自20世紀(jì)80年代以來,由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,信息安全跨越了時間和空間。向全面而動態(tài)的整體體系建設(shè)方向發(fā)展?!感畔ⅰ箤⒏偁巸?yōu)勢起著舉足輕重的作用。但它同時也是柄雙刃劍,當(dāng)信息被意外或刻意的傳給惡意的接收者時,同樣的信息也可能導(dǎo)致一所機(jī)構(gòu)倒閉。
信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的一個體系。ISO/IEC 27001:2005 能協(xié)助機(jī)構(gòu)保護(hù)專利信息,同時也為制定統(tǒng)一的機(jī)構(gòu)保安標(biāo)準(zhǔn)搭建了一個平臺,更有助于提升安全管理的實(shí)務(wù)表現(xiàn)和增強(qiáng)機(jī)構(gòu)間商業(yè)往來的信心與信任。
企業(yè)信息安全管理面對的常見問題
1.ISO/IEC 27001:2005不是技術(shù)體系是管理體系
許多企業(yè)都以為信息安全管理體系是技術(shù)體系,需要強(qiáng)大的技術(shù)支持才能令自己的信息“萬無一失”。其實(shí)不然,信息安全重在管理,ISO 27001體系圍繞信息資產(chǎn)的三大要素為保密性、完整性與可用性,運(yùn)用風(fēng)險控制管理手段,通過實(shí)施可持續(xù)性的改進(jìn)循環(huán)體制,無限放大“管理”的效用,使得企業(yè)的信息安全得以保障。
其基本框架如下圖:
它的11個控制因素共可分為三個方面:
管理方面:資產(chǎn)管理;符合性;人力資源安全;業(yè)務(wù)連續(xù)性管理;溝通和營運(yùn)管理
技術(shù)方面:訪問控制;信息安全事件管理;信息系統(tǒng)獲取、開發(fā)和維護(hù)
物理方面:物理和環(huán)境安全
2.在風(fēng)險處置過程中所輸出的眾多信息安全管控措施難以統(tǒng)一規(guī)劃,并且缺少各項(xiàng)控制措施與信息安全風(fēng)險的一一對應(yīng)
在風(fēng)險評估的過程中將會全面、系統(tǒng)地對企業(yè)的各項(xiàng)信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險分析,系統(tǒng)的分析出企業(yè)所面臨的各項(xiàng)風(fēng)險,并對各項(xiàng)風(fēng)險采取合理、有效的管控措施。在風(fēng)險評估的過程中,企業(yè)所面臨的信息安全風(fēng)險的類別,以及每一類信息風(fēng)險中實(shí)際風(fēng)險的個數(shù)無疑是非常大的,并且不同類別的信息安全風(fēng)險所采取管控措施的優(yōu)先級也有很大的差別,如何對數(shù)量龐大的風(fēng)險及管控措施進(jìn)行合理的規(guī)劃,對于企業(yè)來說無疑是一個很大的難題,尤其對于組織規(guī)模比較龐大的企業(yè)更是如此,因此如何對風(fēng)險評估后的管控措施進(jìn)行統(tǒng)一、合理的規(guī)劃至關(guān)重要。
3.信息安全管理體系中的各級文件、模板及記錄很難有條理地進(jìn)行管理
信息安全管理體系擁有為數(shù)眾多的文檔化的方針、策略、規(guī)范、制度,并在體系運(yùn)行的過程中將產(chǎn)生大量的記錄,如何對這些文件進(jìn)行分門別類的管理,并且很好的對其中的邏輯性與一致性進(jìn)行控制,這對于體系維護(hù)人員來講是一個不大不小的難題。
4.體系實(shí)施及運(yùn)作過程中關(guān)鍵的活動(如體系測量、組織內(nèi)審、管理評審等)的策略、實(shí)施、記錄很難系統(tǒng)化、程序化
信息安全管理體系在進(jìn)行PDCA循環(huán)運(yùn)行中,控制措施測量、內(nèi)審及管理評審是體系進(jìn)行持續(xù)改進(jìn)的發(fā)動機(jī),但是,由于這些活動關(guān)系到企業(yè)的各個部門,組織、策劃、協(xié)調(diào)起來非常的困難,因此,如何將這些活動的組織策劃自動化、實(shí)施程序系統(tǒng)化,并且實(shí)施過程記錄完整化是體系推行人員一個非常大的挑戰(zhàn)。
