摘要:在当今全球互联经济中,信息安全问题已成为世界主要组织关注的最为复杂的问题之一。由于对信息的依赖不断增强,信息的资本价值显著增加,它成为股东价值的很大一部分。想要获得竞争优势的组织都把信息安全作为其关注的焦点。
很明显,信息是业务的推动者。在当今信息经济下,没有有效的信息安全作保障,一个企业能正常经营几乎是不可能的。没有有效安全保障的组织与有安全保障的同行相比就更容易受到安全威胁。为了保证业务流程持续进行,信息安全就成了组织的不二之选。
本文的目的是说明信息安全的重要性和它的价值。本文认为,信息安全不仅是一个技术问题,更是一个管理问题。强调了信息安全管理架构及其重要性。本文讨论了为确保信息安全,组织应遵循的程序。它的深度聚集是组织制定其独特的安全策略文件。
关键词:信息安全;信息安全管理系统;技术;安全管理
1 引言
多亏了互联网的广泛应用,让世界变成了地球村,在这里鼠标轻轻一点,能让一个想法抵达全球范围内的数十亿人。信息对组织的好处无疑是巨大的。由于产品与市场的全球化,信息是当前企业和经济的驱动力。互联网扩大了信息的可用性,使之成为一个最有价值的信息来源和信息传播手段。随着虚拟交易的全天候运作,由地理位置所带来的屏障正在开始消退。组织对信息依赖的不断增强进而导致了对信息规范(机密性、完整性和可用性)的依赖。
全球互联与信息可用性虽然积极影响着世界,但也构成了真正的危险。互联世界为人们提供了带来人生转折的机遇。另一方面,个人行为也有可能造成严重的损害。信息经济的发展与高速增长也引发了信息安全的紧迫性。另外,组织也面临高等风险和漏洞的威胁。由于数据泄露或信息丢失让组织经历巨大损失的故事在新闻和出版物中都有记录。大多数高管和中层管理人员认为他们的组织是完全安全的。严酷的现实是:每个组织都会受到攻击,区别只是时间和严重程度的问题。
复杂性是当今用于描述信息安全的用词。信息安全的主要目标是保护信息的机密性、完整性和保证信息基础设施的可用性。它关系到保护信息不被随意或蓄意滥用。健全的信息安全管理成了新的迫切需求。本文的主要目标是:探讨高管和中层管理人员所要考虑的管理策略和程序,同时建立全球公认的信息安全最佳实践。虽然本文涉及技术问题,它更关注围绕信息安全的管理问题,而不是技术问题。因此,本文适合依赖信息的组织的董事会、股东、高管及中层管理人员参考。
在信息安全管理系统架构下,最高管理层由董事会、高管和股东组成。最高管理层只有完全致力于监管其发展,组织才能达到预期的安全目标。为了识别投机风险,消除或降低它到可接受的程度,就有必要进行风险分析和风险管理。组织的策略规定了在特定情况下,所应采取的正确措施。本文进一步规定了为确保物理及网络安全所应采取的不同措施。应该观察日常活动和维护情况,并在一定时间后,决定是否需要再进行一次风险分析。
2 信息的价值
组织和个人都会有需要加以足够保护的敏感信息。组织理所当然地拥有其员工、预算、财务报告和经营战略的详细信息。为了获得竞争优势,组织有研究报告,商业秘密和其他形式的敏感数据。信息被视为当今企业的生命线。?组织对信息的依赖程度正在迅速增加,对某些组织而言,信息的损失就意味着生意的损失。个人会在电脑上执行各种任务,如网上购物、网上银行和访问社交网络。因此,他们电脑上包含的关键个人信息需要受到保护。
如果不对信息加以足够保护,让未授权人员访问,那么就会出现信息安全漏洞。信息泄露会导致严重后果。对于一个组织而言,信息泄露通常会造成严重的财务损失,昂贵的法律诉讼,损害声誉,以及最坏情况下的企业生意丢失。?个人信息泄露的后果是身份被盗、财务损失及信用评级的损害。信息泄露的恢复需要花费很多年,其相应的经济损失也是巨大的。
泄漏和数据丢失事件,现在已成了所有类型和规模的组织不可避免的现象。当大量的数据在各种存储设备和服务供应商那里积累时,企业应高度警惕即将到来的损失。?当信息泄露发生时,企业的目标就会陷入停顿状态。例如仅2013年就有约1亿1千万条的信用卡和借记卡记录被泄漏。这一事件曝光了信息泄漏所带来的损害范围:从业务瘫痪、巨大的财务损失到消费者的投诉。发行上述信用卡和借记卡的银行也成了这一事件的受害者。2014年,Ponemon Institute进行了一项对网络犯罪的研究,量化网络攻击对经济的影响。这项研究在美国,英国,德国,澳大利亚,日本,法国和俄罗斯进行。这项研究的结果已经确定,最高的数据泄露的总成本是1270万美元,最低的是330万美元。这项研究涉及257个组织,平均每年的费用是760万美元,与2013年相比,增长了10.4%。很明显网络犯罪在上升,上述六个国家由于网络犯罪引发了净成本比上一年的增加。例如英国就经历了从2.7%(2013年)到22.7%(2014年)的增长。下面的图1展示了由Ponemon Institute提供的2013年与2014年七个国家网络犯罪的总成本的比较。
人们对信息安全的重要性有一个很大的误解。即:只有当组织持有非常重要的商业秘密或当组织具有象可口可乐那样的秘密配方时,信息安全才值得关注。尽管程度不同,但网络犯罪威胁到了所有行业。Ponemon Institute比较了不同行业的网络犯罪的平均成本,其结果如图2所示。安全漏洞出现时,对能源与公用事业和金融服务业的影响最大。
根据Ponemon Institute研究,网络犯罪的主要后果包括业务中断、信息丢失、收入损失和设备损坏。下图3中可见,业务中断造成了信息泄露最严重的后果,占到了38%。业务中断包括生产率的降低和业务流程的停顿。信息丢失的损失和收入损失分别占35%和22%。
3 信息安全管理
信息的安全传播在当今的经济中起着至关重要的作用,因此应该得到应有的重视。更常见的情况是:人们把信息安全作为单一的技术问题来对待,而不把它当作管理问题来处理。根据IT Governance Institute(ITGI),管理是董事会和高管一套实务的责任,它提供了战略方向,确保目标的达成,确保风险得到适当的管控,核实企业的资源得到合理的使用。尽管解决信息安全的技术问题是高管的责任,董事会也应当把对信息安全的关注纳入组织的管理范畴中。把信息安全整合到管理架构中是董事会的责任。尽管董事会知悉保持业务流程完整性和连续性的必要,他们对信息安全的了解却只限于皮毛。 管理企业安全就意味着要把足够的安全视为企业运作必然要求。如果一个组织的管理层(包括董事会,高管和所有管理者)不建立和加强有效的企业安全的需求,该组织所需的安全状况将得不到清晰的描述,实现或持续。要实现一个可持续的能力,组织必须把企业安全作为领导者的管理责任,而不是缺乏权威、问责制和合规资源的其它组织角色。
3.1 最高管理层(董事会)
董事会有权制定一个组织的政策并有义务监督信息安全管理系统项目的开发和维护。“监管”是用来描述董事会的监督职能。因此,管理层负有日常管理的责任。在开发安全系统时,董事会的职责是确保政策与本组织的目标一致。对于安全计划的传统开发、组织和维护,支持和资源是必需的,这些应该由高管提供。
组织的信息安全状况高度依赖于安全策略的正确性。安全政策的有效性反过来又取决于董事会对信息安全的理解程度。组织的目标决定组织的信息需求,因而它也决定了信息安全的需求和重要性。在这一点上,对于董事会一个重要问题是:董事会是否理解信息安全对于业务流程和业务连续性的重要性。只有当董事会足够认识信息安全的重要性时,昔日有缺陷和风险的安全系统才能得到有力支持。常见的情况是:董事会只在发生严重事故后才会意识到信息安全的重要性。
通过把信息安全放在董事会的议程上来保证对信息安全重要性的重视。考虑到信息的价值,很有必要把信息安全风险与组织的管理架构整合起来。这就要求董事会在信息安全系统和相关项目的开发过程中能站在前沿。董事会的承诺,表现在它对正确的信息安全政策和符合国际标准的框架的开发和实施的支持上。信息系统的所有用户都应该明确其职责和责任,以确保信息的保密性、可用性和完整性。这一点可以通过一个书面的说明来传达。该政策的说明应该融入整体管理计划中,以便于日常检查、监督和维护。
在信息安全程序的开发中,一个典型的问题是:是否分配了足够的资源来建立一个适当的安全框架。确保信息安全的重要因素来自高管的支持和参与。从本质上讲,这个承诺包括为信息安全保障工作分配足够的资金,积极应对新的突发事件。企业的信息安全管理要求领导者有长期、负责的高效管理。因此,董事会应该选择有担当的人负责管理信息安全系统。信息安全负责人必须让董事会的成员了解信息系统的最新状况。为了建立问责机制,必须对角色和职责有清晰的说明。
3.2 安全项目经理
信息安全项目经理负责监督新的安全项目的实施或对当前系统的升级。只与授权人员共享信息是项目经理的权利。他们的职责是确保信息是真实可靠的、完整的、足够精确的、以及在需要时可访问的。在安全系统的开发过程中,要特别注意保证信息安全规范。
信息安全管理系统的开发是一个高度迭代的过程,因此在每个阶段的安全考虑是至关重要的。启动和规划过程的早期阶段是建立安全实践的最方便的阶段。在启动阶段,项目经理必须检查该项目是否对组织的安全状况有重大的改变,并在任何情况下都能提供安全保护。实施该项目是值得的。规划阶段包括对项目进度、范围和成本的考虑。这些方面暴露的问题是:该项目的可交付物是否是高要求的,因为它可能会影响到项目的进度和成本。
在开发的实施阶段,通信信道的安全性和有效性是至关重要的。通过使用会议密码以及所有设备的安全配置(使用密码和加密)来保证通信的安全。文件需要定期安全存储和备份。在监测和控制阶段,要求董事会和利益相关者定期检查风险和缓解措施。要检查该项目的可交付成果,以验证其是否符合安全要求。
4 风险管理
风险管理是一个协调过程,它使得组织在采取保护措施、实现其使命目标的运作成本与财务成本之间达成平衡。它并不受信息技术和安全规则的限制。它是一个帮助企业实现其目标并保护组织的资产的过程。它有助于识别、控制和减少漏洞的影响。这一过程的主要目标是在完成高管批准的一些活动或工作时尽量减少风险。无处不在的通信和信息技术,使风险成为了一个错综复杂、相互依存、难以控制的关系网。风险管理主要有四个过程,它们是风险分析、风险评估、风险降低以及估价。
4.1 风险分析
风险分析是一项用于识别和评估不确定因素可能对组织的资产产生严重影响的技术。这个过程也被称为影响分析。这个过程有助于确定最重要的不确定源和评估它的影响程度。它需要做一个成本效益分析,对资产的特点和优势进行审查。这些成本包括在组织内流程的开发和维护信息,例如文档开发,用户和基础设施支持培训和可能的升级。考虑风险分析的另一个重要因素是监管合规性问题的影响。应根据监管要求检查每一个新项目,以规避风险。对于风险分析和风险评估,保持应有的警觉度是一个重要因素。进行这个流程的主要原因是它能使企业有良好的商业意识。?因此,每个组织都应该遵循这个流程,根据自己的需要和能力,以实现其业务目标。
4.2 风险评估
风险评估是确定危害,并尝试评估风险的过程。它定量或定性地确定了一个具体情况和已知威胁(也叫风险)的风险价值。组织使用风险评估,以确定信息系统的潜在威胁和风险的范围。这个过程的结果有助于确定基本的控制措施。风险是给定威胁源执行特定潜在漏洞的可能性的函数。因此,找到对信息系统的可能威胁很重要。必须在对潜在漏洞和对信息系统的操作控制进行监督的情况下分析风险。影响是指由于威胁的脆弱性实践造成的伤害的程度。影响程度由潜在的任务影响决定,反过来它又对信息系统产生相对影响。
4.2.1 系统特征化
在评估信息系统的风险时,其首要任务是定义过程、应用程序、系统或资产,以找到期望的结果。然后分析信息系统的限制条件、资源和系统信息。它有助于帮我们找到定义可能风险的基本信息。
4.2.2 威胁识别
威胁是一个特定的威胁源成为真正漏洞的潜能。漏洞是一个可以被意外触发或故意利用的薄弱点。这一步的目的是识别可能的威胁源,组成一个威胁说明,列出适用于被评估的信息系统的潜在的威胁源。常见的威胁可以是自然的,人的,或环境的。为了识别威胁源,应该考虑所有可能带来的并发现象的威胁源。 4.2.3 漏洞识别
漏洞是系统安全过程、设计、实施或内部控制中的缺陷或薄弱点,它可被用于产生安全漏洞或造成违反系统安全策略的结果。该漏洞可以在一个组织中的不同领域出现,例如:过程和程序,管理程序,人员,物理环境,硬件,软件和外部的依赖关系。只要不被其它威胁利用,这些漏洞本身不会造成损害。但应该用有效的控制手段使之最小化,以避免造成任何信息的损失。
4.2.4 控制分析
这一步的主要目标是分析组织已实施的,或计划实施的控制手段,以减少或消除在系统中产生威胁的可能性。组织应该实施有效的控制,这有助于他们确定实施新的控制的影响。它避免了不必要的工作或成本,即重复控制。在确定现有的控制时,确保控制措施的正确性非常重要。如果控制不正确,它会在信息系统中产生威胁的可能性。因此,分析控制的影响,有助于减少未来可能的威胁。
4.2.5 可能性测定
这些决定了一个潜在的漏洞可能在相关的环境中出现的概率。它取决于不同的因素,如威胁源的动机,动机的性质和控制措施的有效性。它有助于了解资产和业务流程的后果。重要的是,要使用定性和定量的估计技术评估每一种情况的可能性和它造成的影响。可能的漏洞可以分三个阶段,即高、中或低。
4.2.6 影响分析
在这一步中,风险等级将决定威胁产生的负面影响。有必要详细了解系统的任务、关键性和数据敏感性信息。这些所有的信息都可以从组织的文档中获得。因此,安全事件的负面影响可以按照以下三个安全目标(完整性,可用性和保密性)的任何一个或任何组合的损失或退化来描述。
4.2.7 风险测定
这一步的主要目标是评估组织中的信息系统的风险等级。一个特定的威胁/脆弱性的风险,可以表示为一个给定的威胁源、其影响的大小及缜密计划的安全控制措施的函数。它是基于评估的结果和可能性的。此外,适当的风险评估对利益相关者和其他变量来说,也被认为是经济有效的。
4.2.8 控制建议
这个过程的主要目的是控制确定的风险。建议的控制是为了减轻信息系统的风险,并把数据保持到一个可接受的水平。在建议控制时应考虑一些因素,以尽量减少风险。这些因素包括:建议的有效性、立法和监管、组织政策、操作的影响、安全性和可靠性。
4.2.9 结果文件
风险评估的最终过程应该体现在正式报告中。它可以帮助高管、任务执行人、政策、预算和系统运营管理的决策者。应以系统的方式和分析的方法来评估风险,这有助于管理者了解风险,并在需要的情况下提供资源。这就是大多数人更愿意通过观察来解决威胁,而不是依赖风险评估报告的原因。
4.3 风险降低
风险降低是风险管理的第二过程,它包括编制、评估和实施风险评估过程中推荐的适当的风险降低控制方法。要消除所有风险几乎是不可能的,因此,各职能管理部门和经理人有责任使用一种经济的方法并实施最适当的控制把风险减少到一个可接受的水平,使之对组织资源和任务的冲突影响最小化。风险管理中运用了一种系统的方法来降低风险,例如通过假定风险、使用控制措施和适当的控制实施计划来避免风险。每个组织都有不同的风险降低策略。管理层知道潜在的风险,并建议在何种情况下采取何种控制措施。管理层还提供何时实施控制措施的信息。
上图5给出了有用的信息:当有漏洞存在时,应该实施保证技术,以减小威胁的可能性。当有缺陷存在时,应该采用保护措施和管控手段使风险最大程度地减小。当攻击者的成本低于其潜在的利益时,应该加强保护,通过增加其成本来阻止攻击者的动机。当安全系统的损失太大时,应该依靠设计原则、改进结构设计,利用技术和非技术保护措施来限制攻击损失程度。
上图6给出了控制措施的实施步骤。实施行动是按优先级从高到低的顺序安排的。这些措施能帮助组织避免风险。并不是所有的风险评估过程都是有用的或适用于所有的组织。我们的主要目的是选择最有用的控制措施以减少风险,帮助管理层决策和选择最经济的方法。在步骤4中,把责任分配给最熟练和最专业的人员将有助于降低组织风险。实施所有这些控制措施并不能消除风险,但它可以降低组织的风险。
4.4 估价
网络在日益扩大和更新。大多数组织使用的信息系统更新为新的版本。在这种情况下,以前的风险降低策略可能无法有效地工作。这就引发了对风险管理过程的更大关注。通过遵循良好的安全实践可以降低风险。风险管理应该被集成在信息系统的软件开发生命周期中,这并不是因为它是一个法律要求,它是支持组织使命的一个很好的实践。管理层应制定一个具体的评估和减少风险的时间表。同时,评估过程应该足够灵活,允许必要的改变,例如,由于技术和政策的变化而引发的信息系统和处理环境的重大变化。风险管理成功的关键在于信息团队的充分的支持和参与,具有成功应用风险评估方法专业经验的风险评估团队的能力,以及大家的承诺。在组织中涉及在任何漏洞出现时实施控制措施的工作人员的意识有助于保证组织的任务完成。
5 信息安全政策
政策是一套指南,它描述了一个解决问题或困难的商定程序。它为员工提供了事件发生时所应遵循的程序指引。此外,它概述了处理信息资产的规则,什么是可以接受的,什么是不可接受的。一个组织的政策必须认真制订并传达给所有相关人员。虽然每一个组织的政策文件因其商业目标不同而最终都是独一无二的,但国际标准(如ISO27002)提供了一个组织政策文件的模型结构。
5.1 安全政策的重要性
建立安全政策的主要目的是奠定可靠的信息安全基础,阐述成员在保护信息资产过程中的职责,并阐明保护组织通信安全的重要性。建立安全政策是缓解因非法使用组织的信息资产而带来风险的第一步。制订安全政策,不仅让员工充分参与到组织保护信息资源的努力中,而且也降低了由“人为因素”错误造成安全漏洞的风险。开发一个安全系统,使组织的重要资产能够得以识别,定义、归档和如何得以保护。它提供了一个涉及所有信息资源安全的文件汇总。 5.2 信息安全框架与工具
如前所述,在制订组织的信息安全政策文件时,可以参照国际公认的政策模板。这些模板是为通用目的设计而不针对具体公司。因此,管理人员应参与其中,制作一个专门适用于组织的文件。
5.2.1 ISO27000
ISO(国际标准化组织)是一个标准的系列,它为组织的信息安全政策和标准提供了一个总体框架。这个系列有助于每个组织确保信息资产的安全,如财务报告,员工信息,知识产权或客户细节等。ISO27000:2013系列由四个标准化文件组成。首先,该系列包含ISO 27001:2013(对信息安全管理体系的要求)。ISO 27002:2013是该系列中的第二个文件(它包含了一系列加强安全的行为准则)。这个系列的第三个文件是ISO 27003:2010,其作用是对安全管理体系的实施过程提供指导。这个系列的第四个文件是ISO 27004:2009(包含了信息安全系统所需的测量分析)。
ISO 27001:2013是适用于通过信息安全管理体系的建立、实施、维护和持续改进过程提供指导的标准。该标准考虑了不同类型的组织和行业,包括其规模和市场。因此,它是一个广泛和通用的文件,它的采纳和实施应该是一个战略决策。标准的适应过程应该受到组织需求的影响,并且与组织的经营目标一致。董事会和高管可以自由选择与目前的安全状态相适应的安全政策,也可以补充这些政策以更多的选项(称为扩展控制集)。对组织的信息安全风险进行深入的评价,是正确选择控制的基础。
ISO 27002:2013主要是涉及处理所有类型的信息安全(而不仅仅是信息系统安全)的行为规范。它为评估过其信息安全风险的组织提供了正确控制的指引和建议。因为它是一个准则,所以组织不一定要把它作为一个标准,组织可以自由选择与其需求相关的指导方针。这个标准被认为是任何依赖信息的组织所必不可少的。
ISO27003是为选择实施ISO27000标准的组织制定的一个实施指南。它在信息安全管理系统的开发起始阶段(即规范和设计阶段)提供指导。ISO27004为组织信息安全管理系统的评估阶段提供支持。实施信息安全管理系统的组织需要定期进行评估检查,以确保安全的要求得到满足。该标准有助于定义决定信息安全管理系统能力的管理指标和测量标准并对提高其有效性的目标进行分析。测量结果有助于在商业和工程的信息安全方面做出决策。
ISO27000标准系列为安全政策、控制和管理系统的开发提供了一个全面的框架。一个组织并不需要采用这个标准系列的所有政策。其主旨是要理解其中适用于组织的范围,然后对开发和实施过程中的控制进行调整。要牢记:政策应该支持(而不是阻挠)组织的目标。最后,信息安全项目的成功取决于管理层的承诺和项目经理对组织的目标和安全需求的充分了解。
5.2.2 INST(美国国家标准与技术研究院)
美国国家标准与技术研究院以制定广泛和全面的标准称著。NIST有一个部门叫计算机安全部负责促进信息系统的安全。该部门主动承担起加强对信息技术组织所面临的脆弱性和风险的认识。从事有效的安全性研究,并向组织提供建议。其次,NIST还开发控制、标准、政策和验证程序,以促进消费者的安全并确定最低安全要求。NIST出版了超过300个安全相关的文件。特别出版物(特刊)800系列就是该研究院完成的综合性研究和文献的一部分。通过开发信息安全指南、材料、有关文件和建议,NIST成功完成了其为政府、产业和学术机构服务的任务和使命。
5.2.3 ITIL(信息技术基础架构库)
ITIL(信息技术基础架构库)是一个信息组织管理最佳实践的汇编。ITIL的目标是确保在各个操作层面考虑战略安全。根据ITIL,信息安全被分解为政策、流程、程序和工作指导书。以ITIL为指导工具,组织能够基于最佳实践开发和实现一个明确的安全结构。其要求之一是连续的审查,这确保了一个组织评估其安全措施的有效性。安全结构是有组织的,因此可以防止混乱的执行和匆忙的决定。ITIL要求正确的汇报,因此能够让高层了解当前最新的安全状况,使他们能够做出正确的安全决策。角色和责任都写得清清楚楚,万一发生事故,解决程序的清晰明了。
5.2.4 COBIT(信息及相关技术控制目标)
COBIT是由ISACA(信息系统审计与控制协会)建立的管理框架。ISACA把信息安全定义为一个实体,它确保企业内部信息不被披露给未经授权的用户(保密性),防止不当的修改(完整性)和允许必要时的访问(可用性)。COBIT 5信息安全通过创建实现效益和保持最佳风险水平和资源利用之间的平衡补充了COBIT 框架。它通过清楚地解释治理与管理的职责不同来明确区分治理与管理。COBIT原则上,强调在组织信息安全结构中应包括所有利益相关方和第三方并明确各自的责任。COBIT 5信息安全结构由准则和实现组成。准则确保有效的治理和管理,而实现考虑了企业与利益相关者利益的最佳的资源利用。
6 信息保护
直到二十年前,信息保护还是一件容易的事,因为计算机系统和信息基础设施位于室内,对其访问也非常有限。今天,它成了一个复杂而模糊的任务。信息基础设施以不同形式出现,从大型超级计算机到手持设备和便携式设备。其他形式的信息系统是以云为基础的存储系统,它已经把计算和信息处理提高到一个新的水平,反过来也提高了信息安全标准。
6.1 物理保护
大多数管理人员和安全专家更专注于信息安全的技术问题,而忽略了物理保护。物理访问是获取信息最容易的方式。因此,考虑物理保护是最基本和必要的。它包括设置安全基础设施和屏障来阻止未经授权人员的物理访问。
6.1.1 布线
布线安全旨在保护任何传输数据或提供从窃听到破坏的信息服务的电缆。ISO 27002的部分建议提到了在建设过程中的实施要求。电力和通信电缆应铺设在地下,在那里电缆受到进一步的保护方法是不可能的。对于高度敏感的数据传输应考虑更严格的措施。应该指定专门的设备公司为关键电信电缆增加额外保护。在工作站中也应考虑电缆的保护。电缆不应悬空以避免因缠绕而导致破损。电缆应被固定起来使之离开工作区。在可能的情况下,使用电缆的办公桌应该固定。电力电缆和通信电缆应该分开,以防止干扰,也可尽量减少同时损坏的风险。特别是网络电缆路线应避免通过公共区域。 6.1.2 设备保护室
组织中包含信息处理和支持设备的区域需要有一个安全的环境。这个环境被定义为一个对象,它形成一个入口屏障或将该组织与外部世界隔离开。它包括但不限于墙壁、门、地板和天花板。此环境应该有一个完美的边界(无漏洞)。应特别注意入侵者通过电梯、升降机等的侵入。鼓励设立有人值守的前台,因为它能确保授权访问和访客的控制。任何时候无人值守的房间的门和窗都要上锁。在入口和门上应加以额外的保护,如安装防盗门,报警器和闭路电视摄像机。当组织从事高度保密工作时,应考虑加强安全措施。
6.1.3 访问控制
访问控制是一种安全措施,它可以保护信息不受未经授权的人的访问,并允许授权的用户和系统进行交互和通信。访问控制的主要目的是保护数据、信息和信息系统,以确保他们的机密性,完整性和可用性。访问控制保护信息不受未经授权的访问、修改或中断。访问控制系统由身份识别方案、验证方案和授权方案组成。身份识别是向系统提供用户独特的信息的过程。验证是指如何验证用户凭证。授权允许访问系统。访问控制可使用技术手段(如防火墙或密码认证)也可使用物理方法(如使用门锁拒绝非授权访问)。为了进行身份验证,用户必需提供其独特的凭证。凭据可以是需要用户知道的信息,例如,密码。拥有物凭证指用户拥有物。例如,记忆卡。生物识别技术也是一种验证方法,这里把用户的内在特质用于认证。它涉及用户的东西,例如,指纹或DNA。
6.2 行政工作
行政工作是组织内人员的工作职责。其责任是保证组织顺利运行。各个不同部分的定义简述如下。
6.2.1 培训
它是一个教学或提高组织的员工的技能和知识的过程,它涉及到一些有用的能力。培训的目标是提高个人能力和绩效。不同组织有不同的安全管理技能和策略。因此,组织中的每一个成员都必须了解信息安全系统以维护隐私,避免数据的意外损失。
6.2.2 安全业务规则
组织形成的合同必须要求其业务伙伴具备管理、物理和技术的保障规范。这些规范必须合理地保护其创建、接收、保存,或发送的电子信息的机密性,完整性和可用性。还应确保组织提供给其信息的任何代理(包括分包商)同意保障信息安全。任何已知的安全事件都要报告。业务关联合同已经覆盖了安全事件,以符合隐私规则。如果生意伙伴创建、接收、保存,或发送EPHI,这些现有的合同应审查和修改,以满足商务合同安全规则要求。另外,覆盖的安全事件可以用两个单独的合同分别解决隐私和安全规则的需求。
6.2.3 网络访问控制
一种用于安全访问的计算机网络解决方案有助于加强用户身份验证和网络安全。简单地说,当一台计算机连接到一个网络时,如果它没有用户身份验证,没有一定的防病毒保护等级,没有及时的系统更新和正确配置,那么它是不允许访问网络的。只有它符合政策和要求时,计算机才能够访问网络。网络访问控制主要用于端点检测。例如,一个组织的财务部门在其角色和端点都满足杀毒最低要求的条件下只能访问财务部的文件。
6.2.4 用户认证
它是确定给定的信息是否是数据库中的信息的过程。如果凭据匹配,用户可以继续进一步操作。用户身份验证是在人与计算机之间的相互交互(客户帐户除外)。
6.2.5 分权管理
将职能、权力、人或物由一个集中的位置或部门下放给小部分或部门的分散过程称为行政分权。这种结构在许多组织中实行,以便实时了解最新的日常活动。
6.3 数据和网络保护
安全问题是网络环境中最复杂的问题。确保网络访问的有效控制,确保数据在网络的传输过程中是安全而不受攻击是非常重要的。有许多技术,能帮助组织保持其隐私和完整性。
6.3.1 备份
敏感数据是每个组织的核心。为了保护这个敏感数据,组织应该实施数据备份和恢复计划。这样可以使意外的数据丢失、数据库损坏、硬件故障、甚至自然灾害得到控制。确保及时备份并存放在安全的地方是信息安全管理的责任。各种组织可能会根据数据类型使用各种类型的备份技术。备份可以是正常用的复制备份、差异备份、增量备份和日常备份。也有不同的备份设备。
6.3.2 安全远程访问
业务发展要求办公场所并不固定在一个地方。组织需要这样的工具允许他们的员工不仅从其办公室而且从任何设备和任何地方访问他们的企业资源。许多组织利用公司内网和SSL VPN远程访问解决方案来保护其敏感数据。工作环境的灵活性要求快速访问关键业务应用程序和各地的数据。信息安全管理应确保远程访问解决方案是安全的并能保护敏感信息。
6.3.3 信息保密
这是一种对某些人员或团体隐藏敏感信息的做法,与其分享这些信息可能会给组织带来巨大损失。信息保密已成为保护数据的重要组成部分。组织的任何信息泄露可能会给对手带来好处同时给组织的声誉带来很多损害。因此,所有的敏感数据应该被加密,并且只能由几个值得信赖的人来访问。
6.3.4 防火墙
这是一个可以控制未经授权的人访问一个私有网络的网络安全系统。它可以安装在硬件和软件上以保护数据。它有助于消除可能的漏洞。为了在网络基础设施中消除潜在的漏洞,您可以选择将数据从协议传输到协议,而不必经历复杂的解密和重新加密过程。要达到这一安全目的,你必须有一种方法让数据跨网络协议边界安全传输。互联网能使企业内网连接到一个广域公共网。虽然这种能力提供了巨大的业务优势,它也给数据和计算机系统带来了风险。保护您的隐私和系统完整性的一种方法就是在公共网络和内部网之间设置一个防火墙。
6.3.5 防病毒保护
防病毒软件是指一种计算机程序,它的目的是检查文件,以便检测和删除计算机病毒或其他恶意对象。使用防病毒保护的目的是扫描电脑,以便发现它是否感染了任何形式的恶意病毒,这些病毒破坏了系统的安全性或造成系统性能的减弱。如果发现任何形式的恶意攻击,防病毒程序会警告互联网有关的攻击,并要求进一步采取行动,删除病毒或保护数据。它也有助于用户处理间谍软件和广告软件(当今的两大恶劣软件)。 6.3.6 通信检查
每个组织应该进行通信检查,以检查敏感信息是否被窃取或与第三方共享。如果发送的数据被窃取或转发给错误的人时,就有必要对通信进行跟踪。否则会伤害组织。
6.3.7 入侵的观察
它是一种用于计算机和网络的安全管理系统。信息系统收集和分析来自计算机或网络各方面的信息,以确定可能的安全漏洞,包括来自组织外的入侵和攻击。常通过‘扫描’来进行漏洞评估,它是一种用来评估计算机系统或网络安全性的技术。
7 日常活动
已成功进行风险分析并建立健全的安全政策和信息安全管理体系的组织,为创造安全工作环境奠定了坚实的基础。执行安全策略指导组织的日常活动,组织中的角色和责任是清晰的。在这一点上,董事会和高管应该表明他们的承诺,并为其他成员和员工提供切实的支持。
7.1 信息系统的库存
除了在日常活动中确保安全外,一个组织应该有一个全面的和最新的信息资产库存。信息资产库存的主要好处包括商业价值和保险。软硬件资产都应该包括。硬件资产包括所有有形设备和信息存储介质。所有在硬件和用户之间提供接口的程序和代码应分类为软件资产。操作系统、生产力软件和应用软件也属于软件资产类别。有了这样的定义,就更容易维护特定资产负责人的记录了。资产的日常管理和责任因而得到保障。库存也保证了损害情况、资产损失或错位的及早发现和及时采取适当的补救措施。资产的处置或销毁应谨慎处理,并记录在案。
7.2 人力资源安全
人们普遍认为,人是组织中最有价值的资产,人当然也是一种巨大威胁源。一个雇员(“授权人”)很可能成为恶意攻击者。许多技术专家专注于确保网络安全,却忽视了内部攻击的可能性。在员工被授权访问组织的信息系统之前,必须进行背景检查以了解他们的教育程度,弱点和犯罪记录。员工也必须经过一个入职培训,让其了解组织、工作和他的责任。员工也应该同意签署一份员工合同和保密协议。员工合同的终止被认为是最危险的阶段。这也取决于合同终止的具体情形。一个心怀不满的员工带着愤怒离开组织,在毫不知情的情况下,大多数管理者都会松一口气,一旦员工离开,你不知道他们会在以后的日子中寻求报复。
7.3 信息安全文化
信息安全文化被视为一种信念和价值观的结合,它引导组织中员工的活动和行为。这是一种就信息安全方面的认知:哪些做法是可接受的,哪些是不可接受的。信息安全文化应该向所有企业提供支持,以确保安全成为组织日常活动中的一种惯例。信息安全文化是培养员工安全意识的关键性行为。管理层的态度和对信息安全的承诺很大程度上反映了组织的信息安全文化。培训和宣传方案再加上管理层的承诺促进了员工正确的安全观念,从而影响了他们对信息安全的看法。
组织内适当的信息安全文化有助于创造一个安全的环境。这是因为员工会毫不犹豫地安全地履行其任务,因此提高了安全防范措施。当这些安全活动每天都进行,成为组织的规范时,每个人都把创建安全环境成为其首选。
8 变更及维护的研究
今天,一个组织的使命非常依赖于信息技术的环境和管理这一技术的能力,而维护敏感信息也是一项重要的任务。组织需要一个良好的基础设施,它符合其监管结构、任务和核心业务流程的需要。信息安全过程应主动管理以确定新的威胁和应对因结构和运营环境的不断变化而产生的漏洞。由于风险管理结构描述了一个结构过程,它有助于把信息安全和风险管理活动加入系统开发中。随着技术的迅速发展,信息安全的架构也需要进行深入的研究。
安全系统的研究可以从收集信息安全管理系统的记录报告着手。该报告是具体参与信息审计过程步骤的证据。这些经审计的文件可能会因为各个组织安全政策的不同而格式各异。但主要的目标是要获得整个过程中产生的信息。可以一步一步地观察安全过程的环境变化。第一步是要找到与该组织直接相关的观测范围。审计师就是这项任务的责任人。还应特别注意信息安全风险和人员管控。这一过程可能的产出是范围、章程、聘书、审计工作文件、证据和报告。
工作计划的制定是将范围分解成某些领域的更小、更详细的部分来进行的。时间和资源的分配由组织与信息安全管理系统的审计师共同协商并以审计计划的形式表现。通常会用到项目计划技术(如:甘特图)。计划还包括“检查点”,它是由审计师专门用来在出现任何潜在威胁时向管理层通报最新情况。调查事件的审计师是独立于组织的,这就营造了一个合作的环境,以收集代表着更大的风险信息。此过程的产出是经管理层批准的审计工作计划。
野外工作期间,审计师按照工作计划有条不紊地收集审计证据。例如,与信息安全管理人员、管理层及其他利益相关者面谈;审查相关的文件、数据;观察现行信息安全管理系统的运作过程和检查系统的安全配置。进行各种测试,以验证证据的真伪性。这一阶段的第一步是审查信息安全管理文件。审计人员对信息安全管理系统形成的文件做出说明,如适用性、风险处理计划和信息安全管理政策。文档审查的结果为我们提供了进行审计测试以明确信息安全管理系统严格遵循文档情况的必要信息,以及进行一个普通的测试来检查文件与ISO/IEC27001的适宜性。使用合规技术测试信息系统,以验证该组织是否已按照信息安全政策、标准和指南配置了这些系统。
对收集的审计证据进行分析,并对与风险和控制措施相关的文档进行审查和验证。它有助于组织了解自己的差距及清晰进一步审计测试的必要性(可能需要做进一步的工作)。分析的主要目的是把注意力的重点集中在风险最大的地方。观察过程中最重要的部分是报告,它本身具有子过程。一个典型的信息安全管理系统报告包含标题、引言、组织的名称、明确的范围、目标覆盖的周期和环境、执行审计计划的时间和周期。它还包含了可能给组织带来潜在风险的详细的发现和分析,问题的建议和证据。因此,最终的产出是信息安全管理系统审计报告,它有签署日期并根据审计章程的条款进行分发。最后一个阶段是整个审计文件的关闭阶段。它包括未来审计报告和计划的准备说明,以及检查商定的按时完成的行动方案。当完成所有的强制性审计建议、并且审计人员满意后,就可以准备和发布组织信息安全管理系统的证书了。 维护是维护已建立的安全系统的过程。众所周知,信息技术日新月异。很难想象能有一个不需要安全维护的稳定的安全系统。员工、管理者、组织应熟悉安全管理系统,以避免任何漏洞。安全维护程序因组织的安全策略和标准不同而异。在组织安全管理系统中有些领域需要及时更新维护。系统维护策略和程序有助于开发和推广定期更新。制定了信息系统维护策略中设施的实施文档和控制文档。定期保养是一种维护的类型,它是根据制造商或供应商规范,计划、执行信息的日常预防性和定期维护并形成文档的过程。
信息安全维护工具需要经过批准和监控。维护要验证工具是否包含可能对系统造成危害的任何恶意代码。同样重要的是要检查工具的维护是由授权人员进行以避免任何可能的安全问题。远程维护是另一个非常敏感的过程,它控制、批准和监视远程诊断活动。组织在信息系统的安全计划中描述了远程诊断工具的使用。组织要保存所有远程服务活动的维护日志。人员维护控制了只有授权人员才有权进行信息系统的维护。最后,也应及时维护以满足业务的可用性要求。因此,这些都是使每一个组织信息安全系统更新的维护过程。尽管如此,它还是最大限度地减少了组织意想不到的威胁或漏洞。
9 结论
随着信息和通信技术的广泛应用,信息通信技术系统现在是所有组织的全部信息的基本核心和储备源。最近时期,互联的信息系统和网络迫使组织进入了一个需要明确信息保护措施的关键阶段。一方面,随着技术的进步,信息和通信技术正在变得越来越复杂。另一方面,对系统发起损害性攻击需要的技能也没那么复杂了。信息安全从来没有比今天更重要。今天的威胁不能用昨天的策略来反击。组织需要一个现有的和良好的信息安全体系结构模型,这个模型是由潜在对手的威胁、资产、动机和目标驱动的。
从文献回顾和所有收集到的信息表明,每个组织都必须为信息安全管理政策、实践、风险管理、观察和维护、日常活动,长期活动建立足够的空间以便解决信息安全管理系统的技术和非技术问题。ISO已经确定了几个框架、模型和标准例如ISO27001。COBIT和OCTAVE也用来调整信息技术以满足业务的连续性。信息技术法规有助于保护数据,防止受保护数据的滥用。虽然组织中实施了一些安全标准,但因第三方的介入而不能得到完全保护。高管、信息安全从业人员、信息专业人员、审计人员、工作人员和用户都对维护本组织的资产起着至关重要的作用。这点可以通过提高对安全系统的重要性和它的价值的认识来达到。只有组织的各级通力合作(无论是内部的还是外部的成员)才可能会带来一个安全的信息环境。
参考文献(References):
[1] Bigioni, P. The ICT security issues and trends. Available:
http://www.forumti.it/fti/downloads/Summary_OCI_04.pdf. Accessed 14. April 2014.
[2]Tung, L. 2014. IT security governance: Boards must act. Available:
http://www.zdnet.com/article/it-security-governance-boards-must-act/. Accessed 14. April 2015.
[3] Rouse, M. 2015. Essential guide to business continuity and disaster recovery plans. Available: http://searchsecurity.techtarget.com/definition/authentication. Accessed 25. April 2015.
[4] Ponemon Institute. 2014. 2014 Cost of Data Breach. IBM. Available: http://www-935.ibm.com/services/us/en/it-services/security-services/cost-of-data-breach/ Accessed
20. April 2015.
[5] Microsoft. 2014. Safety and Security Center. Available: http://www.microsoft.com/security/pc-security/firewalls-whatis.aspx Accessed 25.
April 2015.
[6] ISO/IEC. 2013. ISO/IEC 27001:2013(en). Available: https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en. Accessed 20. April 2015.
[7] Iso27001security. 2013. ISO/IEC 27002. Available: http://www.iso27001security.com/html/27001.html Accessed 20. April 2015.
[8] ISACA. 2012. COBIT 5 for Information Security. Available: https://www.isaca.org/COBIT/Documents/COBIT-5-for-Information-Security-Introduction.pdf. Accessed 20. April 2015.
摘要:在当今全球互联经济中,信息安全问题已成为世界主要组织关注的最为复杂的问题之一。由于对信息的依赖不断增强,信息的资本价值显著增加,它成为股东价值的很大一部分。想要获得竞争优势的组织都把信息安全作为其关注的焦点。
很明显,信息是业务的推动者。在当今信息经济下,没有有效的信息安全作保障,一个企业能正常经营几乎是不可能的。没有有效安全保障的组织与有安全保障的同行相比就更容易受到安全威胁。为了保证业务流程持续进行,信息安全就成了组织的不二之选。
本文的目的是说明信息安全的重要性和它的价值。本文认为,信息安全不仅是一个技术问题,更是一个管理问题。强调了信息安全管理架构及其重要性。本文讨论了为确保信息安全,组织应遵循的程序。它的深度聚集是组织制定其独特的安全策略文件。
关键词:信息安全;信息安全管理系统;技术;安全管理
1 引言
多亏了互联网的广泛应用,让世界变成了地球村,在这里鼠标轻轻一点,能让一个想法抵达全球范围内的数十亿人。信息对组织的好处无疑是巨大的。由于产品与市场的全球化,信息是当前企业和经济的驱动力。互联网扩大了信息的可用性,使之成为一个最有价值的信息来源和信息传播手段。随着虚拟交易的全天候运作,由地理位置所带来的屏障正在开始消退。组织对信息依赖的不断增强进而导致了对信息规范(机密性、完整性和可用性)的依赖。
全球互联与信息可用性虽然积极影响着世界,但也构成了真正的危险。互联世界为人们提供了带来人生转折的机遇。另一方面,个人行为也有可能造成严重的损害。信息经济的发展与高速增长也引发了信息安全的紧迫性。另外,组织也面临高等风险和漏洞的威胁。由于数据泄露或信息丢失让组织经历巨大损失的故事在新闻和出版物中都有记录。大多数高管和中层管理人员认为他们的组织是完全安全的。严酷的现实是:每个组织都会受到攻击,区别只是时间和严重程度的问题。
复杂性是当今用于描述信息安全的用词。信息安全的主要目标是保护信息的机密性、完整性和保证信息基础设施的可用性。它关系到保护信息不被随意或蓄意滥用。健全的信息安全管理成了新的迫切需求。本文的主要目标是:探讨高管和中层管理人员所要考虑的管理策略和程序,同时建立全球公认的信息安全最佳实践。虽然本文涉及技术问题,它更关注围绕信息安全的管理问题,而不是技术问题。因此,本文适合依赖信息的组织的董事会、股东、高管及中层管理人员参考。
在信息安全管理系统架构下,最高管理层由董事会、高管和股东组成。最高管理层只有完全致力于监管其发展,组织才能达到预期的安全目标。为了识别投机风险,消除或降低它到可接受的程度,就有必要进行风险分析和风险管理。组织的策略规定了在特定情况下,所应采取的正确措施。本文进一步规定了为确保物理及网络安全所应采取的不同措施。应该观察日常活动和维护情况,并在一定时间后,决定是否需要再进行一次风险分析。
2 信息的价值
组织和个人都会有需要加以足够保护的敏感信息。组织理所当然地拥有其员工、预算、财务报告和经营战略的详细信息。为了获得竞争优势,组织有研究报告,商业秘密和其他形式的敏感数据。信息被视为当今企业的生命线。?组织对信息的依赖程度正在迅速增加,对某些组织而言,信息的损失就意味着生意的损失。个人会在电脑上执行各种任务,如网上购物、网上银行和访问社交网络。因此,他们电脑上包含的关键个人信息需要受到保护。
如果不对信息加以足够保护,让未授权人员访问,那么就会出现信息安全漏洞。信息泄露会导致严重后果。对于一个组织而言,信息泄露通常会造成严重的财务损失,昂贵的法律诉讼,损害声誉,以及最坏情况下的企业生意丢失。?个人信息泄露的后果是身份被盗、财务损失及信用评级的损害。信息泄露的恢复需要花费很多年,其相应的经济损失也是巨大的。
泄漏和数据丢失事件,现在已成了所有类型和规模的组织不可避免的现象。当大量的数据在各种存储设备和服务供应商那里积累时,企业应高度警惕即将到来的损失。?当信息泄露发生时,企业的目标就会陷入停顿状态。例如仅2013年就有约1亿1千万条的信用卡和借记卡记录被泄漏。这一事件曝光了信息泄漏所带来的损害范围:从业务瘫痪、巨大的财务损失到消费者的投诉。发行上述信用卡和借记卡的银行也成了这一事件的受害者。2014年,Ponemon Institute进行了一项对网络犯罪的研究,量化网络攻击对经济的影响。这项研究在美国,英国,德国,澳大利亚,日本,法国和俄罗斯进行。这项研究的结果已经确定,最高的数据泄露的总成本是1270万美元,最低的是330万美元。这项研究涉及257个组织,平均每年的费用是760万美元,与2013年相比,增长了10.4%。很明显网络犯罪在上升,上述六个国家由于网络犯罪引发了净成本比上一年的增加。例如英国就经历了从2.7%(2013年)到22.7%(2014年)的增长。下面的图1展示了由Ponemon Institute提供的2013年与2014年七个国家网络犯罪的总成本的比较。
人们对信息安全的重要性有一个很大的误解。即:只有当组织持有非常重要的商业秘密或当组织具有象可口可乐那样的秘密配方时,信息安全才值得关注。尽管程度不同,但网络犯罪威胁到了所有行业。Ponemon Institute比较了不同行业的网络犯罪的平均成本,其结果如图2所示。安全漏洞出现时,对能源与公用事业和金融服务业的影响最大。
根据Ponemon Institute研究,网络犯罪的主要后果包括业务中断、信息丢失、收入损失和设备损坏。下图3中可见,业务中断造成了信息泄露最严重的后果,占到了38%。业务中断包括生产率的降低和业务流程的停顿。信息丢失的损失和收入损失分别占35%和22%。
3 信息安全管理
信息的安全传播在当今的经济中起着至关重要的作用,因此应该得到应有的重视。更常见的情况是:人们把信息安全作为单一的技术问题来对待,而不把它当作管理问题来处理。根据IT Governance Institute(ITGI),管理是董事会和高管一套实务的责任,它提供了战略方向,确保目标的达成,确保风险得到适当的管控,核实企业的资源得到合理的使用。尽管解决信息安全的技术问题是高管的责任,董事会也应当把对信息安全的关注纳入组织的管理范畴中。把信息安全整合到管理架构中是董事会的责任。尽管董事会知悉保持业务流程完整性和连续性的必要,他们对信息安全的了解却只限于皮毛。 管理企业安全就意味着要把足够的安全视为企业运作必然要求。如果一个组织的管理层(包括董事会,高管和所有管理者)不建立和加强有效的企业安全的需求,该组织所需的安全状况将得不到清晰的描述,实现或持续。要实现一个可持续的能力,组织必须把企业安全作为领导者的管理责任,而不是缺乏权威、问责制和合规资源的其它组织角色。
3.1 最高管理层(董事会)
董事会有权制定一个组织的政策并有义务监督信息安全管理系统项目的开发和维护。“监管”是用来描述董事会的监督职能。因此,管理层负有日常管理的责任。在开发安全系统时,董事会的职责是确保政策与本组织的目标一致。对于安全计划的传统开发、组织和维护,支持和资源是必需的,这些应该由高管提供。
组织的信息安全状况高度依赖于安全策略的正确性。安全政策的有效性反过来又取决于董事会对信息安全的理解程度。组织的目标决定组织的信息需求,因而它也决定了信息安全的需求和重要性。在这一点上,对于董事会一个重要问题是:董事会是否理解信息安全对于业务流程和业务连续性的重要性。只有当董事会足够认识信息安全的重要性时,昔日有缺陷和风险的安全系统才能得到有力支持。常见的情况是:董事会只在发生严重事故后才会意识到信息安全的重要性。
通过把信息安全放在董事会的议程上来保证对信息安全重要性的重视。考虑到信息的价值,很有必要把信息安全风险与组织的管理架构整合起来。这就要求董事会在信息安全系统和相关项目的开发过程中能站在前沿。董事会的承诺,表现在它对正确的信息安全政策和符合国际标准的框架的开发和实施的支持上。信息系统的所有用户都应该明确其职责和责任,以确保信息的保密性、可用性和完整性。这一点可以通过一个书面的说明来传达。该政策的说明应该融入整体管理计划中,以便于日常检查、监督和维护。
在信息安全程序的开发中,一个典型的问题是:是否分配了足够的资源来建立一个适当的安全框架。确保信息安全的重要因素来自高管的支持和参与。从本质上讲,这个承诺包括为信息安全保障工作分配足够的资金,积极应对新的突发事件。企业的信息安全管理要求领导者有长期、负责的高效管理。因此,董事会应该选择有担当的人负责管理信息安全系统。信息安全负责人必须让董事会的成员了解信息系统的最新状况。为了建立问责机制,必须对角色和职责有清晰的说明。
3.2 安全项目经理
信息安全项目经理负责监督新的安全项目的实施或对当前系统的升级。只与授权人员共享信息是项目经理的权利。他们的职责是确保信息是真实可靠的、完整的、足够精确的、以及在需要时可访问的。在安全系统的开发过程中,要特别注意保证信息安全规范。
信息安全管理系统的开发是一个高度迭代的过程,因此在每个阶段的安全考虑是至关重要的。启动和规划过程的早期阶段是建立安全实践的最方便的阶段。在启动阶段,项目经理必须检查该项目是否对组织的安全状况有重大的改变,并在任何情况下都能提供安全保护。实施该项目是值得的。规划阶段包括对项目进度、范围和成本的考虑。这些方面暴露的问题是:该项目的可交付物是否是高要求的,因为它可能会影响到项目的进度和成本。
在开发的实施阶段,通信信道的安全性和有效性是至关重要的。通过使用会议密码以及所有设备的安全配置(使用密码和加密)来保证通信的安全。文件需要定期安全存储和备份。在监测和控制阶段,要求董事会和利益相关者定期检查风险和缓解措施。要检查该项目的可交付成果,以验证其是否符合安全要求。
4 风险管理
风险管理是一个协调过程,它使得组织在采取保护措施、实现其使命目标的运作成本与财务成本之间达成平衡。它并不受信息技术和安全规则的限制。它是一个帮助企业实现其目标并保护组织的资产的过程。它有助于识别、控制和减少漏洞的影响。这一过程的主要目标是在完成高管批准的一些活动或工作时尽量减少风险。无处不在的通信和信息技术,使风险成为了一个错综复杂、相互依存、难以控制的关系网。风险管理主要有四个过程,它们是风险分析、风险评估、风险降低以及估价。
4.1 风险分析
风险分析是一项用于识别和评估不确定因素可能对组织的资产产生严重影响的技术。这个过程也被称为影响分析。这个过程有助于确定最重要的不确定源和评估它的影响程度。它需要做一个成本效益分析,对资产的特点和优势进行审查。这些成本包括在组织内流程的开发和维护信息,例如文档开发,用户和基础设施支持培训和可能的升级。考虑风险分析的另一个重要因素是监管合规性问题的影响。应根据监管要求检查每一个新项目,以规避风险。对于风险分析和风险评估,保持应有的警觉度是一个重要因素。进行这个流程的主要原因是它能使企业有良好的商业意识。?因此,每个组织都应该遵循这个流程,根据自己的需要和能力,以实现其业务目标。
4.2 风险评估
风险评估是确定危害,并尝试评估风险的过程。它定量或定性地确定了一个具体情况和已知威胁(也叫风险)的风险价值。组织使用风险评估,以确定信息系统的潜在威胁和风险的范围。这个过程的结果有助于确定基本的控制措施。风险是给定威胁源执行特定潜在漏洞的可能性的函数。因此,找到对信息系统的可能威胁很重要。必须在对潜在漏洞和对信息系统的操作控制进行监督的情况下分析风险。影响是指由于威胁的脆弱性实践造成的伤害的程度。影响程度由潜在的任务影响决定,反过来它又对信息系统产生相对影响。
4.2.1 系统特征化
在评估信息系统的风险时,其首要任务是定义过程、应用程序、系统或资产,以找到期望的结果。然后分析信息系统的限制条件、资源和系统信息。它有助于帮我们找到定义可能风险的基本信息。
4.2.2 威胁识别
威胁是一个特定的威胁源成为真正漏洞的潜能。漏洞是一个可以被意外触发或故意利用的薄弱点。这一步的目的是识别可能的威胁源,组成一个威胁说明,列出适用于被评估的信息系统的潜在的威胁源。常见的威胁可以是自然的,人的,或环境的。为了识别威胁源,应该考虑所有可能带来的并发现象的威胁源。 4.2.3 漏洞识别
漏洞是系统安全过程、设计、实施或内部控制中的缺陷或薄弱点,它可被用于产生安全漏洞或造成违反系统安全策略的结果。该漏洞可以在一个组织中的不同领域出现,例如:过程和程序,管理程序,人员,物理环境,硬件,软件和外部的依赖关系。只要不被其它威胁利用,这些漏洞本身不会造成损害。但应该用有效的控制手段使之最小化,以避免造成任何信息的损失。
4.2.4 控制分析
这一步的主要目标是分析组织已实施的,或计划实施的控制手段,以减少或消除在系统中产生威胁的可能性。组织应该实施有效的控制,这有助于他们确定实施新的控制的影响。它避免了不必要的工作或成本,即重复控制。在确定现有的控制时,确保控制措施的正确性非常重要。如果控制不正确,它会在信息系统中产生威胁的可能性。因此,分析控制的影响,有助于减少未来可能的威胁。
4.2.5 可能性测定
这些决定了一个潜在的漏洞可能在相关的环境中出现的概率。它取决于不同的因素,如威胁源的动机,动机的性质和控制措施的有效性。它有助于了解资产和业务流程的后果。重要的是,要使用定性和定量的估计技术评估每一种情况的可能性和它造成的影响。可能的漏洞可以分三个阶段,即高、中或低。
4.2.6 影响分析
在这一步中,风险等级将决定威胁产生的负面影响。有必要详细了解系统的任务、关键性和数据敏感性信息。这些所有的信息都可以从组织的文档中获得。因此,安全事件的负面影响可以按照以下三个安全目标(完整性,可用性和保密性)的任何一个或任何组合的损失或退化来描述。
4.2.7 风险测定
这一步的主要目标是评估组织中的信息系统的风险等级。一个特定的威胁/脆弱性的风险,可以表示为一个给定的威胁源、其影响的大小及缜密计划的安全控制措施的函数。它是基于评估的结果和可能性的。此外,适当的风险评估对利益相关者和其他变量来说,也被认为是经济有效的。
4.2.8 控制建议
这个过程的主要目的是控制确定的风险。建议的控制是为了减轻信息系统的风险,并把数据保持到一个可接受的水平。在建议控制时应考虑一些因素,以尽量减少风险。这些因素包括:建议的有效性、立法和监管、组织政策、操作的影响、安全性和可靠性。
4.2.9 结果文件
风险评估的最终过程应该体现在正式报告中。它可以帮助高管、任务执行人、政策、预算和系统运营管理的决策者。应以系统的方式和分析的方法来评估风险,这有助于管理者了解风险,并在需要的情况下提供资源。这就是大多数人更愿意通过观察来解决威胁,而不是依赖风险评估报告的原因。
4.3 风险降低
风险降低是风险管理的第二过程,它包括编制、评估和实施风险评估过程中推荐的适当的风险降低控制方法。要消除所有风险几乎是不可能的,因此,各职能管理部门和经理人有责任使用一种经济的方法并实施最适当的控制把风险减少到一个可接受的水平,使之对组织资源和任务的冲突影响最小化。风险管理中运用了一种系统的方法来降低风险,例如通过假定风险、使用控制措施和适当的控制实施计划来避免风险。每个组织都有不同的风险降低策略。管理层知道潜在的风险,并建议在何种情况下采取何种控制措施。管理层还提供何时实施控制措施的信息。
上图5给出了有用的信息:当有漏洞存在时,应该实施保证技术,以减小威胁的可能性。当有缺陷存在时,应该采用保护措施和管控手段使风险最大程度地减小。当攻击者的成本低于其潜在的利益时,应该加强保护,通过增加其成本来阻止攻击者的动机。当安全系统的损失太大时,应该依靠设计原则、改进结构设计,利用技术和非技术保护措施来限制攻击损失程度。
上图6给出了控制措施的实施步骤。实施行动是按优先级从高到低的顺序安排的。这些措施能帮助组织避免风险。并不是所有的风险评估过程都是有用的或适用于所有的组织。我们的主要目的是选择最有用的控制措施以减少风险,帮助管理层决策和选择最经济的方法。在步骤4中,把责任分配给最熟练和最专业的人员将有助于降低组织风险。实施所有这些控制措施并不能消除风险,但它可以降低组织的风险。
4.4 估价
网络在日益扩大和更新。大多数组织使用的信息系统更新为新的版本。在这种情况下,以前的风险降低策略可能无法有效地工作。这就引发了对风险管理过程的更大关注。通过遵循良好的安全实践可以降低风险。风险管理应该被集成在信息系统的软件开发生命周期中,这并不是因为它是一个法律要求,它是支持组织使命的一个很好的实践。管理层应制定一个具体的评估和减少风险的时间表。同时,评估过程应该足够灵活,允许必要的改变,例如,由于技术和政策的变化而引发的信息系统和处理环境的重大变化。风险管理成功的关键在于信息团队的充分的支持和参与,具有成功应用风险评估方法专业经验的风险评估团队的能力,以及大家的承诺。在组织中涉及在任何漏洞出现时实施控制措施的工作人员的意识有助于保证组织的任务完成。
5 信息安全政策
政策是一套指南,它描述了一个解决问题或困难的商定程序。它为员工提供了事件发生时所应遵循的程序指引。此外,它概述了处理信息资产的规则,什么是可以接受的,什么是不可接受的。一个组织的政策必须认真制订并传达给所有相关人员。虽然每一个组织的政策文件因其商业目标不同而最终都是独一无二的,但国际标准(如ISO27002)提供了一个组织政策文件的模型结构。
5.1 安全政策的重要性
建立安全政策的主要目的是奠定可靠的信息安全基础,阐述成员在保护信息资产过程中的职责,并阐明保护组织通信安全的重要性。建立安全政策是缓解因非法使用组织的信息资产而带来风险的第一步。制订安全政策,不仅让员工充分参与到组织保护信息资源的努力中,而且也降低了由“人为因素”错误造成安全漏洞的风险。开发一个安全系统,使组织的重要资产能够得以识别,定义、归档和如何得以保护。它提供了一个涉及所有信息资源安全的文件汇总。 5.2 信息安全框架与工具
如前所述,在制订组织的信息安全政策文件时,可以参照国际公认的政策模板。这些模板是为通用目的设计而不针对具体公司。因此,管理人员应参与其中,制作一个专门适用于组织的文件。
5.2.1 ISO27000
ISO(国际标准化组织)是一个标准的系列,它为组织的信息安全政策和标准提供了一个总体框架。这个系列有助于每个组织确保信息资产的安全,如财务报告,员工信息,知识产权或客户细节等。ISO27000:2013系列由四个标准化文件组成。首先,该系列包含ISO 27001:2013(对信息安全管理体系的要求)。ISO 27002:2013是该系列中的第二个文件(它包含了一系列加强安全的行为准则)。这个系列的第三个文件是ISO 27003:2010,其作用是对安全管理体系的实施过程提供指导。这个系列的第四个文件是ISO 27004:2009(包含了信息安全系统所需的测量分析)。
ISO 27001:2013是适用于通过信息安全管理体系的建立、实施、维护和持续改进过程提供指导的标准。该标准考虑了不同类型的组织和行业,包括其规模和市场。因此,它是一个广泛和通用的文件,它的采纳和实施应该是一个战略决策。标准的适应过程应该受到组织需求的影响,并且与组织的经营目标一致。董事会和高管可以自由选择与目前的安全状态相适应的安全政策,也可以补充这些政策以更多的选项(称为扩展控制集)。对组织的信息安全风险进行深入的评价,是正确选择控制的基础。
ISO 27002:2013主要是涉及处理所有类型的信息安全(而不仅仅是信息系统安全)的行为规范。它为评估过其信息安全风险的组织提供了正确控制的指引和建议。因为它是一个准则,所以组织不一定要把它作为一个标准,组织可以自由选择与其需求相关的指导方针。这个标准被认为是任何依赖信息的组织所必不可少的。
ISO27003是为选择实施ISO27000标准的组织制定的一个实施指南。它在信息安全管理系统的开发起始阶段(即规范和设计阶段)提供指导。ISO27004为组织信息安全管理系统的评估阶段提供支持。实施信息安全管理系统的组织需要定期进行评估检查,以确保安全的要求得到满足。该标准有助于定义决定信息安全管理系统能力的管理指标和测量标准并对提高其有效性的目标进行分析。测量结果有助于在商业和工程的信息安全方面做出决策。
ISO27000标准系列为安全政策、控制和管理系统的开发提供了一个全面的框架。一个组织并不需要采用这个标准系列的所有政策。其主旨是要理解其中适用于组织的范围,然后对开发和实施过程中的控制进行调整。要牢记:政策应该支持(而不是阻挠)组织的目标。最后,信息安全项目的成功取决于管理层的承诺和项目经理对组织的目标和安全需求的充分了解。
5.2.2 INST(美国国家标准与技术研究院)
美国国家标准与技术研究院以制定广泛和全面的标准称著。NIST有一个部门叫计算机安全部负责促进信息系统的安全。该部门主动承担起加强对信息技术组织所面临的脆弱性和风险的认识。从事有效的安全性研究,并向组织提供建议。其次,NIST还开发控制、标准、政策和验证程序,以促进消费者的安全并确定最低安全要求。NIST出版了超过300个安全相关的文件。特别出版物(特刊)800系列就是该研究院完成的综合性研究和文献的一部分。通过开发信息安全指南、材料、有关文件和建议,NIST成功完成了其为政府、产业和学术机构服务的任务和使命。
5.2.3 ITIL(信息技术基础架构库)
ITIL(信息技术基础架构库)是一个信息组织管理最佳实践的汇编。ITIL的目标是确保在各个操作层面考虑战略安全。根据ITIL,信息安全被分解为政策、流程、程序和工作指导书。以ITIL为指导工具,组织能够基于最佳实践开发和实现一个明确的安全结构。其要求之一是连续的审查,这确保了一个组织评估其安全措施的有效性。安全结构是有组织的,因此可以防止混乱的执行和匆忙的决定。ITIL要求正确的汇报,因此能够让高层了解当前最新的安全状况,使他们能够做出正确的安全决策。角色和责任都写得清清楚楚,万一发生事故,解决程序的清晰明了。
5.2.4 COBIT(信息及相关技术控制目标)
COBIT是由ISACA(信息系统审计与控制协会)建立的管理框架。ISACA把信息安全定义为一个实体,它确保企业内部信息不被披露给未经授权的用户(保密性),防止不当的修改(完整性)和允许必要时的访问(可用性)。COBIT 5信息安全通过创建实现效益和保持最佳风险水平和资源利用之间的平衡补充了COBIT 框架。它通过清楚地解释治理与管理的职责不同来明确区分治理与管理。COBIT原则上,强调在组织信息安全结构中应包括所有利益相关方和第三方并明确各自的责任。COBIT 5信息安全结构由准则和实现组成。准则确保有效的治理和管理,而实现考虑了企业与利益相关者利益的最佳的资源利用。
6 信息保护
直到二十年前,信息保护还是一件容易的事,因为计算机系统和信息基础设施位于室内,对其访问也非常有限。今天,它成了一个复杂而模糊的任务。信息基础设施以不同形式出现,从大型超级计算机到手持设备和便携式设备。其他形式的信息系统是以云为基础的存储系统,它已经把计算和信息处理提高到一个新的水平,反过来也提高了信息安全标准。
6.1 物理保护
大多数管理人员和安全专家更专注于信息安全的技术问题,而忽略了物理保护。物理访问是获取信息最容易的方式。因此,考虑物理保护是最基本和必要的。它包括设置安全基础设施和屏障来阻止未经授权人员的物理访问。
6.1.1 布线
布线安全旨在保护任何传输数据或提供从窃听到破坏的信息服务的电缆。ISO 27002的部分建议提到了在建设过程中的实施要求。电力和通信电缆应铺设在地下,在那里电缆受到进一步的保护方法是不可能的。对于高度敏感的数据传输应考虑更严格的措施。应该指定专门的设备公司为关键电信电缆增加额外保护。在工作站中也应考虑电缆的保护。电缆不应悬空以避免因缠绕而导致破损。电缆应被固定起来使之离开工作区。在可能的情况下,使用电缆的办公桌应该固定。电力电缆和通信电缆应该分开,以防止干扰,也可尽量减少同时损坏的风险。特别是网络电缆路线应避免通过公共区域。 6.1.2 设备保护室
组织中包含信息处理和支持设备的区域需要有一个安全的环境。这个环境被定义为一个对象,它形成一个入口屏障或将该组织与外部世界隔离开。它包括但不限于墙壁、门、地板和天花板。此环境应该有一个完美的边界(无漏洞)。应特别注意入侵者通过电梯、升降机等的侵入。鼓励设立有人值守的前台,因为它能确保授权访问和访客的控制。任何时候无人值守的房间的门和窗都要上锁。在入口和门上应加以额外的保护,如安装防盗门,报警器和闭路电视摄像机。当组织从事高度保密工作时,应考虑加强安全措施。
6.1.3 访问控制
访问控制是一种安全措施,它可以保护信息不受未经授权的人的访问,并允许授权的用户和系统进行交互和通信。访问控制的主要目的是保护数据、信息和信息系统,以确保他们的机密性,完整性和可用性。访问控制保护信息不受未经授权的访问、修改或中断。访问控制系统由身份识别方案、验证方案和授权方案组成。身份识别是向系统提供用户独特的信息的过程。验证是指如何验证用户凭证。授权允许访问系统。访问控制可使用技术手段(如防火墙或密码认证)也可使用物理方法(如使用门锁拒绝非授权访问)。为了进行身份验证,用户必需提供其独特的凭证。凭据可以是需要用户知道的信息,例如,密码。拥有物凭证指用户拥有物。例如,记忆卡。生物识别技术也是一种验证方法,这里把用户的内在特质用于认证。它涉及用户的东西,例如,指纹或DNA。
6.2 行政工作
行政工作是组织内人员的工作职责。其责任是保证组织顺利运行。各个不同部分的定义简述如下。
6.2.1 培训
它是一个教学或提高组织的员工的技能和知识的过程,它涉及到一些有用的能力。培训的目标是提高个人能力和绩效。不同组织有不同的安全管理技能和策略。因此,组织中的每一个成员都必须了解信息安全系统以维护隐私,避免数据的意外损失。
6.2.2 安全业务规则
组织形成的合同必须要求其业务伙伴具备管理、物理和技术的保障规范。这些规范必须合理地保护其创建、接收、保存,或发送的电子信息的机密性,完整性和可用性。还应确保组织提供给其信息的任何代理(包括分包商)同意保障信息安全。任何已知的安全事件都要报告。业务关联合同已经覆盖了安全事件,以符合隐私规则。如果生意伙伴创建、接收、保存,或发送EPHI,这些现有的合同应审查和修改,以满足商务合同安全规则要求。另外,覆盖的安全事件可以用两个单独的合同分别解决隐私和安全规则的需求。
6.2.3 网络访问控制
一种用于安全访问的计算机网络解决方案有助于加强用户身份验证和网络安全。简单地说,当一台计算机连接到一个网络时,如果它没有用户身份验证,没有一定的防病毒保护等级,没有及时的系统更新和正确配置,那么它是不允许访问网络的。只有它符合政策和要求时,计算机才能够访问网络。网络访问控制主要用于端点检测。例如,一个组织的财务部门在其角色和端点都满足杀毒最低要求的条件下只能访问财务部的文件。
6.2.4 用户认证
它是确定给定的信息是否是数据库中的信息的过程。如果凭据匹配,用户可以继续进一步操作。用户身份验证是在人与计算机之间的相互交互(客户帐户除外)。
6.2.5 分权管理
将职能、权力、人或物由一个集中的位置或部门下放给小部分或部门的分散过程称为行政分权。这种结构在许多组织中实行,以便实时了解最新的日常活动。
6.3 数据和网络保护
安全问题是网络环境中最复杂的问题。确保网络访问的有效控制,确保数据在网络的传输过程中是安全而不受攻击是非常重要的。有许多技术,能帮助组织保持其隐私和完整性。
6.3.1 备份
敏感数据是每个组织的核心。为了保护这个敏感数据,组织应该实施数据备份和恢复计划。这样可以使意外的数据丢失、数据库损坏、硬件故障、甚至自然灾害得到控制。确保及时备份并存放在安全的地方是信息安全管理的责任。各种组织可能会根据数据类型使用各种类型的备份技术。备份可以是正常用的复制备份、差异备份、增量备份和日常备份。也有不同的备份设备。
6.3.2 安全远程访问
业务发展要求办公场所并不固定在一个地方。组织需要这样的工具允许他们的员工不仅从其办公室而且从任何设备和任何地方访问他们的企业资源。许多组织利用公司内网和SSL VPN远程访问解决方案来保护其敏感数据。工作环境的灵活性要求快速访问关键业务应用程序和各地的数据。信息安全管理应确保远程访问解决方案是安全的并能保护敏感信息。
6.3.3 信息保密
这是一种对某些人员或团体隐藏敏感信息的做法,与其分享这些信息可能会给组织带来巨大损失。信息保密已成为保护数据的重要组成部分。组织的任何信息泄露可能会给对手带来好处同时给组织的声誉带来很多损害。因此,所有的敏感数据应该被加密,并且只能由几个值得信赖的人来访问。
6.3.4 防火墙
这是一个可以控制未经授权的人访问一个私有网络的网络安全系统。它可以安装在硬件和软件上以保护数据。它有助于消除可能的漏洞。为了在网络基础设施中消除潜在的漏洞,您可以选择将数据从协议传输到协议,而不必经历复杂的解密和重新加密过程。要达到这一安全目的,你必须有一种方法让数据跨网络协议边界安全传输。互联网能使企业内网连接到一个广域公共网。虽然这种能力提供了巨大的业务优势,它也给数据和计算机系统带来了风险。保护您的隐私和系统完整性的一种方法就是在公共网络和内部网之间设置一个防火墙。
6.3.5 防病毒保护
防病毒软件是指一种计算机程序,它的目的是检查文件,以便检测和删除计算机病毒或其他恶意对象。使用防病毒保护的目的是扫描电脑,以便发现它是否感染了任何形式的恶意病毒,这些病毒破坏了系统的安全性或造成系统性能的减弱。如果发现任何形式的恶意攻击,防病毒程序会警告互联网有关的攻击,并要求进一步采取行动,删除病毒或保护数据。它也有助于用户处理间谍软件和广告软件(当今的两大恶劣软件)。 6.3.6 通信检查
每个组织应该进行通信检查,以检查敏感信息是否被窃取或与第三方共享。如果发送的数据被窃取或转发给错误的人时,就有必要对通信进行跟踪。否则会伤害组织。
6.3.7 入侵的观察
它是一种用于计算机和网络的安全管理系统。信息系统收集和分析来自计算机或网络各方面的信息,以确定可能的安全漏洞,包括来自组织外的入侵和攻击。常通过‘扫描’来进行漏洞评估,它是一种用来评估计算机系统或网络安全性的技术。
7 日常活动
已成功进行风险分析并建立健全的安全政策和信息安全管理体系的组织,为创造安全工作环境奠定了坚实的基础。执行安全策略指导组织的日常活动,组织中的角色和责任是清晰的。在这一点上,董事会和高管应该表明他们的承诺,并为其他成员和员工提供切实的支持。
7.1 信息系统的库存
除了在日常活动中确保安全外,一个组织应该有一个全面的和最新的信息资产库存。信息资产库存的主要好处包括商业价值和保险。软硬件资产都应该包括。硬件资产包括所有有形设备和信息存储介质。所有在硬件和用户之间提供接口的程序和代码应分类为软件资产。操作系统、生产力软件和应用软件也属于软件资产类别。有了这样的定义,就更容易维护特定资产负责人的记录了。资产的日常管理和责任因而得到保障。库存也保证了损害情况、资产损失或错位的及早发现和及时采取适当的补救措施。资产的处置或销毁应谨慎处理,并记录在案。
7.2 人力资源安全
人们普遍认为,人是组织中最有价值的资产,人当然也是一种巨大威胁源。一个雇员(“授权人”)很可能成为恶意攻击者。许多技术专家专注于确保网络安全,却忽视了内部攻击的可能性。在员工被授权访问组织的信息系统之前,必须进行背景检查以了解他们的教育程度,弱点和犯罪记录。员工也必须经过一个入职培训,让其了解组织、工作和他的责任。员工也应该同意签署一份员工合同和保密协议。员工合同的终止被认为是最危险的阶段。这也取决于合同终止的具体情形。一个心怀不满的员工带着愤怒离开组织,在毫不知情的情况下,大多数管理者都会松一口气,一旦员工离开,你不知道他们会在以后的日子中寻求报复。
7.3 信息安全文化
信息安全文化被视为一种信念和价值观的结合,它引导组织中员工的活动和行为。这是一种就信息安全方面的认知:哪些做法是可接受的,哪些是不可接受的。信息安全文化应该向所有企业提供支持,以确保安全成为组织日常活动中的一种惯例。信息安全文化是培养员工安全意识的关键性行为。管理层的态度和对信息安全的承诺很大程度上反映了组织的信息安全文化。培训和宣传方案再加上管理层的承诺促进了员工正确的安全观念,从而影响了他们对信息安全的看法。
组织内适当的信息安全文化有助于创造一个安全的环境。这是因为员工会毫不犹豫地安全地履行其任务,因此提高了安全防范措施。当这些安全活动每天都进行,成为组织的规范时,每个人都把创建安全环境成为其首选。
8 变更及维护的研究
今天,一个组织的使命非常依赖于信息技术的环境和管理这一技术的能力,而维护敏感信息也是一项重要的任务。组织需要一个良好的基础设施,它符合其监管结构、任务和核心业务流程的需要。信息安全过程应主动管理以确定新的威胁和应对因结构和运营环境的不断变化而产生的漏洞。由于风险管理结构描述了一个结构过程,它有助于把信息安全和风险管理活动加入系统开发中。随着技术的迅速发展,信息安全的架构也需要进行深入的研究。
安全系统的研究可以从收集信息安全管理系统的记录报告着手。该报告是具体参与信息审计过程步骤的证据。这些经审计的文件可能会因为各个组织安全政策的不同而格式各异。但主要的目标是要获得整个过程中产生的信息。可以一步一步地观察安全过程的环境变化。第一步是要找到与该组织直接相关的观测范围。审计师就是这项任务的责任人。还应特别注意信息安全风险和人员管控。这一过程可能的产出是范围、章程、聘书、审计工作文件、证据和报告。
工作计划的制定是将范围分解成某些领域的更小、更详细的部分来进行的。时间和资源的分配由组织与信息安全管理系统的审计师共同协商并以审计计划的形式表现。通常会用到项目计划技术(如:甘特图)。计划还包括“检查点”,它是由审计师专门用来在出现任何潜在威胁时向管理层通报最新情况。调查事件的审计师是独立于组织的,这就营造了一个合作的环境,以收集代表着更大的风险信息。此过程的产出是经管理层批准的审计工作计划。
野外工作期间,审计师按照工作计划有条不紊地收集审计证据。例如,与信息安全管理人员、管理层及其他利益相关者面谈;审查相关的文件、数据;观察现行信息安全管理系统的运作过程和检查系统的安全配置。进行各种测试,以验证证据的真伪性。这一阶段的第一步是审查信息安全管理文件。审计人员对信息安全管理系统形成的文件做出说明,如适用性、风险处理计划和信息安全管理政策。文档审查的结果为我们提供了进行审计测试以明确信息安全管理系统严格遵循文档情况的必要信息,以及进行一个普通的测试来检查文件与ISO/IEC27001的适宜性。使用合规技术测试信息系统,以验证该组织是否已按照信息安全政策、标准和指南配置了这些系统。
对收集的审计证据进行分析,并对与风险和控制措施相关的文档进行审查和验证。它有助于组织了解自己的差距及清晰进一步审计测试的必要性(可能需要做进一步的工作)。分析的主要目的是把注意力的重点集中在风险最大的地方。观察过程中最重要的部分是报告,它本身具有子过程。一个典型的信息安全管理系统报告包含标题、引言、组织的名称、明确的范围、目标覆盖的周期和环境、执行审计计划的时间和周期。它还包含了可能给组织带来潜在风险的详细的发现和分析,问题的建议和证据。因此,最终的产出是信息安全管理系统审计报告,它有签署日期并根据审计章程的条款进行分发。最后一个阶段是整个审计文件的关闭阶段。它包括未来审计报告和计划的准备说明,以及检查商定的按时完成的行动方案。当完成所有的强制性审计建议、并且审计人员满意后,就可以准备和发布组织信息安全管理系统的证书了。 维护是维护已建立的安全系统的过程。众所周知,信息技术日新月异。很难想象能有一个不需要安全维护的稳定的安全系统。员工、管理者、组织应熟悉安全管理系统,以避免任何漏洞。安全维护程序因组织的安全策略和标准不同而异。在组织安全管理系统中有些领域需要及时更新维护。系统维护策略和程序有助于开发和推广定期更新。制定了信息系统维护策略中设施的实施文档和控制文档。定期保养是一种维护的类型,它是根据制造商或供应商规范,计划、执行信息的日常预防性和定期维护并形成文档的过程。
信息安全维护工具需要经过批准和监控。维护要验证工具是否包含可能对系统造成危害的任何恶意代码。同样重要的是要检查工具的维护是由授权人员进行以避免任何可能的安全问题。远程维护是另一个非常敏感的过程,它控制、批准和监视远程诊断活动。组织在信息系统的安全计划中描述了远程诊断工具的使用。组织要保存所有远程服务活动的维护日志。人员维护控制了只有授权人员才有权进行信息系统的维护。最后,也应及时维护以满足业务的可用性要求。因此,这些都是使每一个组织信息安全系统更新的维护过程。尽管如此,它还是最大限度地减少了组织意想不到的威胁或漏洞。
9 结论
随着信息和通信技术的广泛应用,信息通信技术系统现在是所有组织的全部信息的基本核心和储备源。最近时期,互联的信息系统和网络迫使组织进入了一个需要明确信息保护措施的关键阶段。一方面,随着技术的进步,信息和通信技术正在变得越来越复杂。另一方面,对系统发起损害性攻击需要的技能也没那么复杂了。信息安全从来没有比今天更重要。今天的威胁不能用昨天的策略来反击。组织需要一个现有的和良好的信息安全体系结构模型,这个模型是由潜在对手的威胁、资产、动机和目标驱动的。
从文献回顾和所有收集到的信息表明,每个组织都必须为信息安全管理政策、实践、风险管理、观察和维护、日常活动,长期活动建立足够的空间以便解决信息安全管理系统的技术和非技术问题。ISO已经确定了几个框架、模型和标准例如ISO27001。COBIT和OCTAVE也用来调整信息技术以满足业务的连续性。信息技术法规有助于保护数据,防止受保护数据的滥用。虽然组织中实施了一些安全标准,但因第三方的介入而不能得到完全保护。高管、信息安全从业人员、信息专业人员、审计人员、工作人员和用户都对维护本组织的资产起着至关重要的作用。这点可以通过提高对安全系统的重要性和它的价值的认识来达到。只有组织的各级通力合作(无论是内部的还是外部的成员)才可能会带来一个安全的信息环境。
参考文献(References):
[1] Bigioni, P. The ICT security issues and trends. Available:
http://www.forumti.it/fti/downloads/Summary_OCI_04.pdf. Accessed 14. April 2014.
[2]Tung, L. 2014. IT security governance: Boards must act. Available:
http://www.zdnet.com/article/it-security-governance-boards-must-act/. Accessed 14. April 2015.
[3] Rouse, M. 2015. Essential guide to business continuity and disaster recovery plans. Available: http://searchsecurity.techtarget.com/definition/authentication. Accessed 25. April 2015.
[4] Ponemon Institute. 2014. 2014 Cost of Data Breach. IBM. Available: http://www-935.ibm.com/services/us/en/it-services/security-services/cost-of-data-breach/ Accessed
20. April 2015.
[5] Microsoft. 2014. Safety and Security Center. Available: http://www.microsoft.com/security/pc-security/firewalls-whatis.aspx Accessed 25.
April 2015.
[6] ISO/IEC. 2013. ISO/IEC 27001:2013(en). Available: https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en. Accessed 20. April 2015.
[7] Iso27001security. 2013. ISO/IEC 27002. Available: http://www.iso27001security.com/html/27001.html Accessed 20. April 2015.
[8] ISACA. 2012. COBIT 5 for Information Security. Available: https://www.isaca.org/COBIT/Documents/COBIT-5-for-Information-Security-Introduction.pdf. Accessed 20. April 2015.