企業(yè)信息安全評估篇1
【關(guān)鍵詞】風(fēng)險;評估;企業(yè);信息管理
1.企業(yè)信息安全評估的內(nèi)容
企業(yè)在運行中會產(chǎn)生大量的運營數(shù)據(jù),這些數(shù)據(jù)既有日常辦公方面的數(shù)據(jù),也有涉及企業(yè)生產(chǎn)和研發(fā)方面的數(shù)據(jù)。隨著企業(yè)規(guī)模的擴(kuò)大,對這些信息的管理大都是建立在一定的信息管理系統(tǒng)基礎(chǔ)上的,如ERP資源管理系統(tǒng)、MES系統(tǒng)等。這些管理系統(tǒng)管理的內(nèi)容包含了企業(yè)運行中的各類信息,就涉及到如何保障系統(tǒng)運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風(fēng)險,因此需要對企業(yè)的信息管理風(fēng)險程度進(jìn)行評估,在此基礎(chǔ)上尋找彌補信息安全隱患的策略。對企業(yè)信息安全的評估主要有以下幾個方面的內(nèi)容。
1.1 評估企業(yè)的管理制度
企業(yè)管理制度是企業(yè)有序運行的基礎(chǔ),企業(yè)的信息安全也和此密切相關(guān)。很多企業(yè)信息外泄的案例都和企業(yè)管理制度漏洞直接聯(lián)系。因此在評估企業(yè)信息安全時企業(yè)的管理制度是必要的環(huán)節(jié)之一。在這個層面上評估企業(yè)信息安全主要是評估以下幾類基本的管理制度。①企業(yè)信息系統(tǒng)的使用制度;②企業(yè)信息系統(tǒng)的維護(hù)制度;③企業(yè)信息系統(tǒng)操作人員培訓(xùn)制度;④系統(tǒng)設(shè)備和文件管理制度。
1.2 企業(yè)信息系統(tǒng)計算機安全評估
實踐表明大量的企業(yè)信息外泄都和計算機系統(tǒng)的安全漏洞有關(guān)系,因此對企業(yè)信息系統(tǒng)的安全評估是必不可少的環(huán)節(jié)。這類問題的評估需要專業(yè)計算機人員來進(jìn)行,彌補系統(tǒng)安全漏洞是保障企業(yè)信息安全的重要手段。定期或不定期的對企業(yè)信息系統(tǒng)的運行日志和統(tǒng)計資料進(jìn)行檢查是一種行之有效的方法。
2.企業(yè)信息安全風(fēng)險定量評估方法
對上述幾類評估內(nèi)容的定量估計是衡量企業(yè)信息安全的量化手段,其衡量得出的數(shù)值就是企業(yè)信息安全的風(fēng)險值或安全程度指標(biāo)。企業(yè)信息安全的定量風(fēng)險評估考慮因素主要有三個:資產(chǎn)價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數(shù)據(jù)采集的方式來進(jìn)行合成計算,安全風(fēng)險的數(shù)學(xué)表達(dá)式為:。其中為風(fēng)險指標(biāo),表示企業(yè)資產(chǎn)指標(biāo),為代表威脅,為脆弱性指標(biāo)。上述三類因素的基礎(chǔ)數(shù)據(jù)都需要從實踐中通過調(diào)研和測試來獲得。
2.1 企業(yè)信息安全估價的描述方法
企業(yè)的資產(chǎn)既包括有形的資產(chǎn),也包括無形的資源,表現(xiàn)形式也從機械設(shè)備到軟件文檔等多種多樣。企業(yè)信息安全又有其特殊性。企業(yè)信息安全的安全屬性估價需要從資產(chǎn)的保密性、完整性和可用性三個方面來展開評估。由于企業(yè)各類資產(chǎn)的形式各異,資產(chǎn)的安全級別無法用通用的量化標(biāo)準(zhǔn)來記性評估,因此采用的方法為定性的CIA模糊集合方式來描述,如“資產(chǎn)安全級別”={“很高”、“高”、“中等”、“低”、“較低”}等模糊語言來描述,對應(yīng)的論域為{5、4、3、2、1}。企業(yè)信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述,綜合上述三類安全屬性的公式為:。上式中分別為企業(yè)信息安全的保密性、完整性和可用性的賦值,取值為1,2…5,為綜合評定指標(biāo)。筆者這里提供一些評價指標(biāo)的選取標(biāo)準(zhǔn):
(1)信息保密性的評定標(biāo)準(zhǔn)
①很高:這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,信息泄漏將嚴(yán)重影響企業(yè)的利益;②高:這類級別的企業(yè)信息泄露會對到企業(yè)經(jīng)濟(jì)效益造成明顯損害;③中等:企業(yè)的一般性的經(jīng)營、決策信息,泄露對企業(yè)不利;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息;⑤較低:企業(yè)可對外界公布的信息類型。
(2)信息完整性的評定標(biāo)準(zhǔn)
①很高:這類級別的企業(yè)信息包含企業(yè)的核心關(guān)鍵決策信息,其完整性直接決定企業(yè)的業(yè)務(wù)完整性,一旦缺失就無法彌補;②高:這類信息修改必須經(jīng)過高層授權(quán),一旦缺失將嚴(yán)重影響業(yè)務(wù),一旦缺失彌補難度很大;③中等:企業(yè)的一般性的經(jīng)營、決策信息,其修改需授權(quán),缺失后可彌補;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息,缺失后對企業(yè)運行影響較小,易于彌補;⑤較低:企業(yè)可對外界公布的信息類型,缺失后對企業(yè)運行無明顯影響。
(3)信息可用性的評定標(biāo)準(zhǔn)
①很高:這類信息具有最重要的實用性,企業(yè)的運作必須依照運行的信息類型;②高:這類信息的可用性價值較高,企業(yè)運作對其依賴性較高;③中等:這類信息屬于可部分不可用的類型,部分不可用不影響企業(yè)的正常運作;④低:這類企業(yè)信息一般指企業(yè)內(nèi)部部門的局部信息,信息不可用不會造成明顯影響;⑤較低:這類信息使用性不高,信息不可用的影響可以忽略。
2.2 企業(yè)信息安全威脅程度的量化方法
企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的,既可能來自于系統(tǒng)的用戶(合法用戶或非法入侵)操作,也可能來自于系統(tǒng)的物理組件的損壞。這兩類威脅中最大也最常見的是系統(tǒng)用戶在操作方面的失誤、非法用戶利用系統(tǒng)漏洞來竊取企業(yè)機密信息,以及計算機病毒對信息系統(tǒng)的侵襲等。但這些事件都不易量化,在做風(fēng)險評估時需要依賴專家經(jīng)驗,對各種潛在的威脅因素給出一定的概率值,對各類威脅因素可按照和上節(jié)類似的方法,用形如:“威脅程度”={“很高”、“高”、“中等”、“低”、“較低”}等模糊集合來表達(dá),對應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評定標(biāo)準(zhǔn)如下:①很高:風(fēng)險事件發(fā)生的頻率很高,或?qū)ζ髽I(yè)信息安全具有明顯的威脅,但又很難避免的情形;②高:風(fēng)險事件發(fā)生的可能性較大或有發(fā)生先例;③中等:風(fēng)險事件有可能發(fā)生,但尚未實際發(fā)生過的情形;④較低:風(fēng)險事件發(fā)生的可能性較小,通常情況下不會發(fā)生;⑤很低:幾乎不可能發(fā)生的風(fēng)險事件類型;
2.3 信息系統(tǒng)脆弱性的量化方法
信息系統(tǒng)脆弱性的評估和系統(tǒng)面臨的威脅是緊密相關(guān)的,所有的實際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來發(fā)揮破壞性作用的,因此信息系統(tǒng)的脆弱性和威脅存點對點或單點對多點的關(guān)系。為便于計算,也采用和衡量系統(tǒng)威脅程度時相同的表示方法,“系統(tǒng)脆弱性”={“很高”、“高”、“中等”、“低”、“較低”},對應(yīng)于相應(yīng)的論域{5、4、3、2、1}。建議評定標(biāo)準(zhǔn)為:①很高:這類評定往往要基于企業(yè)信息系統(tǒng)存在明顯而易于攻擊的技術(shù)漏洞或者是管理規(guī)范上的缺陷,極易被非法使用的情形;②高:企業(yè)信息系統(tǒng)存在一定的技術(shù)漏洞或管理規(guī)范上的缺陷,容易被攻擊和利用;③中等:企業(yè)信息系統(tǒng)存在不易被發(fā)現(xiàn)(下轉(zhuǎn)第125頁)(上接第121頁)的技術(shù)漏洞,或必須經(jīng)過人為非法操作才能被攻擊的管理規(guī)范上的漏洞;④低:企業(yè)信息系統(tǒng)不存在明顯的技術(shù)漏洞,或企業(yè)信息管理制度較為完善,不易被攻擊利用;⑤較低:企業(yè)信息系統(tǒng)技術(shù)較為完善,管理制度也較為合理,被攻擊點可能性很小。
2.4 信息安全的風(fēng)險計算
按照風(fēng)險的定義,風(fēng)險包括風(fēng)險事件發(fā)生的可能性和相應(yīng)的后果。在企業(yè)信息系統(tǒng)中,各組成部分發(fā)生風(fēng)險事件后的后果是不一樣的,其嚴(yán)重程度也存在差異。因此在風(fēng)險計算時需要明確兩個方面的內(nèi)容,一是風(fēng)險的計算方式,二是對風(fēng)險計算量化數(shù)值的評價。各因素風(fēng)險值的計算按:來計算,即按資產(chǎn)價值、資產(chǎn)脆弱性和資產(chǎn)面臨的威脅性的乘積來衡量某種信息資產(chǎn)的風(fēng)險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風(fēng)險值之后,還需要建立起以風(fēng)險值為基礎(chǔ)的風(fēng)險評價體系。
由前文的分析可見,風(fēng)險的定量估計是一個由三類風(fēng)險因素的線性乘積得出的。每一類信息的最高等級論域數(shù)值為5,最低為1,因此組合情況下風(fēng)險值的最高值為125,最低值為1。由此可建立其與之對應(yīng)的風(fēng)險定量評價體系。筆者建議采用與之對應(yīng)的5級評定方式:①很高:風(fēng)險值估計范圍在100~125之間,表明企業(yè)信息系統(tǒng)存在很高的安全風(fēng)險,發(fā)生信息泄露的可能性非常高;②高:風(fēng)險估計值在75~100之間,表明企業(yè)信息系統(tǒng)存在較大的安全風(fēng)險,發(fā)生信息泄露的可能性較大;③中等:風(fēng)險估計值在50~75之間,企業(yè)信息系統(tǒng)的安全風(fēng)險一般,經(jīng)過審查后能夠避免風(fēng)險事件;④低:風(fēng)險估計值在25~50之間,企業(yè)信息系統(tǒng)發(fā)生信息泄露的可能性很小;⑤很低:風(fēng)險估計值在0~25之間,企業(yè)信息系統(tǒng)比較安全,但需要定期維護(hù)。
3.結(jié)語
企業(yè)信息系統(tǒng)安全管理關(guān)系到企業(yè)的內(nèi)部運營數(shù)據(jù)的安全,是需要引起高度重視的問題。本文將企業(yè)信息安全評估中幾類常用的信息類型進(jìn)行了風(fēng)險量化評估,給出了以線性乘積為基礎(chǔ)的風(fēng)險量化方法,最后給出了分等級的企業(yè)信息安全綜合評定。
參考文獻(xiàn)
[1]沈昌樣.關(guān)于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.
[2]沈昌祥,馬東平,等.信息安全工程學(xué)導(dǎo)論[M].電子工業(yè)出版社,2009,9.
[3]熊松錳,張志平.構(gòu)建網(wǎng)絡(luò)信息的安全防護(hù)體系[J].情報學(xué)報,2011,22.
企業(yè)信息安全評估篇2
1.1信息安全管理有效性測量目的
信息安全管理有效性測量的根本目的,是評估企業(yè)信息安全管理的真實水平。在企業(yè)建立信息系統(tǒng)時,通常都會依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)、信息組成、利益關(guān)系、安全標(biāo)準(zhǔn)等方面的要求,來設(shè)定企業(yè)信息系統(tǒng)的安全管理目標(biāo),構(gòu)筑相應(yīng)的安全管理體系和措施。對企業(yè)信息安全管理有效性進(jìn)行測量,不僅可以對企業(yè)信息安全管理目標(biāo)實現(xiàn)程度進(jìn)行科學(xué)準(zhǔn)確的評估,還能準(zhǔn)確地評測企業(yè)信息安全管理系統(tǒng)的效能,作為企業(yè)信息安全管理考核的依據(jù)。實際上,如果不進(jìn)行有效性測量,只依賴于信息系統(tǒng)安全測量標(biāo)準(zhǔn)來評估企業(yè)信息系統(tǒng)安全管理水平,將會造成極大的誤差,甚至產(chǎn)生很多安全漏洞,使企業(yè)實際信息安全管理水平與所需達(dá)到的水平相差甚遠(yuǎn),如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無法得到有效的解決,造成巨大的信息安全隱患。通過有效性測量,能更好地找出企業(yè)信息安全管理需要改進(jìn)的地方,充分反應(yīng)企業(yè)信息安全管理存在的問題和嚴(yán)重程度,為企業(yè)信息安全管理工作的改進(jìn)提供依據(jù)。
1.2信息安全管理有效性測量指標(biāo)
信息安全管理不僅是國內(nèi)企業(yè)的需要,也是國外企業(yè)的需要,相對來說,國外在信息安全管理方面的水平更高。目前,在國際上普遍采用ISO/IEC27002作為信息安全管理標(biāo)準(zhǔn),以此來實施信息安全管理,這一標(biāo)準(zhǔn)是當(dāng)前最權(quán)威和最科學(xué)的信息安全管理標(biāo)準(zhǔn),在這一標(biāo)準(zhǔn)中從信息安全方針、組織、管理等方面,提出了100余個控制措施,信息安全管理中可以根據(jù)企業(yè)的需要選擇相應(yīng)的措施進(jìn)行信息安全管理,該標(biāo)準(zhǔn)所提出的措施,基本覆蓋了企業(yè)信息安全管理的各個方面。在構(gòu)建信息安全管理有效性測量指標(biāo)體系時,也可以按照ISO/IEC27002標(biāo)準(zhǔn)進(jìn)行,將測量內(nèi)容分解為管理控制、運行控制、技術(shù)控制3個方面,并根據(jù)企業(yè)實際情況采用具有代表性、可測量的指標(biāo)建立起測量指標(biāo)集,對這些指標(biāo)實施情況進(jìn)行采集分析,再通過專家咨詢評測最終得到企業(yè)信息安全管理有效性的具體指標(biāo),評估企業(yè)信息安全達(dá)到的水平,找出企業(yè)信息安全管理的不足。
2測量方法和指標(biāo)計算
2.1測量方法
