對于一個(gè)組織來說,比較切實(shí)可行的第一步是建立信息安全管理框架。
按照英國國家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實(shí)踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》,可以幫助在組織中建立一個(gè)初步的、易于實(shí)施和維護(hù)的管理框架,在框架內(nèi)通過安全管理標(biāo)準(zhǔn),提供組織在信息安全管理的各環(huán)節(jié)上一個(gè)最佳的實(shí)踐指導(dǎo)。
制定組織信息安全計(jì)劃
安全組織建設(shè)計(jì)劃
在一個(gè)組織內(nèi)實(shí)施信息安全的第一步,是根據(jù)企業(yè)目標(biāo)及安全方針,建立信息安全指導(dǎo)委員會(huì)。委員會(huì)要由組織高層領(lǐng)導(dǎo)掛帥,各職能部分相關(guān)負(fù)責(zé)人參加,定期召開會(huì)議,對組織內(nèi)的信息安全問題進(jìn)行討論并作為決策,目的是為組織的信息安全提供指導(dǎo)與支持。
信息安全指導(dǎo)委員會(huì)的主要職能有:審批信息安全方針、政策,分配信息安全管理職責(zé);確認(rèn)風(fēng)險(xiǎn)評估,審批信息安全預(yù)算計(jì)劃及設(shè)施的購置;評審與監(jiān)測信息安全措施的實(shí)施及安全事故的處理;對與信息安全管理有關(guān)的重大更改事項(xiàng)進(jìn)行決策,協(xié)調(diào)信息安全管理隊(duì)伍與各部門之間的關(guān)系。
其次是建立一支專業(yè)、高效的信息安全管理的隊(duì)伍,一般由信息安全主管為核心,并由信息安全日常管理、信息安全技術(shù)操作兩方面的人員組成。在“911”事件以后,為了加強(qiáng)對安全的統(tǒng)一管理,在美國有一種把安全保衛(wèi)部門與信息安全部門合并的趨勢,許多大公司設(shè)置一個(gè)首席安全官(Chief Security Officer)職位,負(fù)責(zé)包括信息安全在內(nèi)的所有安全事宜。由于首席安全官在組織的整體安全管理中有著舉足輕重的作用,這就對首席安全官的管理素質(zhì)、職業(yè)技能提出了全新的挑戰(zhàn)。
安全預(yù)算計(jì)劃
一般來說,沒有特別的需要,為信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的15%,過高的安全成本將使安全失去意義。
由于網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具唾手可得,再加上組織對信息化的依賴性越來越強(qiáng),這在某種程度上造成信息安全的信息防御的成本越來越高,而攻擊的成本則越來越低。所以安全預(yù)算計(jì)劃是一項(xiàng)具有挑戰(zhàn)性的工作,要采用“適度防范”的原則,把有限的資金用在刀刃上。
在制訂預(yù)算計(jì)劃時(shí)考慮以下幾點(diǎn):
首先,不應(yīng)把部署所有安全產(chǎn)品與技術(shù)作為目標(biāo),因?yàn)槟承╋L(fēng)險(xiǎn)可能并不存在,某些風(fēng)險(xiǎn)組織可以容忍和接受。
其次,沒有必要去為追求信息安全的零風(fēng)險(xiǎn),加固所有的安全弱點(diǎn),這些弱點(diǎn)可能因?yàn)槌杀尽⒅R(shí)、文化、法律等方面的因素,沒有人能利用它們。
第三,沒有必要無限制地提高安全保護(hù)措施的強(qiáng)度,只需要將相應(yīng)的風(fēng)險(xiǎn)降到可接受的程度即可。
對安全保護(hù)措施的選擇還要考慮到成本和技術(shù)等因素的限制。
投資回報(bào)計(jì)劃
通常人們只是認(rèn)為信息安全只是花錢的部門,不能產(chǎn)生直接的經(jīng)濟(jì)效益。
在一個(gè)企業(yè)內(nèi)我們經(jīng)常看到這樣的情景:年終總結(jié)會(huì)上,銷售經(jīng)理們在為不斷提高的銷售業(yè)績而沾沾自喜、彈冠相慶時(shí),安全主管對自己的最高獎(jiǎng)賞只能是向總經(jīng)理匯報(bào)“平安無事”。 因此安全預(yù)算經(jīng)常受到質(zhì)疑,特別是在企業(yè)經(jīng)營狀態(tài)不佳時(shí),首先受到壓縮就是信息安全預(yù)算,然而企業(yè)決策者們往往沒有意識(shí)到,過度壓縮的安全預(yù)算,往往會(huì)使企業(yè)蒙受很大的風(fēng)險(xiǎn)。
“911”事件中,當(dāng)Morgan Stanley 集團(tuán)和American Express等公司能在世貿(mào)中心遭受攻擊后數(shù)小時(shí)內(nèi)迅速恢復(fù)服務(wù)時(shí),沒有人懷疑災(zāi)難恢復(fù)計(jì)劃的重要性;“SARS”肆虐時(shí),成功實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃的亞信、摩托羅拉、惠普等公司使人們看到面對這樣的重大災(zāi)害時(shí),企業(yè)怎樣才能避免束手無策。
安全計(jì)劃只有在安全事例發(fā)生后,才能證明其價(jià)值,然而只有在安全事件發(fā)生前,取得企業(yè)決策者們的支持才更有意義。這就需要安全主管與企業(yè)決策者們進(jìn)行有效的溝通,不要企圖用高深的技術(shù)數(shù)據(jù)說服高層管理者們。這樣往往適得其反,安全主管與決策者們的最佳溝通方式就是投資回報(bào)計(jì)劃,安全主管應(yīng)當(dāng)為安全預(yù)算做出一份有說服力的投資回報(bào)計(jì)劃,來獲得決策者們的理解與支持。
信息安全投資回報(bào)計(jì)劃就是要研究信息安全的成本效益,其成本效益組成如下:
◆從系統(tǒng)生命周期看信息安全的成本:獲取成本和運(yùn)行成本;
◆從安全防護(hù)手段看信息安全的成本:技術(shù)成本和管理成本;
◆信息安全的價(jià)值效益:減少信息安全事故的經(jīng)濟(jì)損失;
◆信息安全的非價(jià)值效益:增加聲譽(yù)、提升品牌價(jià)值。
建立信息安全管理框架
對于一個(gè)組織來說,比較切實(shí)可行的第一步的是建立信息安全管理框架。如果沒有一個(gè)完整的管理框架和有效的過程來保證組織中的人員能理解他們的安全責(zé)任與義務(wù),并建立基本的有效的控制措施,那么再好的安全技術(shù)也不能保證組織的信息安全。試想:有什么樣的先進(jìn)技術(shù)能防止員工的有意泄漏和故意破壞?沒有高層管理人員的承諾和明確的安全方針,信息安全是只能是空中樓閣。
按照英國國家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實(shí)踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》,可以幫助在組織中建立一個(gè)初步的、易于實(shí)施和維護(hù)的管理框架,在框架內(nèi)通過安全管理標(biāo)準(zhǔn),提供組織在信息安全管理的各環(huán)節(jié)上一個(gè)最佳的實(shí)踐指導(dǎo)。建立框架后,再通過種細(xì)粒度的安全措施—“技術(shù)防火墻”和“人力防火墻”,就有可能建立起完備信息安全管理體系。
BS7799-1已于2000年12月被國際標(biāo)準(zhǔn)化組織采納,成為ISO17799,我國也即將采用成為CNS17799,因此在國內(nèi)組織采納BS7799-1是適宜的。 BS 7799-1包含100多個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)做過程中對信息安全有影響的元素。這100多個(gè)控制措施被分成10個(gè)方面,成為組織實(shí)施信息安全管理的實(shí)用指南,這十個(gè)方面分別是:方針、安全組織、信息分類與控制、人事安全、物理與環(huán)境安全、通信與運(yùn)營安全、訪問控制、系統(tǒng)開發(fā)與維護(hù)、商務(wù)可持續(xù)運(yùn)營、法律符合。
BS 7799-2 是一個(gè)體系規(guī)范,可以使用該規(guī)范對組織的信息安全管理體系進(jìn)行審核與認(rèn)證。通過使用該規(guī)范能使組織建立信息安全管理體系,包括以下幾個(gè)主要步驟:
建立信息管理框架:設(shè)立方向、信息安全目標(biāo),定義信息安全方針,同時(shí)管理層應(yīng)承諾該方針。
評審組織的信息安全風(fēng)險(xiǎn),投資控制措施需要在信息的價(jià)值、所面臨的風(fēng)險(xiǎn)和這些風(fēng)險(xiǎn)對組織運(yùn)營的影響間保持一個(gè)平衡。
選擇和實(shí)施控制措施,是確定的安全風(fēng)險(xiǎn)減少到可接受的程度。不同的組織將選擇不同的控制措施。
