構建第壹步 確定信息安全管理體系建設具體目標信息安全管理體系建設是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達到具體的建設目標。信息安全的組織體系:是指為了在某個組織內部為了完成信息安全的方針和目標而組成的特定的組織結構,其中包括:決策、管理、執行和監管機構四部分組成。信息安全的策略體系:是指信息安全總體方針框架、規範和信息安全管理規範、流程、制度的總和。策略體系從上而下分為三個層次:
第壹層 策略總綱策略總綱是該團體組織內信息安全方面的基本制度,是組織內任何部門和人不能違反的,說明了信息安全工作的總體要求。第二層 技術指南和管理規定遵循策略總綱的原則,結合具體部門、應用和實際情況而制定的較專業要求和方法以及技術手段。包括以下兩個部分:技術指南:從技術角度提出要求和方法;管理規定:側重組織和管理,明確職責和要求,並提供考核依據。第三層 操作手冊、工作細則、實施流程遵循策略總綱的原則和技術指南和管理規定,結合實際工作,針對具體系統,對第二層的技術指南和管理規定進行細化,形成可指導和規範具體工作的操作手冊及工作流程,保證安全工作的制度化、日常化。構建第二步 確定適合的信息安全建設方法論太極多年信息安全建設積累的信息安全保障體系建設方法論,也稱“1-5-4-3-4”。即:運用1個基礎理論,參照5個標準,圍繞4個體系,形成3道防線,最終實現4個目標。壹、風險管理基礎理論信息系統風險管理方法論就是建立統壹安全保障體系,建立有效的應用控制機制,實現應用系統與安全系統全面集成,形成完備的信息系統流程控制體系,確保信息系統的效率與效果。二、遵循五個相關國內國際標準在信息安全保障體系的建立過程中我們充分遵循國內國際的相關標準:ISO 27001標準等級保護建設分級保護建設IT流程控制管理(COBIT)IT流程與服務管理(ITIL/ISO20000)三、建立四個信息安全保障體系信息安全組織保障體系:建立信息安全決策、管理、執行以及監管的機構,明確各級機構的角色與職責,完善信息安全管理與控制的流程。信息安全管理保障體系:是信息安全組織、運作、技術體系標準化、制度化後形成的壹整套對信息安全的管理規定。信息安全技術保障體系:綜合利用各種成熟的信息安全技術與產品,實現不同層次的身份鑒別、訪問控制、數據完整性、數據保密性和抗抵賴等安全功能。信息安全運維保障體系:在信息安全管理體系規範和指導下,通過安全運行管理,規範運行管理、安全監控、事件處理、變更管理過程,及時、準確、快速地處理安全問題,保障業務平臺系統和應用系統的穩定可靠運行。四、三道防線第壹道防線:由管理體系、組織體系、技術保系構成完備的安全管理體制與基礎安全設施,形成對安全苗頭進行事前防範的第壹道防線,為業務運行安全打下良好的基礎。第二道防線:由技術體系、運維體系構成事中控制的第二道防線。通過周密的生產調度、安全運維管理、安全監測預警,及時排除安全隱患,確保業務系統持續、可靠地運行。第三道防線:由技術體系構成事後控制的第三道防線。針對各種突發災難事件,對重要信息系統建立災備系統,定期進行應急演練,形成快速響應、快速恢復的機制,將災難造成的損失降到組織可以接受的程度。五、四大保障目標信息安全:保護政府或企業業務數據和信息的機密性、完整性和可用性。系統安全:確保政府或企業網絡系統、主機操作系統、中間件系統、數據庫系統及應用系統的安全。物理安全:使業務和管理信息系統相關的環境安全、設備安全及存儲介質安全的需要得到必要的保證。運行安全:確保業務和管理信息系統的各種運行操作、日常監控、變更維護符合規範操作的要求,保證系統運行穩定可靠。構建第三步 充分的現狀調研和風險評估過程在現狀調研階段,我們要充分了解政府或企業的組織架構、業務環境、信息系統流程等實際情況。只有了解政府或企業的組織架構和性質,才能確定該組織信息安 全保障體系所遵循的標準,另外,還要充分了解政府或企業的文化,保證管理體系與相關文化的融合性,以便於後期的推廣、宣貫和實施。在調研時,采用“假設為 導向,事實為基礎”的方法,假定該政府或企業滿足相關標準的所有控制要求,那麽將通過人工訪談、調查問卷等等各種方式和手段去收集信息,證明或者證偽該組 織的控制措施符合所有標準的要求,然後在此基礎上,對比現狀和標準要求進行差距分析。在風險評估階段,首先對於信息系統的風險評估.其中涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為:對資產進行識別,並對資產的價值進行賦值;對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率賦值;對資產的脆弱性進行識別,並對具體資產的脆弱性的嚴重程度賦值;根據威脅及威脅利用弱點的難易程度判斷安全事件發生的可能性;根據脆弱性的嚴重程度及安全事件所作用資產的價值計算安全事件的損失;根據安全事件發生的可能性以及安全事件的損失,計算安全事件壹旦發生對組織的影響,即風險值。其次,進行信息系統流程的風險評估。根據“國際知名咨詢機構Gartner的調查結果”以及我們在實踐中證實發現,要減少信息系統故障最有效的方式之 壹,就是進行有效的流程管理。因此需要在保證“靜態資產”安全的基礎上,對IT相關業務流程進行有效管理,以保護業務流程這類“動態資產”的安全。構建第四步 設計建立信息安全保障體系總體框架在充分進行現狀調研、風險分析與評估的基礎上,建立組織的信息安全保障體系總綱,總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執行、檢查和 改進所有環節,並對未來3-5年信息安全建設提出了明確的安全目標和規範。信息安全體系框架設計在綜合了現狀調研、風險評估、組織架構和信息安全總綱後, 還需要綜合考慮了風險管理、監管機構的法律法規、國內國際相關標準的符合性。為確保信息安全建設目標的實現,導出該組織未來信息安全任務,信息安全保障體 系總體框架設計文件(壹級文件)將包括:信息安全保障體系總體框架設計報告;信息安全保障體系建設規劃報告;信息安全保障體系將依據信息安全保障體系模型,從安全組織、安全管理、安全技術和安全運維四個方面展開而得到。對展開的四個方面再做進壹步的分解和比較詳細的規定將得到整個政府部門或企業信息安全保障體系的二級文件。具體二級文件包括:信息安全組織體系:組織架構、角色責任、教育與培訓、合作與溝通信息安全管理體系:信息資產管理;人力資源安全;物理與環境安全;通信與操作管理;訪問控制;信息系統獲取與維護;業務連續性管理;符合性;信息安全技術體系:物理層、網絡層、系統層、應用層、終端層技術規範;信息安全運維體系:日常運維層面的相關工作方式、流程、管理等。包括:事件管理、問題管理、配置管理、變更管理、發布管理,服務臺。構建第五步 設計建立信息安全保障體系組織架構信息安全組織體系是信息安全管理工作的保障,以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。我們根據該組織的信息安全總體框架結合實際情況,確定該組織信息安全管理組織架構。信息安全組織架構:針對該組織內部負責開展信息安全決策、管理、執行和監控等工作的各部門進行結構化、系統化的結果。?信息安全角色和職責:主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責。?安全教育與培訓:主要包括對安全意識與認知,安全技能培訓,安全專業教育等幾個方面的要求。?合作與溝通:與上級監管部門,同級兄弟單位,本單位內部,供應商,安全業界專家等各方的溝通與合作?構建第六步 設計建立信息安全保障體系管理體系根據信息安全總體框架設計,結合風險評估的結果以及該組織的信息系統建設的實際情況,參照相關標準建立信息安全管理體系的三、四級文件,具體包括:資產管理:信息系統敏感性分類與標識實施規範與對應表單、信息系統分類控制實規範與對應表單?人力資源安全:內部員工信息安全守則、第三方人員安全管理規範與對應表單、保密協議?物理與環境安全:物理安全區域劃分與標識規範以及對應表單、機房安全管理規範與對應表單、門禁系統安全管理規範與對應表單?訪問控制:用戶訪問管理規範及對應表單、網絡訪問控制規範與對應表單、操作系統訪問控制規範及對應表單、應用及信息訪問規;通信與操作管理:網絡安全管理規範與對應表單、In;信息系統獲取與維護:信息安全項目立項管理規範及對;業務連續性管理:業務連續性管理過程規範及對應表單;符合性:行業適用法律法規跟蹤管理規範及對應表單?;最終形成整體的信息安全管理體系,務必要符合整個組;操作系統訪問控制規範及對應表單、應用及信息訪問規範及對應表單、移動計算及遠程訪問規範及對應表單?通信與操作管理:網絡安全管理規範與對應表單、Internet服務使用安全管理規範及對應表單、惡意代碼防範規範、存儲及移動介質安全管理規範與對應表單?信息系統獲取與維護:信息安全項目立項管理規範及對應表單、軟件安全開發管理規範及對應表單、軟件系統漏洞管理規範及對應表單?業務連續性管理:業務連續性管理過程規範及對應表單、業務影響分析規範及對應表單?符合性:行業適用法律法規跟蹤管理規範及對應表單?最終形成整體的信息安全管理體系,務必要符合整個組織的戰略目標、遠景、組織文化和實際情況並做相應融合,在整個實施過程還需要進行全程的貫穿性培訓. 將整體信息安全保障體系建設的意義傳遞給組織的每個角落,提高整體的信息安全意識。這樣幾方面的結合才能使建設更有效。