自20世紀(jì)80年代以來,由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,信息安全跨越了時(shí)間和空間。向全面而動(dòng)態(tài)的整體體系建設(shè)方向發(fā)展。「信息」對(duì)建立競(jìng)爭(zhēng)優(yōu)勢(shì)起著舉足輕重的作用。但它同時(shí)也是柄雙刃劍,當(dāng)信息被意外或刻意的傳給惡意的接收者時(shí),同樣的信息也可能導(dǎo)致一所機(jī)構(gòu)倒閉。
信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險(xiǎn)和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的一個(gè)體系。ISO/IEC 27001:2005 能協(xié)助機(jī)構(gòu)保護(hù)專利信息,同時(shí)也為制定統(tǒng)一的機(jī)構(gòu)保安標(biāo)準(zhǔn)搭建了一個(gè)平臺(tái),更有助于提升安全管理的實(shí)務(wù)表現(xiàn)和增強(qiáng)機(jī)構(gòu)間商業(yè)往來的信心與信任。
企業(yè)信息安全管理面對(duì)的常見問題
1.ISO/IEC 27001:2005不是技術(shù)體系是管理體系
許多企業(yè)都以為信息安全管理體系是技術(shù)體系,需要強(qiáng)大的技術(shù)支持才能令自己的信息“萬無一失”。其實(shí)不然,信息安全重在管理,ISO 27001體系圍繞信息資產(chǎn)的三大要素為保密性、完整性與可用性,運(yùn)用風(fēng)險(xiǎn)控制管理手段,通過實(shí)施可持續(xù)性的改進(jìn)循環(huán)體制,無限放大“管理”的效用,使得企業(yè)的信息安全得以保障。
其基本框架如下圖:
它的11個(gè)控制因素共可分為三個(gè)方面:
管理方面:資產(chǎn)管理;符合性;人力資源安全;業(yè)務(wù)連續(xù)性管理;溝通和營(yíng)運(yùn)管理
技術(shù)方面:訪問控制;信息安全事件管理;信息系統(tǒng)獲取、開發(fā)和維護(hù)
物理方面:物理和環(huán)境安全
2.在風(fēng)險(xiǎn)處置過程中所輸出的眾多信息安全管控措施難以統(tǒng)一規(guī)劃,并且缺少各項(xiàng)控制措施與信息安全風(fēng)險(xiǎn)的一一對(duì)應(yīng)
在風(fēng)險(xiǎn)評(píng)估的過程中將會(huì)全面、系統(tǒng)地對(duì)企業(yè)的各項(xiàng)信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析,系統(tǒng)的分析出企業(yè)所面臨的各項(xiàng)風(fēng)險(xiǎn),并對(duì)各項(xiàng)風(fēng)險(xiǎn)采取合理、有效的管控措施。在風(fēng)險(xiǎn)評(píng)估的過程中,企業(yè)所面臨的信息安全風(fēng)險(xiǎn)的類別,以及每一類信息風(fēng)險(xiǎn)中實(shí)際風(fēng)險(xiǎn)的個(gè)數(shù)無疑是非常大的,并且不同類別的信息安全風(fēng)險(xiǎn)所采取管控措施的優(yōu)先級(jí)也有很大的差別,如何對(duì)數(shù)量龐大的風(fēng)險(xiǎn)及管控措施進(jìn)行合理的規(guī)劃,對(duì)于企業(yè)來說無疑是一個(gè)很大的難題,尤其對(duì)于組織規(guī)模比較龐大的企業(yè)更是如此,因此如何對(duì)風(fēng)險(xiǎn)評(píng)估后的管控措施進(jìn)行統(tǒng)一、合理的規(guī)劃至關(guān)重要。
3.信息安全管理體系中的各級(jí)文件、模板及記錄很難有條理地進(jìn)行管理
信息安全管理體系擁有為數(shù)眾多的文檔化的方針、策略、規(guī)范、制度,并在體系運(yùn)行的過程中將產(chǎn)生大量的記錄,如何對(duì)這些文件進(jìn)行分門別類的管理,并且很好的對(duì)其中的邏輯性與一致性進(jìn)行控制,這對(duì)于體系維護(hù)人員來講是一個(gè)不大不小的難題。
4.體系實(shí)施及運(yùn)作過程中關(guān)鍵的活動(dòng)(如體系測(cè)量、組織內(nèi)審、管理評(píng)審等)的策略、實(shí)施、記錄很難系統(tǒng)化、程序化
信息安全管理體系在進(jìn)行PDCA循環(huán)運(yùn)行中,控制措施測(cè)量、內(nèi)審及管理評(píng)審是體系進(jìn)行持續(xù)改進(jìn)的發(fā)動(dòng)機(jī),但是,由于這些活動(dòng)關(guān)系到企業(yè)的各個(gè)部門,組織、策劃、協(xié)調(diào)起來非常的困難,因此,如何將這些活動(dòng)的組織策劃自動(dòng)化、實(shí)施程序系統(tǒng)化,并且實(shí)施過程記錄完整化是體系推行人員一個(gè)非常大的挑戰(zhàn)。
PDCA模型應(yīng)用與信息安全管理體系過程
5.其他面對(duì)的問題
除了以上問題外,缺少跨部門的信息安全協(xié)調(diào)機(jī)制;軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺;硬件設(shè)施不健全;缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃;等等,也是信息安全管理方面亟待解決的方面。
6. 信息安全確保公司資產(chǎn)有效、安全運(yùn)營(yíng)
信息安全-保護(hù)信息保密性、完整性和可用性;另外,其他特性如真實(shí)性、可確認(rèn)性、不可否認(rèn)性和可靠性也可以包括在內(nèi)
關(guān)鍵三要素:
保密性:信息被獲取或泄露給未經(jīng)授權(quán)的個(gè)人、實(shí)體或流程
完整性:保護(hù)資產(chǎn)準(zhǔn)確和完整
可用性:資產(chǎn)僅對(duì)授權(quán)人員在需要的時(shí)候是可訪問的或可用的
中標(biāo)聯(lián)將國際先進(jìn)的信息安全管理體系標(biāo)準(zhǔn)引入客戶企業(yè),輔助客戶建立信息安全管理體系。借助扎實(shí)的ISO27001理論研究基礎(chǔ)、豐富的咨詢經(jīng)驗(yàn)、可靠的服務(wù)管理體系、專業(yè)的咨詢顧問和正規(guī)的服務(wù)資質(zhì),依據(jù) BS7799/ISO27001 等國際標(biāo)準(zhǔn),提供 ISMS 體系咨詢和實(shí)施服務(wù)。從管理、技術(shù)、人員、過程的角度來計(jì)劃、建立、實(shí)施、核查信息安全管理體系。保障組織的信息安全 “ 滴水不漏 ”,確保組織業(yè)務(wù)的持續(xù)運(yùn)營(yíng)、持續(xù)改善。維護(hù)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)增加客戶、合作伙伴和相關(guān)人士對(duì)機(jī)構(gòu)的信心、提升營(yíng)運(yùn)收入,并為機(jī)構(gòu)帶來更多商機(jī)。
1.按照標(biāo)準(zhǔn)信息安全管理辦法,對(duì)企業(yè)涉及風(fēng)險(xiǎn)評(píng)估人員進(jìn)行系統(tǒng)的培訓(xùn)
通常企業(yè)都會(huì)通過聘請(qǐng)外部顧問以項(xiàng)目的形式,來進(jìn)行自身信息安全管理體系的建設(shè),能夠最大程度發(fā)揮咨詢顧問的經(jīng)驗(yàn),使企業(yè)不會(huì)在體系的建設(shè)過程中迷失方向,但是,在項(xiàng)目結(jié)束咨詢顧問撤場(chǎng)后,企業(yè)內(nèi)部體系推行人員卻顯得無所適從。
為了有效避免上述情況,中標(biāo)聯(lián)為企業(yè)人員提供培訓(xùn)服務(wù),有效提高全體員工,特別是各級(jí)領(lǐng)導(dǎo)的信息安全意識(shí)和能力,包括:
1) 信息安全管理意識(shí)培訓(xùn);
2) 風(fēng)險(xiǎn)分析評(píng)估方法培訓(xùn);
3) 信息安全管理體系文件編寫培訓(xùn);
4) 信息安全管理體系文件實(shí)施培訓(xùn);
注:根據(jù)客戶的實(shí)際狀況,對(duì)上述培訓(xùn)進(jìn)行調(diào)整。
2. 建立科學(xué)合理的信息安全風(fēng)險(xiǎn)評(píng)估過程
利用風(fēng)險(xiǎn)評(píng)估軟件完成全部風(fēng)險(xiǎn)評(píng)估、選擇適宜的控制目標(biāo)與控制方式、確定控制方式、一鍵自動(dòng)生成風(fēng)險(xiǎn)評(píng)估所需的全部資料和清單。
風(fēng)險(xiǎn)管理是信息安全管理體系建立的基礎(chǔ)。完整的風(fēng)險(xiǎn)管理包括資產(chǎn)識(shí)別、資產(chǎn)估值、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理和剩余風(fēng)險(xiǎn)評(píng)估等過程,這些過程需要處理大量的數(shù)據(jù),而資產(chǎn)、資產(chǎn)屬性、威脅、薄弱點(diǎn)、事件的影響、發(fā)生的可能性、控制措施等風(fēng)險(xiǎn)評(píng)估要素隨著評(píng)估過程、溝通過程、監(jiān)視和評(píng)審過程、重復(fù)的評(píng)估過程而不斷變化,需要不斷的重復(fù)的進(jìn)行大量的數(shù)據(jù)處理,所以,單純用手工的的方式很難準(zhǔn)確、快速的完成風(fēng)險(xiǎn)管理過程,也不利于管理者對(duì)評(píng)估進(jìn)度和評(píng)估質(zhì)量的督促和監(jiān)控,必須借助于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理工具軟件,以大幅度降低各部門參與風(fēng)險(xiǎn)評(píng)估人員的工作量,并隨時(shí)掌握各部門的風(fēng)險(xiǎn)評(píng)估情況,提高工作效率、保證風(fēng)險(xiǎn)評(píng)估結(jié)果的及時(shí)、真實(shí)、可靠。
而且,采用風(fēng)險(xiǎn)評(píng)估軟件進(jìn)行風(fēng)險(xiǎn)評(píng)估,評(píng)估的數(shù)據(jù)保管在服務(wù)器上,能夠避免評(píng)估資料被咨詢公司人員或內(nèi)部人員泄露。風(fēng)險(xiǎn)評(píng)估是一把雙刃劍,組織可以通過風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)風(fēng)險(xiǎn),進(jìn)而控制風(fēng)險(xiǎn)。但是,風(fēng)險(xiǎn)評(píng)估結(jié)果本身對(duì)組織也是一項(xiàng)威脅,如果保管不當(dāng),被泄漏出去,則攻擊者將全面了解組織的風(fēng)險(xiǎn)所在,可以發(fā)起有的放矢的攻擊。因此,必須妥善保護(hù)風(fēng)險(xiǎn)評(píng)估的結(jié)果。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估一般利用Excel表格來完成,非常容易被利用E-mail,U盤等媒體傳遞,造成風(fēng)險(xiǎn)。
3.嵌套體系文件信息平臺(tái),通過分級(jí)授權(quán)、信息加密技術(shù),有效控制企業(yè)的信息安全
企業(yè)各類管理文件的信息安全管理是企業(yè)所面臨的一項(xiàng)極為重要的工作。“體系文件信息平臺(tái)”可以按照公司文件的重要度和保密性可進(jìn)行分級(jí)授權(quán),可以對(duì)不同的登錄賬號(hào)授權(quán),也可針對(duì)單獨(dú)的某些文件授權(quán)。系統(tǒng)限制非法下載打??;如內(nèi)部需要學(xué)習(xí)下載打印的文件,系統(tǒng)可自動(dòng)增加帶由公司標(biāo)志的水印。
另外系統(tǒng)可定期自動(dòng)備份;可隨時(shí)在線監(jiān)控并記錄所有在線進(jìn)行文件操作的所有賬戶,對(duì)異常情況隨時(shí)處理。上述功能可有利的確保公司各類管理文件的信息安全。
4.中標(biāo)聯(lián)嚴(yán)格按照企業(yè)定制的咨詢流程對(duì)企業(yè)進(jìn)行信息安全管理體系的認(rèn)證服務(wù)
1)將國際先進(jìn)的信息安全管理體系標(biāo)準(zhǔn)引入企業(yè),輔助客戶建立信息安全體系;
2)建立科學(xué)合理的信息安全風(fēng)險(xiǎn)評(píng)估過程,利用風(fēng)險(xiǎn)評(píng)估軟件完成全部風(fēng)險(xiǎn)評(píng)估、自動(dòng)生成風(fēng)險(xiǎn)評(píng)估所需的全部資料和清單;
3)通過信息安全管理體系建立和運(yùn)行,消除信息安全隱患,保護(hù)關(guān)鍵的信息資產(chǎn);
4)提高全體員工,特別是各級(jí)領(lǐng)導(dǎo)的信息安全意識(shí)和能力;
5)提高客戶企業(yè)的信息安全管理水平;
6)按計(jì)劃獲得第三方認(rèn)證機(jī)構(gòu)頒發(fā)的ISO27001證書。
注:根據(jù)客戶的具體要求,對(duì)上述目標(biāo)進(jìn)行調(diào)整;
1、某全球電子商務(wù)企業(yè)ISO27001&ISO9001建設(shè)與認(rèn)證項(xiàng)目
項(xiàng)目概況:
該公司為全球商務(wù)的技術(shù)領(lǐng)軍者,處理著各種數(shù)據(jù)和支付交易,為540萬個(gè)商戶網(wǎng)點(diǎn)、2000多個(gè)發(fā)卡機(jī)構(gòu)及其6億多持卡人提供從端到端的支付服務(wù)。該公司符合中國監(jiān)管機(jī)構(gòu)、卡組織、PCI認(rèn)證,自2002年以來,該公司在大中華區(qū)先后擁有了中國工商銀行,中國農(nóng)業(yè)銀行,中國光大銀行,Cetelem,平安銀行,交通銀行(香港),中銀國際,臺(tái)灣華南銀行等客戶, 提供多種服務(wù)和運(yùn)營(yíng)模式如外包處理、軟件許可、綜合管理服務(wù)、系統(tǒng)建制并轉(zhuǎn)交。
該公司的業(yè)務(wù)涉及到眾多信用卡用戶以及客戶的信息安全,公司領(lǐng)導(dǎo)層也非常重視公司的信息安全管理工作以及服務(wù)質(zhì)量,因此該公司決定建立全面的信息安全管理體系和質(zhì)量管理體系,提高公司的服務(wù)質(zhì)量和信息安全管理水平,從而更好地保護(hù)公司及客戶的信息安全。
中標(biāo)聯(lián)解決方案: