欢迎访问发表云网!为您提供杂志订阅、期刊咨询服务!
首页 期刊杂志 科普杂志 SCI杂志 经营许可 购物车(0)
免费咨询
首页 精选范文 公司信息安全管理体系

公司信息安全管理体系大全11篇

时间:2023-10-16 10:23:17

绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇公司信息安全管理体系范文,希望它们能为您的写作提供参考和启发。

公司信息安全管理体系

篇(1)

1 引言

在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。

2 电力企业信息管理体系建设的依据

关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。

国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。

关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。

3 信息安全管理体系里的重要环节

3.1 硬件环境要求

信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。

3.2 软件环境要求

在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。

3.3 企业员工管理

尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。

另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。

3.4 信息安全管理体系的风险系数评估

风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。

企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。

为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。

3.5 信息安全管理体系的管理模式

文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。

4 重要技术及展望

4.1 安全隔离技术

电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。

4.2 数据加密技术

企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。

4.3 终端弱口令监控技术

终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。

电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。

智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。

5 防病毒软件部署

电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。

杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。

服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。

电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。

6 结束语

电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。

参考文献

[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.

[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.

[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.

[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.

[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.

[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).

[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.

[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.

作者简介:

崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。

张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。

李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。

篇(2)

中图分类号:TB497文献标识码: A 文章编号:

前言

企业的正常运作离不开信息资源的支持,企业信息化系统作为管理企业信息资源的电子化工具和企业实力的重要组成部分,在促进企业规范管理流程、提高生产效率的同时,在运行中累积的包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源等各种重要数据成为部门、企业的宝贵资产,关乎着企业的生存与发展。这些数据一旦损坏、丢失、泄漏或篡改,则会给企业带来重大安全影响。

企业要保持健康可持续性发展,信息安全是基本的保证之一。为确保信息资产安全,很多企业都制定了“硬件备份、分权分域、多层防御、等级防护”等等信息安全技术目标,并且逐步落实。与此同时,还应该清醒地认识到,技术体系达到先进水平,并不意味着企业的信息安全整体水平也是同步发展的;而必须建设和落实与之相适配的信息安全管理体系,并将其逐步纳入到企业的各级安全生产管理当中。

信息安全风险和措施概述

企业信息化系统在为企业带来提高工作效率和管理水平、增强竞争能力等益处的同时,也为企业带来了信息安全风险;而且信息安全风险与信息化水平和应用范围的提高与扩大同步增长。

(1)接入和访问方式多样化带来全网性风险

U盘、便携电脑、无线网卡、智能手机的普及加剧了病毒、蠕虫和间谍软件等普遍存在的信息安全威胁,而且对网络、系统、应用、信息的破坏程度和范围持续扩大。

(2)来自外网的攻击始终存在,攻击方式向更高阶段演化

和其他企业网一样,企业的信息化系统也一直面临着来自Internet和其他第三方对接网络的外在威胁,并且很容易跨域突现。在攻击手段上,攻击者已经从以往直接针对网络和系统的普遍攻击,转向了对更高层次的Web应用、信息数据的重点攻击。

(3)安全意识和相关培训不到位

职工信息安全培训普及和素质培养方面却没有形成一个长效机制,信息安全意识不均衡情况也普遍存在。

(4)信息安全管理体系尚未成熟

在信息安全保障体系中,企业普遍存在过于依赖于技术保障,而管理保障和制度执行相对薄弱等问题。大多数企业的信息安全管理体制还是沿袭传统组织架构,并没有咨询过专业安全公司在信息安全管理体系建设上的意见,仍由档案部门、调度部门兼职负责,而没有设置专门的信息安全部门,从而造成管理体系不健全,责任不清晰等问题。

信息安全管理体系的主要环节

从业内最佳安全实践来看,要想建立完善可行的信息安全管理体系,就要使之贯穿于整个企业信息安全建设和保障过程。一般说来,信息安全管理体系包括以下6个主要环节:

(1)信息风险评估程序:其目的是为了在企业、组织内部建立一套适合自身具体情况的信息风险评估机制,明确信息风险评估由谁来做、怎么做、做什么、重点解决什么等问题。这一环节有助于相关部门了解有哪些威胁会对企业信息真正造成影响、风险水平该如何确定。

(2)信息安全计划:它是在信息风险评估的基础上,结合企业的宏观安全战略与现实情况得出的,明确了信息安全工作应该“做什么”和“什么时候做”。

(3)项目管理:无论安全工作是内部人员来完成还是与专业安全公司协作来完成,每一项信息安全工作都可以视为一个安全项目。所以,还应充分考虑项目管理的各个阶段(发起、启动、计划、执行、控制、收尾)需要关注的问题和存在的风险。

(4)运行维护和培训:对企业信息的运行维护监控过程大部分是程序化和其他一些较为细碎的工作。同是,除了执行命令、填写表单以外,还需要通过各类培训教育让各级职工,尤其是掌握核心业务数据的岗位人员时刻保持风险预警意识。

(5)信息安全审计:其主要目的就是建立一个长效机制,明确对信息系统及其数据和信息的检查周期、审计方式、评审制度等内容,确保能够及时发现和弥补信息安全管理漏洞和缺陷。

(6)持续改进计划:为了应对不断变化的信息安全威胁和不断严格的合规性要求,从根本上解决信息安全问题,企业、组织需要对信息安全过程、方法、程序、操作指南持续改进。

图1 信息安全管理体系环节构成示意图

信息安全管理体系的实施内容

从当前来看,信息安全管理体系的实施内容主要包括信息安全管理制度和信息安全操作流程组成,二者各司其职,又互为补充。

首先,信息安全管理制度主要是公司的相关部门根据自身的管理职能,针对各种与信息安全管理有关的资源制定的相关要求、政策。管理制度通常由相应的部门进行归口管理和解释,是职能化、专业化的直接体现。

其次,信息安全管理流程是根据一定的管理目标,对系列相关活动顺序和操作规则的规定。通常管理流程会贯穿若干部门,使用相关资源,是流程化、规范化管理的体现。与管理制度相比,管理流程更注重过程管理,通常会使用一些流程测量指标,作为衡量效率和判断是否合理的依据。

篇(3)

一、电信企业信息管理的现状与作用

(一)电信企业信息管理体系的现状

随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。

(二)企业信息安全管理的作用

信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。

二、电信企业信息管理建设的有效方法

(一)制定有效的信息管理计划

在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。

(二)电信企业信息管理建设的范围

对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。

(三)建立企业信息管理框架

对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。

三、结束语

综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。

参考文献:

[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014

篇(4)

A企业是某欧洲跨国金融公司在广东的IT服务外包公司,主要对母公司在亚太地区的业务提供软件开发和维护工作,企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的IT外包公司,提升A企业的信息安全管理水平也成为企业内部和外部的紧迫要求。

ISO27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准,此标准采用了PDCA循环管理的方法,以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段,而整个项目的出发点就是完善资产管理。

A企业正是选择了通过ISO27000架构构建信息安全体系。在ISO27000的管理框架下,资产是指任何对组织有价值的信息或资源,根据表现形式的不同,与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。

本项目之前,A企业有来自总部的一些信息安全方面的基本要求,但要求较为抽象、概括,并没有在本地形成有效的管理体系。在信息资产管理方面,A企业就信息资产进行了一些定义,制定了部分规章,但不够系统和完整。对于信息资产的管理更多地限于IT部门管理的硬件及软件等有形资产的管理上,没有从数据的角度出发,也没有把服务、人员以及其他非IT资产视为信息资产的一部分纳入信息资产保护的范畴。

因此,在构建新信息安全管理体系项目中,A公司在进行资产识别时,将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为:

1、将原有的信息资产清单依照上述六类进行划分。在此基础上,依照公司的组织架构和业务范围与各部门负责人进行访谈,了解业务流程,以识别所有的信息资产。

2、对于每一项信息资产,根据“谁使用,谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定 “维护人”,由“责任人”将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。

3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素:机密性、完整性、可用性,对资产分三个要素进行赋值(如表1示):

4、基于对每一项信息资产的在机密性、完整性、可用性三方面的赋值,通过矩阵计算出信息资产的总价值(如表2示)。

篇(5)

“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵,采购了专用的数据防泄密软件进行内部信息资源管理,为什么还是会出现企业敏感信息外泄的问题?”

“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系,为什么却迟迟难以落实?各业务部门都大力抵制相关制度和技术措施的应用推广。”

“我们已经在咨询公司的协助下建立了ISMS体系,投入了专门的人力进行安全管理和控制,并且通过了企业信息安全管理体系的认证和审核,一开始的确获得了显著的成效,但为什么经过一年的运行后,却发现各类安全事件有增无减?”

这些问题的出现往往是由于管理人员采取了“头痛医头,脚痛医脚”的安全解决方案,自然顾此失彼,难以形成有效的安全防护能力。上述的三个案例,案例一中企业发生过敏感信息外泄事件,于是采购了专用的数据防泄密软件,却并未制定相关的信息管理制度和进行员工保密意识培训,结果只能是防外不防内,还会给员工的正常工作带来诸多不便;案例二中企业管理者认识到安全管理的重要性,要求相关部门编制了大量的管理制度和规范,然而缺乏调研分析和联系业务的落地措施,不切实际的管理制度最终因为业务部门的排斥而束之高阁;案例三中ISMS的建立有效地规范了公司原有的技术保障体系,然而认证通过后随着业务发展却并未进行必要的改进和优化,随着时间的推移管理体系与实际工作脱节日益严重,各类安全隐患再次出现也就不足为奇。

其实,企业面临的各种安全威胁和隐患,与人体所面临的各种疾病有诸多类似之处,我们常说西医治标不治本,指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁,通过技术手段的积累虽然可以解决很多问题,但总会产生疲于应付的状况,难以形成有效的安全保障体系;类比于中医理论将人体看为一个互相联系的整体,信息安全管理体系的建立正是通过全面的调研分析,充分发现企业面临的各种问题和隐患,紧密联系业务工作和安全保障需要,形成系统的解决方案,通过动态的维护机制形成完善的防护体系。

总体来说,信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统,目的是保障企业的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系统。

针对ISMS的建立,我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论:

第一,“望闻问切”,全面的业务、资产和风险评估是ISMS建设的基础;

第二,“对症下药”,可落实、可操作、可验证的管理体系是ISMS建设的核心;

第三,“治病于未病”,持续跟踪,不断完善的思想是ISMS持续有效的保障。

望闻问切

为了完成ISMS建设,就必然需要对企业当前信息资源现状进行系统的调研和分析,为企业的健康把把脉,毕竟我们需要在企业现有的信息条件下进行ISMS建设。

首先,自然是对企业现有资源的梳理,重点可以从以下几个方面入手:

1.业务主体(设备、人员、软件等)。

业务主体是最直观、最直接的信息系统资源,比如多少台服务器、多少台网络设备,都属于业务主体的范畴,按照业务主体本身的价值进行一个估值,也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化,最好的主体未必服务于最核心的信息系统,同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中,对业务设备的盘点和清理是很重要的,也是进行基础业务架构优化的一个重要数据。

2.业务数据(服务等)。

业务数据是现在企业信息化负责人逐步关注的方面,之前我们只关注设备的安全,网络的良好工作状态,往往忽略了数据对业务和企业的重要性。现在,核心的业务数据真正成为信息工作人员最关心的信息资产,业务数据存在于具体设备的载体之上,很多还需要软件容器,所以,单纯地看业务数据意义也不大,保证业务数据,必须保证其运行的平台和容器都是正常的,所以,业务数据也是我们重点分析的方面之一。

3.业务流程。

企业所有的信息资源都是通过业务流程实现其价值的,如果没有业务流程,所有的设备和数据就只是一堆废铜烂铁。所以,对业务流程的了解和分析也是很重要的一个方面。

以上三个方面是企业信息资源的三个核心方面,孤立地看待任何一个方面都是毫无意义的。

其次,当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。

评估的过程就是对当前的信息资产进行量化的数据分析,进行安全赋值,我们将信息资产的安全等级划分为 5 级,数值越大,安全性要求越高,5 级的信息资产定义非常重要,如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要,其被损害不会对企业造成过大影响,甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值,最后信息资产的赋值取 5 个属性里面的最大值。

这里需要提出的是,这里不仅仅应该给硬件、软件、数据赋值,业务流程作为核心的信息资源也必须赋值,而且几个基本要素之间的安全值是相互叠加的,比如需要运行核心流程的交换机的赋值,是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因,运行核心业务流程的往往是比较老的设备,在随后的分析可以看得出来,由于其年代的影响,造成资产的风险增加,也是需要重点注意的一点。

最后,对企业当前信息资产的风险评估。

风险评估是 ISMS 建立过程中非常重要的一个方面,我们对信息资产赋值的目的就是为了计算风险值,从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式:风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值(特定行业也有针对性的经验公式)。

ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。

对症下药

经过上阶段的调研和分析,我们对企业面临的安全威胁和隐患有一个全面的认识,本阶段的ISMS建设重点根据需求完成“对症下药”的工作:

首先,是企业信息安全管理体系的设计和规划。

在风险评估的基础上探讨企业信息安全管理体系的设计和规划,根据企业自身的基础和条件建立ISMS,使其能够符合企业自身的要求,也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化,要和企业自身具体工作相结合,一旦缺乏结合性ISMS就会是孤立的,对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构,见图1。

图1 信息安全管理体系

一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计;二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求,并提供模块化的任务细分,将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则,便于操作人员根据规范进行实施和管理人员根据规范进行工作审核;三级文件则主要提供各项工作和操作所使用的表单和模板,以便各级工作人员参考使用。

同时,无论是制定新的信息管理规章制度还是进行设备的更换,都要量力而行,依据自己实际的情况来完成。例如,很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室,具体负责企业的信息安全管理工作,在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性,反而降低了整个信息系统的工作效率。

其次,是企业信息安全管理体系的实施和验证

实施过程是最复杂的,实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的,是个全面的信息系统的改进工作,不是单独的设备更新,也不是单独的管理规范的,需要企业从上至下,全面地遵照执行,要和现有系统有效融合。

这里的现有系统既包含了现有的业务系统,也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范,虽然切合国人中医理论的整体思维方式,但在国内水土不服是正常的,主要表现就在于是否符合企业本身的利益,是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维,要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。

到目前为止,和企业本身业务融合并没有完美的解决方案,需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案

最后,是企业信息安全管理体系的认证和审核

针对我们周围很多重认证,轻实施的思想,这里有必要谈一下这个问题,认证仅代表认证过程中的信息体系是符合 ISO27000(或者其他国家标准)的规范要求,而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是挂在墙上的一张纸,放在抽屉里的一本书”。

“治病于未病”

企业信息安全管理体系需要动态改进和和优化,毕竟企业和信息系统是不断发展和变化的,ISMS 是建立在企业和信息系统基础之上的,也需要有针对性地发展和变化,道高一尺魔高一丈,必须通过各种方法,进行不断地改进和完善,才有可能保证ISMS 系统的持续作用。

就像我们前面案例中提到的某公司一样,缺乏了持续改进和跟踪完善的手段,经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,我们认为可以主要从以下三个方面着手:

第一,人员。

人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。

但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。

第二,体系。

ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于也是在相关标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。

唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。

第三,工具。

篇(6)

一、前言

随着金川集团公司跨国经营战略的实施,企业信息化进程不断深入,企业信息安全己经引起公司领导的的高度重视,但依然存在不少问题。调查结果表明,造成网络安全事件发生的原因有很多,一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%,登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来,虽然使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,但是,很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。

二、企业信息资源安全管理体系构建

1、企业信息安全组织管理

企业信息安全组织体系定义为一个三层的组织,组织架构如图所示:

企业信息安全组织

l)总经理通过总经办负责企业信息、安全的决策事项。2)总经理任命一名信息安全主管负责企业信息安全的风险管理,该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3)总经理任命一名信息安全审计师,负责企业信息安全活动的审计。4)行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策,并在信息安全管理主管的领导下,实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况,信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。

2、企业信息安全政策管理

根据企业信息安全风险分析的结果和信息安全政策制定的原则,设计信息安全政策体系包括以下几点:(1)企业信息安全风险管理政策:a)信息安全风险定义,包括风险等级定义和安全类别定义;b)信息安全风险评估执行要求,包括时问周期要求、范围要求、基于事件的风险评估要求:c)信息安全风险评估责任,包括信息安全管理人员责任和业务部门责任。(2)企业信息安全体系管理政策:a)管理体系的规划,包括规划的时机、规划的内容、规划的依据、规划的责任人:b)管理体系的实施,包括、培训、执行奖惩。c)管理体系的验证,包括周期管理评审、安全审计、事件评审、残留风险评估。d)管理体系的改进,包括分析和变更控制。(3)病毒抵御安全政策:a)操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b)关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c)软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d)敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。

3、企业信息安全事件管理

目前,没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致信息安全事件发生,并对企业的业务运行直接或间接地产生负面影响。此外,以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备,其任何实际响应的效率都会大打折扣,甚至还可能增加潜在的业务负面影响。因此,企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括:(1)发现和报告发生的信息安全事态,无论是由企业人员/顾客引起的还是自动发生的(如防火墙警报)。(2)收集有关信息安全事态的信息,由企业的运行支持组人员进行评估,确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件,如果是,则立即作出响应,同时启动必要的法律取证分析、沟通活动。(3)进行评审以确定该信息安全事件是否处于控制下。(4)如果处于控制下,则启动任何所需要的进一步的后续响应,以确保所有相关信息准备完毕,供事件解决后评审所用。(5)如果不在控制下,则采取“危机求助”活动并召集相关人员,如企业中负责业务连续性的管理者和工作组。(6)在整个阶段按要求进行上报,以便进一步评估和决策。(7)确保所有相关人员,正确记录所有活动以备后面分析所用。(8)确保对电子证据进行收集和安全保存,同时确保电子证据的安全保存得到持续监视,以备法律起诉或内部处罚所需。(9)确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护,从而使得信息安全事态/事件数据库保持最新。

4、企业信息安全技术管理

我们所构建的信息安全管理体系中,不能忽视技术的作用,虽然只使用技术控制不能保证一个信息安全环境,但是在通常情况下,它是信息安全项目的基础部分。(1)密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件,以及密码服务接口构成。通常,企业会涉及以下几个方面的密码应用:数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。(2)故障恢复技术。故障恢复的主要措施有:群集配置,由多台计算机组成群集结构,尽可能消除整个系统可能存在的单点故障;双机热备份,在任何一台设备失效的情况下,按照预先定义的规则快速切换至相应的备份设备,维持业务的正常运行;故障恢复管理,由专门的集群软件进行管理和监控,使应用系统在任何软硬件组成单元发生故障时,能够根据 故障情况重新分配任务。(3)恶意代码防范技术:恶意代码防范技术包括四大系统:病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。(4)入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信,对其进行分析并实时安全预警,从而使企业能够有效管理内部人员和资源,并对外部攻击进行早期预警和跟踪,有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配,如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。(5)扫描与分析技术。端口扫描工具能识别网络上活动的计算机,同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源,也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组,显示开放的网络共享,并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统,使其不受误用和无意的拒绝服务。

5、企业信息安全培训的必要性

公司目前很多岗位和部门的员工都从事涉密数据相关工作,有很多数据和信息涉及到公司的机密和知识产权,但是大多数员工信息安全意识差,在平时的工作中在意识上和实际工作中存在很多问题,导致涉密数据的外漏,给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下,通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。

三、结语

总之,企业信息安全管理体系是一个企业日常经营和持续发展的基本保证,也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题,而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其他手段。

篇(7)

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。

 

“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:

 

边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。

 

行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。

 

安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。

 

公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施:

 

1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。

 

4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:

 

1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。

 

3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:

 

1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。

 

2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。

 

3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。

 

IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。

 

安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:

 

1.网络优化改造:主要是安全域的划分,网络结构的改造。

 

2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。

 

3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系:网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台:入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务:建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务,建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程,建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练,协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度,提高应急反应能力

 

9.提高运维效率,开拓运维增值模式

 

篇(8)

【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158(2012)11-0130-02

一、企业信息安全现状

近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(OA)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。

当前企业信息可能面临的安全威胁、存在的安全隐患。

1.可能面临的安全威胁

物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。

数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。

内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。

2.可能存在的安全隐患

网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。

技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。

为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。

针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。

二、加强信息安全工作的途径

1.建立安全体系结构框架

俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。

2.通过实施信息安全管理体系提升管理水平

信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。

2.1 准备现状调研阶段

现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查,以了解组织业务,挖掘组织中存在的安全问题,分析组织内可能存在的信息安全风险,参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。

2.2 风险评估阶段

在准备阶段工作的基础上,根据IS027001标准的要求,对企业目前的信息安全现状进行风险评估,通过风险评估确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。

2.3 架构设计阶段

架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。

2.4 实施阶段

实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。同时,将已有的操作规程、规范文件整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施,最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。

2.5 运行阶段

运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式评审企业信息安全管理体系运行的符合性。

2.6 持续改进阶段

项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动,使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。

3.实施、运行ISMS需要注意的问题

4.1 提高风险意识,加强安全组织建设工作;以风险评估为基础,提高风险管理的有效性;队总体经营目标为核心,制定科学的安全管理策略;通过对企业安全管理流程及标准的建立,完善企业的安全运维体系及响应机制。

4.2 提高行业信息化管理水平,信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。

篇(9)

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0137-02

油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。

1 信息安全保障体系

1.1 信息安全保障体系建设需求

油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。

1.2 信息安全保障体系目标与定位

信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。

2 油服信息安全保障体系架构模型

油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系

框架。

2.1 安全管理体系

根据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。

2.2 安全技术体系

根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。

2.3 安全运行体系

根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系

框架。

2.4 安全管理中心

根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合实际情况加以落实。

3 油服信息安全保障体系架构设计

3.1 安全管理体系架构设计

信息安全管理体系架构的设计可从以下3方面开展。

3.1.1 信息安全组织

油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。

3.1.3 人员安全管理

在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。

3.2 安全技术体系架构设计

信息安全技术体系架构设计可从以下3个方面开展。

3.2.1 信息安全服务架构

信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应

处理。

3.2.2 信息技术基础设施安全架构

信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施安全防护措施。

3.2.3 应用安全架构

应用系统的信息安全保障是在信息技术基础设施安全架构上,更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求,通过在业务系统中实现集成保障信息安全的机制,从而达到信息安全技术控制要求。

3.3 安全运行体系架构设计

油服信息安全运行体系架构设计主要从以下3个方面开展。

3.3.1 信息系统安全等级划分

油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。

3.3.2 信息安全技术控制

信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层,包含身份鉴别、访问控制、安全审计等五大类通用技术。

3.3.3 信息安全运作控制

信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制,包括控制针对的主要风险点及具体分类。

4 结束语

在油服业务不断拓展,国际化步伐不断深入的过程中,信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长,信息安全也愈发重要。健全油服信息安全保障体系,为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手,还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑,进一步加强落实信息安全等级保护的基本要求,初步实现对网络与应用系统细粒度、全方位的安全管控,从而更为有效地提升了油服在信息安全方面的管理水平。

参考文献

[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全,2007(7):72-75.

[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报(自然科学版),2004(2):58-62.

篇(10)

2007年12月28日,中国光大银行信用卡中心在京召开新闻会,宣布正式通过ISO27001信息安全管理体系国际认证,成为国内首家通过该项认证的信用卡中心。这是中国光大银行信用卡中心继2006年6月通过CCCS五星级级客户服务认证和2006年9月通过ISO9001质量管理体系认证之后取得的又一成就,标志着该行信用卡业务在保障客户信息安全、强化内部管理方面已居于国内领先水平。

在日渐激烈的信用卡竞争环境中,中国光大银行信用卡业务以“制度化、规范化、标准化、专业化”为方向,摒弃片面追求规模的定式,致力于产品创新、服务提升与品牌建设,建立了独具特色的信用卡经营和发展模式,取得了令人瞩目的成就。为进一步提高服务质量,保障信息安全,该行信用卡中心于2007年3月正式启动ISO27001信息安全管理体系认证项目,并提出“关注客户、信息安全”的信息安全方针。以此为契机,中国光大银行信用卡中心在保障客户信息安全、降低外包业务风险、保障业务的持续性等方面进行了全面提升与改进。

一是在保障客户信息安全、防止客户信息泄密方面,中国光大银行根据自身业务实际,通过开展信息资产识别、风险评估、体系文件编写、体系试运行、内外审等主要工作,在信用卡中心建立起了信息安全管理体系,从而形成一套策略规程和控制措施,将信息安全的控制措施贯穿于业务的各个环节,使信息安全保障工作成为日常工作的组成部分,在日常工作中关注客户,保障信息安全。二是降低外包业务风险方面,光大银行针对信用卡行业外包业务多的现实,通过规范数据交互、调听录音、查看系统日志、现场检查、第三方检查等手段,并督促外包公司建章建制、规范管理等一系列措施,有效降低了外包业务的风险。三是业务持续性方面,光大银行针对影响业务持续性的主要因素进行了风险评估,根据风险评估的结果,制订了业务持续性管理计划,并进行了业务持续性演练,为业务的持续发展提供了保障。

ISO27001:2005是标志信息安全的最主要国际化标准之一,是基于最佳实践的总结,至今已被全球数百家世界级组织采用,中国光大银行率先将其引入信用卡领域,为保障客户信息安全寻求到一条积极高效的道路,为自身业务高速稳健的发展奠定了坚实的基础。

篇(11)

放眼国内几大商业银行,营业机构遍及全国,各家银行的开发中心也在朝着研究与开发、管理与运维支持的一体化目标迅速迈进,并逐步具备了相当的规模和管理规范。

商业银行开发的中心,都承担着各自银行核心业务系统的开发重任,在建立了基本完备的信息系统基础设施之后,如何将庞大复杂的计算机网络和异构平台维护好,如何保障网络和信息系统的7×24小时高效、稳定地运行,如何确保开发活动和成果能够持续、可靠地进行,如何在知识产权管理、人员管理、系统开发过程管理方面做到完善,这些都是亟待解决的问题。

作为金融服务机构,各大商业银行本身在基础设施可靠性、业务系统安全控制、数据处理保护等方面都给予了极大的关注,通过容灾系统、CA认证体系、用户访问控制、电子令牌等安全措施的建立和运用,已经取得了显著的成绩。

不过,就软件开发这种具体业务模式来说,除了基于传统的软件工程过程规范,并且参照CMM体系对整个系统开发进行控制外,商业银行开发中心在信息安全方面还应该有其特别的考虑。

目前,商业银行开发中心的信息安全关注点主要表现在:

如何建立有效的信息安全管理体系,对组织信息安全有全局部署和整体管控;

如何对研发数据进行保护,包括客户信息、开发和测试数据、重要的文件等。如何采取措施,防止这些重要信息的泄漏;

对整个软件开发过程,在基于CMM建立开发流程和度量机制的基础上,如何考虑安全控制的问题。特别是在有大量外包开发项目的情况下,如何做到对外、对内安全控制的一致性;

对重要的开发成果,如何做好知识产权保护工作。

基于对商业银行开发中心目前面临的问题和提出的需求的分析,笔者提出了一种分阶段实施的信息安全管理体系构建方案。最终的目的,是使开发中心将信息安全的整体建设落到实处,在保持银行系统多年积累的信息安全建设成果基础之上,使信息安全植根于各方,从而能提升自身信心,给外部客户更多安心。

值得说明的是,笔者这里提出的方案,只是从信息安全管理体系整体框架建设、阶段性发展战略、各阶段目标诉求等大的方面来阐述,具体解决之道和实施办法,还不能一概而论。

在做任何规划项目之前,必须有清晰的目标。我们知道,一座宏伟的建筑要最终完成并投入使用,必须经历一个过程,而最开始设计并确定建筑蓝图则是非常关键的。有了明确而可行的蓝图,我们才能预期最终建筑的模样,才能选择合适的材料,才能沿着正确的工序,一步步去完成。说到底,蓝图代表着整体的规划和实际的目标,并且决定着最终建筑的成败。

信息安全也是如此。任何信息安全的建设活动,通常都强调所谓CIA(保密性、完整性、可用性)三元组的目标,这是信息安全的基本要素和安全建设所应遵循的基本原则。

但是对企业组织来说,CIA的实现并不能代表信息安全的终极目标,毕竟信息安全是企业经营和业务发展的需要,是为企业业务活动提供支持和服务的,因此,在做出任何战略规划之前,企业都应该明白,其信息安全的最终目标,将是采取可行的控制措施,通过实现信息的CIA保护,最终使得依赖信息系统的业务活动能够持续、稳定、可靠地运行和保持下去。对商业银行来说,也是如此。

当然,无论是要实现CIA直接目标,还是要最终确保业务活动的持续性,组织都应该付出一番努力,通过一系列有规划、有继承的过程活动,在信息安全方面才能有所建树。

从商业银行开发中心面临的信息安全需求来看,大的诉求也是如此:借助有效控制和管理措施,防止关键数据泄漏,保护开发成果和知识产权,确保开发业务活动能够持续、可靠地进行,最终赢得内部信心和外部信任。

不过,为了实现大诉求,商业银行开发中心必须在信息安全建设方面细化目标并做蓝图规划,这样才能为今后工作提供指引。

在信息安全目标实现上,商业银行开发中心可以考虑三个层次:

近期目标:通过实施有效的控制措施(包括技术上的和管理上的),确保开发数据能够得到保护,防止文件泄密,保护公司的开发成果和知识产权;对外包开发实施有效控制,杜绝安全隐患。

中期目标:从整体上考虑信息安全管理体系建设的问题,规划并建立完整的信息安全管理体系和框架,全面提升人员安全意识,使得各种问题和应对措施都能够在一个一致的、完整的、持续改进的机制下进行,真正实现信息安全自我发展的模式。

这其中,近期目标是最实际、也是最容易看见的,通过恰当的规划和控制实施,能够得以实现,但采取具体技术和措施只能解决一些点上的问题,信息安全建设更关键的还在于控制整个面。

商业银行开发中心可以考虑首先实现中期目标,然后达成近期目标。因为针对具体问题解决的近期目标,有赖于信息安全管理体系的实现,如果没有一个成熟稳定的整体框架,具体问题的解决将很难做到彻底,也会牵引出更多难以预料的麻烦。而首先建立有效的ISMS(信息安全管理体系),在统一框架指引下,再去一一解决通过风险评估及其他途径发现的最为突出的信息安全问题,这会让工作更易于开展。当然,从长远来看,让ISMS可度量并且自我发展,实现IT有效治理,是必然的诉求。

明确了目标,商业银行开发中心还必须设定范围并规划整体蓝图,以便让之后每个阶段和每个具体的实施活动都能够朝着正确的方向前进,并且能够随时检验阶段及最终成果是否符合预期。

蓝图中首先明确的是信息安全建设的核心目标,即实现信息安全的CIA并最终确保业务持续性。

为了实现核心目标,企业还必须明确信息安全方面的现实需求,并且用确定的、无矛盾的、可实施的一套规范要求来具体实现,这些层次化的文件将为所有信息安全活动提供指导,最终导入信息安全需求的实现。

有了目标和要求,还必须明确信息安全的对象,也就是要保护的东西――信息资产,包括各种关键数据,应用系统、实物资产、设施和环境,以及人员。信息资产的明确界定,将使信息安全控制的实施有引而发。而对这些资产的保护,将直接关系到业务持续性这一最终目标的实现与否。

为了对信息资产实施保护,必须采取一定措施,经历一番努力和过程,最终才能实现既定目标。信息安全的建设过程,表现为一系列流程的实现,最终体现出的是所谓PDCA的过程模型:信息安全先做规划,明确需求,制定应对方案;实施解决方案;通过检查,巩固成果,发现不足;采取后续措施,改进不足,推动信息安全持续进步。

为了实现这一蓝图,商业银行开发中心可以制定阶段性发展的战略规划,将信息安全建设工作分为三个主要阶段:

上一篇 活动文化建设 下一篇 企业的营销策略
返回列表
推荐精选
推荐范文
相关期刊