如何保障业务信息安全与系统运行安全,已经成为企业内部控制的重要任务之一。企业內控体系建设是一个复杂而且浩大的工程,目前不缺乏完整的内控体系理论,但如何把如此复杂的工程进行细化与落地,则需要一些实际适用的方法。下面如何建设完整的信息安全保障体系的方法与步骤,可以作为内控体系建设的参考方法。

　　建立有效信息安全保障体系的前提

　　随着信息技术的发展,绝大部分企业的业务模式离不开信息系统的支持,业务在新的电子化模式下如何得到有效安全保障,特别是如何保障系统运行安全与业务信息安全,已成为企业内部控制的重要任务之一。信息安全已经从部署防火墙、防病毒软件等单一的技术手段,发展到建立整体化的信息安全保障体系,因此信息安全保障体系的规划与建设就显得尤为重要。

　　信息安全不仅仅是it部门的工作,也是需要公司所有部门和员工共同实现的一项日常工作,因此信息安全保障体系的建设是一个复杂而且长期的过程。以下要素是有效建立信息安全保障体系的重要前提:

　　业务驱动

　　信息安全任务的实施一定要从业务的角度出发,在实施时必须时刻考虑到业务的需求,在信息安全建设过程中获得业务部门的支持与配合,共同推动信息安全建设的开展。

　　长期可靠的合作伙伴

　　良好的合作伙伴对于保证信息安全建设能够成功实施是十分重要的。通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。

　　高层的支持

　　信息安全任务通常情况下会涉及到企业的各个部门的参与、配合乃至利益关系,因此在实施过中需要企业高层的支持,以分配必要的资源,推动跨部门协作,保证项目的顺利实施。

　　有效的实施管理和监控

　　为了获取体系建设的最大收益,尽可能降低风险,需要落实强有力的实施管理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和监控。

　　各企业的企业文化差异,可能会有不同的影响因素,但是以上四个因素是任何企业在开展信息安全工作是要充分考虑的因素,否则很可能会把这项工作成果束之高阁。

　　信息安全保障体系框架模型

　　如何建立信息安全保障框架?国内外有哪些标准或者指南可以参考?这是建立一个合理的信息安全保障体系框架的基础。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是iso/iec27000系列标准。iso/iec 27001通过pdca过程(即戴明环),指导企业如何建立可持续改进的体系。

　　其次, 美国国家安全局提出的信息保障技术框架(information assurance technical framework,iatf)是另一个可以参照的有效框架。iatf创造性地提出了信息保障依赖于人、技术和操作来共同实现组织职能和业务运作的思想,对技术和信息基础设施的管理也离不开这三个要素。iatf认为,稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。

　　此外,bs25999提出业务连续性是一个企业业务保障的重要方法,iscaca组织的信息系统审计师cisa教程认为it审计是保障组织建立有效控制的重要手段等等。

　　企业如何综合利用这么多的理论框架,建立适合于自身的信息安全保障体系?依据作者的多年经验,认为一个企业可以按照如图1“企业信息安全保障框架”所示的框架进行建设:

　　信息安全保障应当建立纵深防御体系,什么是纵?什么是深?如图1所示,纵的是有三个层面(事前、事中、事后)全面控制;深的是从五个方向(安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应急体系)进行深入防御。

　　纵

　　正如信息安全这四个字所表现一样,以保护信息为其最重要的目的。那么就应当对信息安全事件发生的之前、之中和之后进行有效控制。即以预防控制为主,但是也不能忽略操作性控制和恢复性控制。因此,应当从信息的事前预防、事中监控和事后恢复三个层面建设信息安全。

　　深

　　信息安全涉及的领域非常广,以人员、硬件、数据、软件等方面都会涉及。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面的深度进行概括。

　　组织

　　人是实施信息安全的最关键的因素,人控制好了,信息安全就控制

　　好了。因此成立一个合理和有效的安全组织架构,对于保证安全日常运行是最重要的。建立一个成功的信息安全组织体系有很多关键环节,但是组织高级管理层的参与、安全纳入绩效考核、人员信息安全意识与技能培训是必不可少的成功因素。

　　制度

　　把信息安全好的做法固化下来形成规则,就是制度。因此,信息安全制度是组织中信息安全行为准则。信息安全保障体系只有做到制度化、规范化才能更好地保证事前预防、事中监控、和事后审计等安全措施的执行与落实。

　　技术

　　技术是安全必不可少的实施工具,采取哪些安全技术,市场上有哪些工具可以使用,这是绝大部分信息安全管理工作者最关心的话题。一般来说,可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。信息安全工具种类繁多,一般来说,每一种工具都有其擅长的安全方面,因此应按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。最后,需要一到两种提供综合管理的工具来帮助把所有的安全监控工具近进行统一管控。这个和最终希望呈现给使用者的目的不同有所不同。例如soc(安全运行中心)是给企业日常维护管理者使用,itrm(风险管理工具)作为综合风险呈现,是给企业风险或安全管理层使用。

　　运行

　　技术体系更多是解决安全风险点的问题。也就是我们常说的“就事论事”:有病毒杀病毒,有漏洞补漏洞等等。但是我们知道,信息分散在一系列工作流程中各个环节中,因此需要对各项日常运行工作流程进行安全控制,也就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。目前受到热捧的开发安全就是在信息创建阶段的一个细化控制手段。在运行体系建设中,往往需要结合itil、cobit等流程分析来关注信息的生命周期安全。

　　应急

　　自美国“9.11”事件以后,业务连续性的重要程度提到了前所未有的高度。包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是bs25999标准的颁布,给如何建立一套完善的应急体系提供了参考。

　　信息安全保障体系的建设

　　以上对如何构建完整的信息安全保障体系提供了一个方法模型,但是在企业中建立有效的保障体系是一个长期的过程,各企业应当根据自身实际情况,制定一个三到五年的中长期建设规划。一般来说,企业建立信息安全保障体系有如下几个步骤:

　　1) 全面分析企业的信息安全现状;

　　2) 提供信息安全战略和安全架构建议;

　　3) 制定企业信息安全保障建设规划;

　　4) 对规划中的项目提出初步实施方案,对近期实施的重点项目进行可行性研究。

　　相信对于第1)到第3)步很多企业都熟知,但是对于哪些属于重点是近期实施项目,可能会有不同的看法与意见。为了能够更加合理安排实施计划,可以对在未来三年内计划实施的信息安全控制措施进行汇总后确定出需要实施的项目,从项目紧迫性、项目可实施性、项目实施难易程度和项目预期效果等四个角度进行综合分析和量化评价,确定项目实施的优先级,制订安全项目实施时间表的过程。如图2所示,根据每个阶段不同目标,制定不同的是建设计划。

　　it内控建设是属于企业内控建设的重要组成部分,而信息安全保障体系的建设则是it内控建设的落地方法。内控体系建设本身就是一个复杂而且浩大的工程,目前都不缺乏完整的内控体系理论,但如何把如此复杂的工程进行细化、分类和落地,则需要一些实用的方法与步骤。作者依据多年的咨询经验,提出了如何建设完整的信息安全保障体系的前提、框架及过程,对当前企业的信息安全体系建设具有一定的参考意义。