中,当 Morgan Stanley 集团和 American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时, 没有人怀疑灾难恢复计划的重要性;“ SARS ”肆虐时,成功实施业务持续性计划的亚信、摩托罗拉、惠普等公司使人们看到
面对这样的重大灾害时,企业怎样才能避免束手无策。 |
| |
安全计划只有在安全事例发生后,才能证明其价值,然而只有在安全事件发生前,取得企业决策者们的支持才更有意义。
这就需要安全主管与企业决策者们进行有效的沟通,不要企图用高深的技术数据说服高层管理者们。这样往往适得其反,安全
主管与决策者们的最佳沟通方式就是投资回报计划,安全主管应当为安全预算做出一份有说服力的投资回报计划,来获得决策
者们的理解与支持。 |
| |
| 信息安全投资回报计划就是要研究信息安全的成本效益,其成本效益组成如下: |
 |
◆从系统生命周期看信息安全的成本:获取成本和运行成本;
◆从安全防护手段看信息安全的成本:技术成本和管理成本;
◆信息安全的价值效益:减少信息安全事故的经济损失;
◆信息安全的非价值效益:增加声誉、提升品牌价值。 |
| |
建立信息安全管理框架
对于一个组织来说,比较切实可行的第一步的是建立信息安全管理框架。如果没有一个完整的管理框架和有效的过程来
保证组织中的人员能理解他们的安全责任与义务,并建立基本的有效的控制措施,那么再好的安全技术也不能保证组织的信
息安全。试想:有什么样的先进技术能防止员工的有意泄漏和故意破坏?没有高层管理人员的承诺和明确的安全方针,信息
安全是只能是空中楼阁。 |
| |
按照英国国家标准局制定的 BS7799-1 《信息安全管理实践规范》和 BS7799-2 《信息安全管理体系规范》,可以帮助
在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上
一个最佳的实践指导。建立框架后,再通过种细粒度的安全措施—“技术防火墙”和“人力防火墙”,就有可能建立起完备
信息安全管理体系。 |
| |
BS7799-1 已于 2000 年 12 月被国际标准化组织采纳,成为ISO17799 ,我国也即将采用成为 CNS17799 ,因此在国内
组织采纳 BS7799-1 是适宜的。BS7799-1 包含100多个安全控制措施来帮助组织识别在运做过程中对信息安全有影响
的元素。这 100 多个控制措施被分成 10 个方面,成为组织实施信息安全管理的实用指南,这十个方面分别是:方针、安全
组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律
符合。 |
| |
BS7799-2是一个体系规范,可以使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立
信息安全管理体系,包括以下几个主要步骤: |
| |
| 建立信息管理框架:设立方向、信息安全目标,定义信息安全方针,同时管理层应承诺该方针。 |
| |
| 评审组织的信息安全风险,投资控制措施需要在信息的价值、所面临的风险和这些风险对组织运营的影响间保持一个平衡。 |
| |
选择和实施控制措施,是确定的安全风险减少到可接受的程度。不同的组织将选择不同的控制措施。 |
|