PDCA模型應(yīng)用與信息安全管理體系過程
5.其他面對的問題
除了以上問題外,缺少跨部門的信息安全協(xié)調(diào)機(jī)制;軟件知識產(chǎn)權(quán)保護(hù)欠缺;硬件設(shè)施不健全;缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃;等等,也是信息安全管理方面亟待解決的方面。
6. 信息安全確保公司資產(chǎn)有效、安全運(yùn)營
信息安全-保護(hù)信息保密性、完整性和可用性;另外,其他特性如真實(shí)性、可確認(rèn)性、不可否認(rèn)性和可靠性也可以包括在內(nèi)
關(guān)鍵三要素:
保密性:信息被獲取或泄露給未經(jīng)授權(quán)的個人、實(shí)體或流程
完整性:保護(hù)資產(chǎn)準(zhǔn)確和完整
可用性:資產(chǎn)僅對授權(quán)人員在需要的時候是可訪問的或可用的
中標(biāo)聯(lián)將國際先進(jìn)的信息安全管理體系標(biāo)準(zhǔn)引入客戶企業(yè),輔助客戶建立信息安全管理體系。借助扎實(shí)的ISO27001理論研究基礎(chǔ)、豐富的咨詢經(jīng)驗(yàn)、可靠的服務(wù)管理體系、專業(yè)的咨詢顧問和正規(guī)的服務(wù)資質(zhì),依據(jù) BS7799/ISO27001 等國際標(biāo)準(zhǔn),提供 ISMS 體系咨詢和實(shí)施服務(wù)。從管理、技術(shù)、人員、過程的角度來計(jì)劃、建立、實(shí)施、核查信息安全管理體系。保障組織的信息安全 “ 滴水不漏 ”,確保組織業(yè)務(wù)的持續(xù)運(yùn)營、持續(xù)改善。維護(hù)企業(yè)的競爭優(yōu)勢增加客戶、合作伙伴和相關(guān)人士對機(jī)構(gòu)的信心、提升營運(yùn)收入,并為機(jī)構(gòu)帶來更多商機(jī)。
1.按照標(biāo)準(zhǔn)信息安全管理辦法,對企業(yè)涉及風(fēng)險評估人員進(jìn)行系統(tǒng)的培訓(xùn)
通常企業(yè)都會通過聘請外部顧問以項(xiàng)目的形式,來進(jìn)行自身信息安全管理體系的建設(shè),能夠最大程度發(fā)揮咨詢顧問的經(jīng)驗(yàn),使企業(yè)不會在體系的建設(shè)過程中迷失方向,但是,在項(xiàng)目結(jié)束咨詢顧問撤場后,企業(yè)內(nèi)部體系推行人員卻顯得無所適從。
為了有效避免上述情況,中標(biāo)聯(lián)為企業(yè)人員提供培訓(xùn)服務(wù),有效提高全體員工,特別是各級領(lǐng)導(dǎo)的信息安全意識和能力,包括:
1) 信息安全管理意識培訓(xùn);
2) 風(fēng)險分析評估方法培訓(xùn);
3) 信息安全管理體系文件編寫培訓(xùn);
4) 信息安全管理體系文件實(shí)施培訓(xùn);
注:根據(jù)客戶的實(shí)際狀況,對上述培訓(xùn)進(jìn)行調(diào)整。
2. 建立科學(xué)合理的信息安全風(fēng)險評估過程
利用風(fēng)險評估軟件完成全部風(fēng)險評估、選擇適宜的控制目標(biāo)與控制方式、確定控制方式、一鍵自動生成風(fēng)險評估所需的全部資料和清單。
風(fēng)險管理是信息安全管理體系建立的基礎(chǔ)。完整的風(fēng)險管理包括資產(chǎn)識別、資產(chǎn)估值、風(fēng)險分析、風(fēng)險評價、風(fēng)險處理和剩余風(fēng)險評估等過程,這些過程需要處理大量的數(shù)據(jù),而資產(chǎn)、資產(chǎn)屬性、威脅、薄弱點(diǎn)、事件的影響、發(fā)生的可能性、控制措施等風(fēng)險評估要素隨著評估過程、溝通過程、監(jiān)視和評審過程、重復(fù)的評估過程而不斷變化,需要不斷的重復(fù)的進(jìn)行大量的數(shù)據(jù)處理,所以,單純用手工的的方式很難準(zhǔn)確、快速的完成風(fēng)險管理過程,也不利于管理者對評估進(jìn)度和評估質(zhì)量的督促和監(jiān)控,必須借助于風(fēng)險評估和風(fēng)險管理工具軟件,以大幅度降低各部門參與風(fēng)險評估人員的工作量,并隨時掌握各部門的風(fēng)險評估情況,提高工作效率、保證風(fēng)險評估結(jié)果的及時、真實(shí)、可靠。
而且,采用風(fēng)險評估軟件進(jìn)行風(fēng)險評估,評估的數(shù)據(jù)保管在服務(wù)器上,能夠避免評估資料被咨詢公司人員或內(nèi)部人員泄露。風(fēng)險評估是一把雙刃劍,組織可以通過風(fēng)險評估,發(fā)現(xiàn)風(fēng)險,進(jìn)而控制風(fēng)險。但是,風(fēng)險評估結(jié)果本身對組織也是一項(xiàng)威脅,如果保管不當(dāng),被泄漏出去,則攻擊者將全面了解組織的風(fēng)險所在,可以發(fā)起有的放矢的攻擊。因此,必須妥善保護(hù)風(fēng)險評估的結(jié)果。傳統(tǒng)的風(fēng)險評估一般利用Excel表格來完成,非常容易被利用E-mail,U盤等媒體傳遞,造成風(fēng)險。
3.嵌套體系文件信息平臺,通過分級授權(quán)、信息加密技術(shù),有效控制企業(yè)的信息安全
企業(yè)各類管理文件的信息安全管理是企業(yè)所面臨的一項(xiàng)極為重要的工作。“體系文件信息平臺”可以按照公司文件的重要度和保密性可進(jìn)行分級授權(quán),可以對不同的登錄賬號授權(quán),也可針對單獨(dú)的某些文件授權(quán)。系統(tǒng)限制非法下載打印;如內(nèi)部需要學(xué)習(xí)下載打印的文件,系統(tǒng)可自動增加帶由公司標(biāo)志的水印。
另外系統(tǒng)可定期自動備份;可隨時在線監(jiān)控并記錄所有在線進(jìn)行文件操作的所有賬戶,對異常情況隨時處理。上述功能可有利的確保公司各類管理文件的信息安全。
4.中標(biāo)聯(lián)嚴(yán)格按照企業(yè)定制的咨詢流程對企業(yè)進(jìn)行信息安全管理體系的認(rèn)證服務(wù)
1)將國際先進(jìn)的信息安全管理體系標(biāo)準(zhǔn)引入企業(yè),輔助客戶建立信息安全體系;
2)建立科學(xué)合理的信息安全風(fēng)險評估過程,利用風(fēng)險評估軟件完成全部風(fēng)險評估、自動生成風(fēng)險評估所需的全部資料和清單;
3)通過信息安全管理體系建立和運(yùn)行,消除信息安全隱患,保護(hù)關(guān)鍵的信息資產(chǎn);
4)提高全體員工,特別是各級領(lǐng)導(dǎo)的信息安全意識和能力;
5)提高客戶企業(yè)的信息安全管理水平;
6)按計(jì)劃獲得第三方認(rèn)證機(jī)構(gòu)頒發(fā)的ISO27001證書。
注:根據(jù)客戶的具體要求,對上述目標(biāo)進(jìn)行調(diào)整;
1、某全球電子商務(wù)企業(yè)ISO27001&ISO9001建設(shè)與認(rèn)證項(xiàng)目
項(xiàng)目概況:
該公司為全球商務(wù)的技術(shù)領(lǐng)軍者,處理著各種數(shù)據(jù)和支付交易,為540萬個商戶網(wǎng)點(diǎn)、2000多個發(fā)卡機(jī)構(gòu)及其6億多持卡人提供從端到端的支付服務(wù)。該公司符合中國監(jiān)管機(jī)構(gòu)、卡組織、PCI認(rèn)證,自2002年以來,該公司在大中華區(qū)先后擁有了中國工商銀行,中國農(nóng)業(yè)銀行,中國光大銀行,Cetelem,平安銀行,交通銀行(香港),中銀國際,臺灣華南銀行等客戶, 提供多種服務(wù)和運(yùn)營模式如外包處理、軟件許可、綜合管理服務(wù)、系統(tǒng)建制并轉(zhuǎn)交。
該公司的業(yè)務(wù)涉及到眾多信用卡用戶以及客戶的信息安全,公司領(lǐng)導(dǎo)層也非常重視公司的信息安全管理工作以及服務(wù)質(zhì)量,因此該公司決定建立全面的信息安全管理體系和質(zhì)量管理體系,提高公司的服務(wù)質(zhì)量和信息安全管理水平,從而更好地保護(hù)公司及客戶的信息安全。
中標(biāo)聯(lián)解決方案: