5步構(gòu)建信息安全保障體系

1、5步構(gòu)建信息安全保障體系隨著信息化的發(fā)展，政府或企業(yè)對(duì)信息資源的依賴程度越來越大，沒有各種信息系統(tǒng)的支持，很多政府或企業(yè)其核心的業(yè)務(wù)和職能幾乎無法正常運(yùn)行。這無疑說明信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱，更容易受到損害，更應(yīng)該加以妥善保護(hù)。而目前，隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)于政府或企業(yè)的信息系統(tǒng)來講，更是面臨著更大的風(fēng)險(xiǎn)和挑戰(zhàn)。這就使得更多的用戶、廠商和標(biāo)準(zhǔn)化組織都在尋求一種完善的體系，來有效的保障信息系統(tǒng)的全面安全。于是，信息安全保障體系應(yīng)運(yùn)而生，其主要目的是通過信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)維體系的綜合有效的建設(shè)，讓政府或企業(yè)的信息系統(tǒng)面臨的風(fēng)險(xiǎn)能夠達(dá)到一個(gè)可以控制的標(biāo)準(zhǔn)

2、，進(jìn)一步保障信息系統(tǒng)的運(yùn)行效率。通常所指的信息安全保障體系包含了信息安全的管理體系、技術(shù)體系以及運(yùn)維體系。本文將重點(diǎn)介紹信息安全管理體系的建設(shè)方法。構(gòu)建第一步確定信息安全管理體系建設(shè)具體目標(biāo)信息安全管理體系建設(shè)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過信息安全治理來達(dá)到具體的建設(shè)目標(biāo)。體至文件祖丈信息安全的組織體系：是指為了在某個(gè)組織內(nèi)部為了完成信息安全的方針和目標(biāo)而組成的特定的組織結(jié)構(gòu)，其中包括：決策、管理、執(zhí)行和監(jiān)管機(jī)構(gòu)四部分組成。信息安全的策略體系：是指信息安全總體方針框架、規(guī)范和信息安全管理規(guī)范、流程、制度

3、的總和。策略體系從上而下分為三個(gè)層次：第一層策略總綱策略總綱是該團(tuán)體組織內(nèi)信息安全方面的基本制度，是組織內(nèi)任何部門和人不能違反的，說明了信息安全工作的總體要求。第二層技術(shù)指南和管理規(guī)定遵循策略總綱的原則，結(jié)合具體部門、應(yīng)用和實(shí)際情況而制定的較專業(yè)要求和方法以及技術(shù)手段。包括以下兩個(gè)部分：技術(shù)指南：從技術(shù)角度提出要求和方法；管理規(guī)定：側(cè)重組織和管理，明確職責(zé)和要求，并提供考核依據(jù)。第三層操作手冊(cè)、工作細(xì)則、實(shí)施流程遵循策略總綱的原則和技術(shù)指南和管理規(guī)定，結(jié)合實(shí)際工作，針對(duì)具體系統(tǒng)，對(duì)第二層的技術(shù)指南和管理規(guī)定進(jìn)行細(xì)化，形成可指導(dǎo)和規(guī)范具體工作的操作手冊(cè)及工作流程，保證安全工作的制度化、日常化。構(gòu)

4、建第二步確定適合的信息安全建設(shè)方法論太極多年信息安全建設(shè)積累的信息安全保障體系建設(shè)方法論，也稱“1-5-44-”3。-即：運(yùn)用1個(gè)基礎(chǔ)理論，參照5個(gè)標(biāo)準(zhǔn)，圍繞4個(gè)體系，形成3道防線，最終實(shí)現(xiàn)4個(gè)目標(biāo)。-陰5金一、風(fēng)險(xiǎn)管理基礎(chǔ)理論信息系統(tǒng)風(fēng)險(xiǎn)管理方法論就是建立統(tǒng)一安全保障體系，建立有效的應(yīng)用控制機(jī)制實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成，形成完備的信息系統(tǒng)流程控制體系，確保信息系統(tǒng)的效率與效果。二、遵循五個(gè)相關(guān)國內(nèi)國際標(biāo)準(zhǔn)在信息安全保障體系的建立過程中我們充分遵循國內(nèi)國際的相關(guān)標(biāo)準(zhǔn):ISO2標(biāo)7準(zhǔn)001等級(jí)保護(hù)建設(shè)分級(jí)保護(hù)建設(shè)流程控制管理（）流程與服務(wù)管理（）三、建立四個(gè)信息安全保障體系信息安全組織保障

5、體系：建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，明確各級(jí)機(jī)構(gòu)的角色與職責(zé)，完善信息安全管理與控制的流程。信息安全管理保障體系：是信息安全組織、運(yùn)作、技術(shù)體系標(biāo)準(zhǔn)化、制度化后形成的一整套對(duì)信息安全的管理規(guī)定。信息安全技術(shù)保障體系：綜合利用各種成熟的信息安全技術(shù)與產(chǎn)品，實(shí)現(xiàn)不同層次的身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能。信息安全運(yùn)維保障體系：在信息安全管理體系規(guī)范和指導(dǎo)下，通過安全運(yùn)行管理，規(guī)范運(yùn)行管理、安全監(jiān)控、事件處理、變更管理過程，及時(shí)、準(zhǔn)確、快速地處理安全問題，保障業(yè)務(wù)平臺(tái)系統(tǒng)和應(yīng)用系統(tǒng)的穩(wěn)定可靠運(yùn)行。四、三道防線第一道防線：由管理體系、組織體系、技術(shù)保系構(gòu)成完備

6、的安全管理體制與基礎(chǔ)安全設(shè)施，形成對(duì)安全苗頭進(jìn)行事前防范的第一道防線，為業(yè)務(wù)運(yùn)行安全打下良好的基礎(chǔ)。第二道防線：由技術(shù)體系、運(yùn)維體系構(gòu)成事中控制的第二道防線。通過周密的生產(chǎn)調(diào)度、安全運(yùn)維管理、安全監(jiān)測(cè)預(yù)警，及時(shí)排除安全隱患，確保業(yè)務(wù)系統(tǒng)持續(xù)、可靠地運(yùn)行。第三道防線：由技術(shù)體系構(gòu)成事后控制的第三道防線。針對(duì)各種突發(fā)災(zāi)難事件，對(duì)重要信息系統(tǒng)建立災(zāi)備系統(tǒng)，定期進(jìn)行應(yīng)急演練，形成快速響應(yīng)、快速恢復(fù)的機(jī)制，將災(zāi)難造成的損失降到組織可以接受的程度。五、四大保障目標(biāo)信息安全：保護(hù)政府或企業(yè)業(yè)務(wù)數(shù)據(jù)和信息的機(jī)密性、完整性和可用性。系統(tǒng)安全：確保政府或企業(yè)網(wǎng)絡(luò)系統(tǒng)、主機(jī)操作系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)

7、的安全。物理安全：使業(yè)務(wù)和管理信息系統(tǒng)相關(guān)的環(huán)境安全、設(shè)備安全及存儲(chǔ)介質(zhì)安全的需要得到必要的保證。運(yùn)行安全：確保業(yè)務(wù)和管理信息系統(tǒng)的各種運(yùn)行操作、日常監(jiān)控、變更維護(hù)符合規(guī)范操作的要求，保證系統(tǒng)運(yùn)行穩(wěn)定可靠。構(gòu)建第三步充分的現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估過程在現(xiàn)狀調(diào)研階段，我們要充分了解政府或企業(yè)的組織架構(gòu)、業(yè)務(wù)環(huán)境、信息系統(tǒng)流程等實(shí)際情況。只有了解政府或企業(yè)的組織架構(gòu)和性質(zhì)，才能確定該組織信息安全保障體系所遵循的標(biāo)準(zhǔn)，另外，還要充分了解政府或企業(yè)的文化，保證管理體系與相關(guān)文化的融合性，以便于后期的推廣、宣貫和實(shí)施。在調(diào)研時(shí)，采用“假設(shè)為導(dǎo)向，事實(shí)為基礎(chǔ)”的方法，假定該政府或企業(yè)滿足相關(guān)標(biāo)準(zhǔn)的所有控制要求，

8、那么將通過人工訪談、調(diào)查問卷等等各種方式和手段去收集信息，證明或者證偽該組織的控制措施符合所有標(biāo)準(zhǔn)的要求，然后在此基礎(chǔ)上，對(duì)比現(xiàn)狀和標(biāo)準(zhǔn)要求進(jìn)行差距分析。在風(fēng)險(xiǎn)評(píng)估階段，首先對(duì)于信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估其中涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性

9、；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。其次，進(jìn)行信息系統(tǒng)流程的風(fēng)險(xiǎn)評(píng)估。根據(jù)“國際知名咨詢機(jī)構(gòu)的調(diào)查結(jié)果”以及我們?cè)趯?shí)踐中證實(shí)發(fā)現(xiàn)，要減少信息系統(tǒng)故障最有效的方式之一，就是進(jìn)行有效的流程管理。因此需要在保證“靜態(tài)資產(chǎn)”安全的基礎(chǔ)上，對(duì)相關(guān)業(yè)務(wù)流程進(jìn)行有效管理，以保護(hù)業(yè)務(wù)流程這類“動(dòng)態(tài)資產(chǎn)”的安全。假役n兄一M篦代程遜過甌奪主口禺詵三機(jī)資含氏同險(xiǎn)飼益劃方皿!卩經(jīng)辻履遊此業(yè)舟沌程丈需雄TIC-T機(jī)堪鴕設(shè)上機(jī)離產(chǎn)打山睜.是7E荒丄業(yè)辟的-哄盛人;T洛構(gòu)建第四步設(shè)計(jì)建立信息安全保障體系

10、總體框架在充分進(jìn)行現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)分析與評(píng)估的基礎(chǔ)上，建立組織的信息安全保障體系總綱，總綱將全面覆蓋該組織的信息安全方針、策略、框架、計(jì)劃、執(zhí)行、檢查和改進(jìn)所有環(huán)節(jié)，并對(duì)未來3-年5信息安全建設(shè)提出了明確的安全目標(biāo)和規(guī)范。信息安全體系框架設(shè)計(jì)在綜合了現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評(píng)估、組織架構(gòu)和信息安全總綱后，還需要綜合考慮了風(fēng)險(xiǎn)管理、監(jiān)管機(jī)構(gòu)的法律法規(guī)、國內(nèi)國際相關(guān)標(biāo)準(zhǔn)的符合性。為確保信息安全建設(shè)目標(biāo)的實(shí)現(xiàn)，導(dǎo)出該組織未來信息安全任務(wù)，信息安全保障體系總體框架設(shè)計(jì)文件（一級(jí)文件）將包括：信息安全保障體系總體框架設(shè)計(jì)報(bào)告；信息安全保障體系建設(shè)規(guī)劃報(bào)告；信息安全保障體系將依據(jù)信息安全保障體系模型，從安全組織、安全

11、管理、安全技術(shù)和安全運(yùn)維四個(gè)方面展開而得到。對(duì)展開的四個(gè)方面再做進(jìn)一步的分解和比較詳細(xì)的規(guī)定將得到整個(gè)政府部門或企業(yè)信息安全保障體系的二級(jí)文件。具體二級(jí)文件包括：信息安全組織體系：組織架構(gòu)、角色責(zé)任、教育與培訓(xùn)、合作與溝通信息安全管理體系：信息資產(chǎn)管理；人力資源安全；物理與環(huán)境安全；通信與操作管理；訪問控制；信息系統(tǒng)獲取與維護(hù)；業(yè)務(wù)連續(xù)性管理；符合性；信息安全技術(shù)體系：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、終端層技術(shù)規(guī)范；信息安全運(yùn)維體系：日常運(yùn)維層面的相關(guān)工作方式、流程、管理等。包括：事件管理、問題管理、配置管理、變更管理、發(fā)布管理，服務(wù)臺(tái)。構(gòu)建第五步設(shè)計(jì)建立信息安全保障體系組織架構(gòu)信息安全組織體

12、系是信息安全管理工作的保障，以保證在實(shí)際工作中有相關(guān)的管理崗位對(duì)相應(yīng)的控制點(diǎn)進(jìn)行控制。我們根據(jù)該組織的信息安全總體框架結(jié)合實(shí)際情況，確定該組織信息安全管理組織架構(gòu)。信息安全組織架構(gòu)：針對(duì)該組織內(nèi)部負(fù)責(zé)開展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門進(jìn)行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果。信息安全角色和職責(zé)：主要是針對(duì)信息安全組織中的個(gè)體在信息安全工作中扮演的各種角色進(jìn)行定義、劃分和明確職責(zé)。安全教育與培訓(xùn)：主要包括對(duì)安全意識(shí)與認(rèn)知，安全技能培訓(xùn)，安全專業(yè)教育等幾個(gè)方面的要求。合作與溝通：與上級(jí)監(jiān)管部門，同級(jí)兄弟單位，本單位內(nèi)部，供應(yīng)商，安全業(yè)界專家等各方的溝通與合作構(gòu)建第六步設(shè)計(jì)建立信息安全保障體系管理體系

13、根據(jù)信息安全總體框架設(shè)計(jì)，結(jié)合風(fēng)險(xiǎn)評(píng)估的結(jié)果以及該組織的信息系統(tǒng)建設(shè)的實(shí)際情況，參照相關(guān)標(biāo)準(zhǔn)建立信息安全管理體系的三、四級(jí)文件，具體包括：資產(chǎn)管理：信息系統(tǒng)敏感性分類與標(biāo)識(shí)實(shí)施規(guī)范與對(duì)應(yīng)表單、信息系統(tǒng)分類控制實(shí)規(guī)范與對(duì)應(yīng)表單人力資源安全：內(nèi)部員工信息安全守則、第三方人員安全管理規(guī)范與對(duì)應(yīng)表單、保密協(xié)議物理與環(huán)境安全：物理安全區(qū)域劃分與標(biāo)識(shí)規(guī)范以及對(duì)應(yīng)表單、機(jī)房安全管理規(guī)范與對(duì)應(yīng)表單、門禁系統(tǒng)安全管理規(guī)范與對(duì)應(yīng)表單訪問控制：用戶訪問管理規(guī)范及對(duì)應(yīng)表單、網(wǎng)絡(luò)訪問控制規(guī)范與對(duì)應(yīng)表單、操作系統(tǒng)訪問控制規(guī)范及對(duì)應(yīng)表單、應(yīng)用及信息訪問規(guī)范及對(duì)應(yīng)表單、移動(dòng)計(jì)算及遠(yuǎn)程訪問規(guī)范及對(duì)應(yīng)表單通信與操作管理：網(wǎng)絡(luò)安全管理規(guī)范與對(duì)應(yīng)表單、服務(wù)使用安全管理規(guī)范及對(duì)應(yīng)表單、惡意代碼防范規(guī)范、存儲(chǔ)及移動(dòng)介質(zhì)安全管理規(guī)范與對(duì)應(yīng)表單 信息系統(tǒng)獲取與維護(hù)：信息安全項(xiàng)目立項(xiàng)管理規(guī)范及對(duì)應(yīng)表單、軟件安全開發(fā)管理規(guī)范