在信息安全管理有效性測量中,應(yīng)當(dāng)對指標(biāo)進(jìn)行量化處理,最終形成量化測量結(jié)果。不同的指標(biāo),所采用的測量方法并不相同,通常采用的測量方法有風(fēng)險分析、風(fēng)險評估、問卷調(diào)查、個人訪談、內(nèi)部審核、報表統(tǒng)計、滲透性測試、內(nèi)外對比等方法。對不同的指標(biāo)采用相應(yīng)的測量方法進(jìn)行測量后,得到各指標(biāo)的基本測度結(jié)果,再運用不同的技術(shù)對所獲得的基本測度結(jié)果進(jìn)行取值,賦予不同指標(biāo)以不同的安全風(fēng)險權(quán)重,最終算出企業(yè)信息安全管理有效性水平。例如在信息安全管理控制方面,需要對信息系統(tǒng)安全性,信息處理、信息傳輸、信息存儲安全性進(jìn)行評價,并評估這些風(fēng)險可能對企業(yè)資產(chǎn)造成的威脅以及威脅程度,結(jié)合安全問題所涉及的資產(chǎn)價值來判斷可能造成的影響,以評估信息安全管理控制的有效性,這其中,就需要將信息安全管理控制分解為多個指標(biāo)進(jìn)行測量,并根據(jù)對資產(chǎn)價值的影響能力賦予不同的權(quán)重和取值,才能最終確定出企業(yè)信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面,需要對人員安全、安全意識、環(huán)境安全、業(yè)務(wù)聯(lián)系、事件管理等進(jìn)行有效性評估,其中人員安全包括各個人員的安全評級和安全管理情況,安全意識包括企業(yè)安全教育、人員安全技術(shù)水平等,環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等。
2.2指標(biāo)計算
在信息安全管理有效性測量中,各指標(biāo)的在安全管理有效性中的權(quán)重并不相同,因此信息安全管理有效性測量結(jié)果,不是對各指標(biāo)的測量結(jié)果進(jìn)行簡單相加,而是要對不同的指標(biāo)賦予不同的權(quán)重,構(gòu)建起評測矩陣,并充分考慮各指標(biāo)之間的聯(lián)系賦值,如極端重要、強烈重要、明顯重要、稍微重要等,根據(jù)不同指標(biāo)的權(quán)重進(jìn)行重要性排序后,對其特征向量進(jìn)行求解,確定各指標(biāo)在企業(yè)信息安全管理中的影響能力。各指標(biāo)的權(quán)重,并沒有統(tǒng)一的標(biāo)準(zhǔn),也不可能簡單地借鑒其他企業(yè)的測量權(quán)重,根據(jù)不同企業(yè)有不同的特點,在進(jìn)行測量時,應(yīng)當(dāng)有相當(dāng)數(shù)量的專家參與權(quán)重賦值,在消除偶然因素的影響后建立起符合企業(yè)特點的指標(biāo)權(quán)重體系,得出較為科學(xué)合理的指標(biāo)權(quán)重,這樣才能使最重的測量結(jié)果更為科學(xué)合理。
3結(jié)束語
信息安全問題關(guān)系著企業(yè)的競爭發(fā)展,在企業(yè)信息安全管理中,并不是構(gòu)建了先進(jìn)的硬件平臺和軟件系統(tǒng)就能切實提高企業(yè)信息安全管理水平,還需要保證信息安全管理的有效性,因此信息安全管理有效性測量極為重要。不過當(dāng)前我國信息安全管理有效性測量才剛剛起步,雖然有很多先進(jìn)的國內(nèi)外經(jīng)驗可供借鑒,但信息安全管理有效性測量有極大的個性化特點,需要根據(jù)不同企業(yè)采用不同的測量方法,建立起不同的指標(biāo)體系,運用不同的權(quán)重賦值進(jìn)行有效性評估,這樣才能提高測量的科學(xué)性和合理性,降低測量誤差。
企業(yè)信息安全評估篇3
關(guān)鍵詞:信息安全;安全生產(chǎn)風(fēng)險管理體系;風(fēng)險評估;風(fēng)險控制
0引言
隨著信息化建設(shè)的飛速發(fā)展和普及,各行各業(yè)的網(wǎng)絡(luò)化、信息化水平顯著提高,無論是電網(wǎng)安全穩(wěn)定經(jīng)濟(jì)運行還是企業(yè)管理業(yè)務(wù)運轉(zhuǎn)都離不開信息化系統(tǒng)的支持,在信息化帶來高效率的同時不得不考慮網(wǎng)絡(luò)化帶來的安全問題。企業(yè)信息安全管理的有效性,關(guān)系企業(yè)或國家機密,一旦面臨威脅和遭遇攻擊,就會給企業(yè)或國家?guī)韲?yán)重的損失[1]。目前在我國電力企業(yè)信息安全管理領(lǐng)域,信息安全風(fēng)險管理依然研究不夠深入,較多采取的基于問題的管理方式,遭到攻擊或同類行業(yè)遭到攻擊后,進(jìn)行系統(tǒng)排查,查找系統(tǒng)漏洞,然后堵住漏洞,這種被動式的管理方式為企業(yè)的安全生產(chǎn)埋下較大安全隱患。安全是企業(yè)的生命線,只有事前做好各類防范和應(yīng)急處置,管控風(fēng)險是實現(xiàn)安全生產(chǎn)的重要保證,在電力企業(yè)信息化建設(shè)過程中建立一套基于風(fēng)險的信息安全管理體系,降低信息安全事件發(fā)生概率是現(xiàn)代電力企業(yè)需要深入研究的問題[2]。
1風(fēng)險管理體系概述
1.1安全生產(chǎn)風(fēng)險管理體系概念
安全生產(chǎn)風(fēng)險管理體系是南方電網(wǎng)借鑒國際先進(jìn)安全管理理念的基礎(chǔ)上,基于電網(wǎng)實際情況提出的了一種安全生產(chǎn)風(fēng)險管理思路和方法,以風(fēng)險管控為主線、以“計劃-實施-檢查-改進(jìn)(PDCA)“閉環(huán)管理為原則,系統(tǒng)地提出了安全生產(chǎn)管理的具體內(nèi)容,指明了風(fēng)險管控的目標(biāo)、規(guī)范要求和管理途徑,為南方電網(wǎng)安全生產(chǎn)管理和作業(yè)提出了具體的工作指引[3]。安全生產(chǎn)風(fēng)險管理體系核心思想為“基于風(fēng)險、系統(tǒng)性、規(guī)范性、持續(xù)改進(jìn)”:基于風(fēng)險是指企業(yè)應(yīng)基于實際面臨的風(fēng)險確定核心業(yè)務(wù)和基于各類風(fēng)險管控脈絡(luò)及影響業(yè)務(wù)目的性的風(fēng)險因素業(yè)務(wù)流程節(jié)點的設(shè)計;系統(tǒng)性是指企業(yè)在設(shè)計管理系統(tǒng)框架及業(yè)務(wù)流程節(jié)點時,保證流程節(jié)點的充分性并遵循PDCA的閉環(huán)管理模式,理清業(yè)務(wù)與業(yè)務(wù)之間的輸入、輸出關(guān)系;規(guī)范性是指企業(yè)應(yīng)明確各項工作的執(zhí)行標(biāo)準(zhǔn),確保執(zhí)行標(biāo)準(zhǔn)的唯一性、科學(xué)性,同時企業(yè)各部門、生產(chǎn)單位、班組能夠按照標(biāo)準(zhǔn)開展工作,保證企業(yè)管理的統(tǒng)一性;持續(xù)改進(jìn)是指企業(yè)應(yīng)建立完善的問題發(fā)現(xiàn)機制及問題改進(jìn)機制,能夠及時發(fā)現(xiàn)系統(tǒng)運行過程中存在的問題并進(jìn)行改進(jìn),同時不斷地完善企業(yè)管理系統(tǒng)的策劃,實現(xiàn)管理系統(tǒng)的持續(xù)改進(jìn)。自2007年建立以來,全網(wǎng)范圍內(nèi)風(fēng)險管控方法得到有效應(yīng)用,安全生產(chǎn)管理基礎(chǔ)得到進(jìn)一步夯實,主要安全生產(chǎn)指標(biāo)持續(xù)向好。
1.2基于風(fēng)險的信息安全管理框架
南方電網(wǎng)安全生產(chǎn)風(fēng)險管理體系,為電網(wǎng)企業(yè)提供了非常有效的一套安全生產(chǎn)管理方法,其基于風(fēng)險的管理思路遵循國際通用的“危害識別、風(fēng)險評估、風(fēng)險控制、風(fēng)險回顧”風(fēng)險管控模型,強調(diào)事前風(fēng)險分析和評估、事中落實管控措施、事后總結(jié)回顧和改進(jìn),目前主要應(yīng)用在電網(wǎng)、設(shè)備、作業(yè)和職業(yè)健康風(fēng)險管控上,并取得了不錯的成績,也為信息安全管理帶來了有益的啟示,即可以通過引入該方法和結(jié)合業(yè)務(wù)實踐建立基于風(fēng)險的信息安全管理框架,探索信息安全風(fēng)險管理長效機制[4]。
2基于風(fēng)險的信息安全風(fēng)險管理體系建立的重要環(huán)節(jié)
2.1確定風(fēng)險評估的目標(biāo)
從管理目的出發(fā),是安全生產(chǎn)風(fēng)險管理體系的一個重要思想,以目的為導(dǎo)向,分析在現(xiàn)狀下實現(xiàn)目的存在的障礙因素,也就是管理關(guān)鍵流程節(jié)點,從而確定業(yè)務(wù)的管理脈絡(luò),實現(xiàn)以基于風(fēng)險的管理思路,最終達(dá)到業(yè)務(wù)工作的系統(tǒng)化和規(guī)范化。信息安全管理目標(biāo)就是要實現(xiàn)信息系統(tǒng)的基本安全特性,并達(dá)到所需要的保障級別[3]。信息安全的基本安全屬性包括資產(chǎn)的保密性、完整性和可用性,資產(chǎn)的三性對于維持現(xiàn)金流動、企業(yè)效益、法律法規(guī)要求等是非常必要的。企業(yè)的風(fēng)險評估目標(biāo)來源于企業(yè)中長期發(fā)展戰(zhàn)略目標(biāo)的需求,滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面[4]。
2.2風(fēng)險識別
風(fēng)險識別是指在運用各種方法全面、系統(tǒng)地識別出在信息安全管理中的風(fēng)險,找出潛在的原因。一個組織的信息系統(tǒng)和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo),同時,由于企業(yè)信息化水平的逐步提高,對于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加,企業(yè)可能出現(xiàn)更多的脆弱性[5]。在信息安全管理中主要從資產(chǎn)、威脅、脆弱性三個角度識別風(fēng)險。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量,而是由資產(chǎn)的三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響[6]。信息安全管理的最終目標(biāo)是在滿足企業(yè)中長期發(fā)展對信息化水平要求的同時,確保信息安全的三性,降低信息安全事故事件發(fā)生的概率。影響該目標(biāo)實現(xiàn)的因素有危害因素識別是否全面、風(fēng)險評估結(jié)果是否準(zhǔn)確、措施是否有效,因此選擇合適的風(fēng)險評估辦法和模型,對信息安全管理來說至關(guān)重要。
2.3信息安全風(fēng)險評估
2.3.1信息安全風(fēng)險評估模型
風(fēng)險評估是在確定影響信息安全風(fēng)險評估的三個維度的基礎(chǔ)上,選擇定性或者定量的風(fēng)險評估方法,對識別出的風(fēng)險發(fā)生的可能性或可能導(dǎo)致的后果進(jìn)行衡量,并根據(jù)評估結(jié)果劃分風(fēng)險等級,然后建立分層分級的管控措施。在完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對組織的影響,即安全風(fēng)險值=R(A,T,V)=R(L(T,V),F(xiàn)(A,V))。
2.3.2信息安全風(fēng)險評估實施與運行
(1)信息安全風(fēng)險概述通俗來講,風(fēng)險概述就是風(fēng)險的管理方案,基于風(fēng)險評估的結(jié)果,制定年度風(fēng)險管控重點工作安排,為年度安全生產(chǎn)工作計劃提供方向。概述報告編制時,應(yīng)充分考慮風(fēng)險數(shù)據(jù)的輸出應(yīng)用,為涉及相關(guān)單位(部門)的管理提供輸入。風(fēng)險概述報告至少包含以下信息:風(fēng)險描述、風(fēng)險范疇、風(fēng)險細(xì)分種類、風(fēng)險等級和風(fēng)險控制措施,并按風(fēng)險等級排序。(2)風(fēng)險控制風(fēng)險控制是在風(fēng)險評估之后,控制措施建議應(yīng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響,結(jié)合法律法規(guī)、國家、行業(yè)、上級主管單位和公司有關(guān)政策要求以及當(dāng)前的重點任務(wù)統(tǒng)籌考慮選擇合適的風(fēng)險控制措施。風(fēng)險控制方法一般按照以下順序進(jìn)行選擇:消除/終止、替代、轉(zhuǎn)移、工程、隔離/閉鎖、行政管理、個人防護(hù)等。總的來說控制措施從管理措施和技術(shù)措施兩個方面提出,優(yōu)先考慮技術(shù)措施。屬于組織結(jié)構(gòu)不完善的,建立信息安全組織體系。屬于管理措施的融入管理辦法,編制各層次的信息安全管理體系文件,包括信息安全管理制度、人員安全管理制度、信息系統(tǒng)項目建設(shè)管理制度、信息系統(tǒng)運維管理制度,明確管理要求;屬于物理安全隱患的,加強機房、門控、安保系統(tǒng)和隊伍建設(shè);屬于信息系統(tǒng)保護(hù)的,納入信息安全項目建設(shè)計劃,提高防病毒、漏洞補丁、安全配置、安全認(rèn)證、訪問控制、數(shù)據(jù)加密、入侵檢測等保護(hù)能力;屬于作業(yè)過程執(zhí)行的措施,將信息安全管控要求納入作業(yè)指導(dǎo)書、“兩票”等作業(yè)標(biāo)準(zhǔn),減少人的因素引發(fā)的信息安全事故事件;屬于人員技能和意識的納入教育培訓(xùn)計劃;屬于信息安全應(yīng)急響應(yīng)的建立信息安全應(yīng)急預(yù)案或現(xiàn)場處置方案,并按照演練計劃開展應(yīng)急演練[7]。
2.4風(fēng)險監(jiān)測
風(fēng)險控制措施制定后需要對措施的有效性進(jìn)行評估,發(fā)布年度風(fēng)險預(yù)控措施計劃表。風(fēng)險控制措施應(yīng)明確責(zé)任單位(部門)、責(zé)任人、完成時間。在制定風(fēng)險控制措施時,應(yīng)避免控制措施帶來新的風(fēng)險。結(jié)合年度風(fēng)險預(yù)控措施表和變化識別內(nèi)容,制定月度風(fēng)險監(jiān)督計劃,并明確各項預(yù)控措施執(zhí)行情況的各級監(jiān)督部門,確保風(fēng)險措施按計劃落實執(zhí)行。
2.5管理回顧,持續(xù)改進(jìn)
PDCA閉環(huán)管理是安全生產(chǎn)風(fēng)險管理體系核心之一,通過定期開展管理回顧,審視信息安全風(fēng)險管控的有效性,進(jìn)而形成長效機制持續(xù)改進(jìn)。在回顧過程中注意以下幾個方面:(1)識別變化,優(yōu)化管控手段企業(yè)所面臨的內(nèi)部和外部環(huán)境不是一成不變的,當(dāng)變化產(chǎn)生時需要及時識別也調(diào)整管控措施。當(dāng)法律法規(guī)變化時需要及時對法律法規(guī)風(fēng)險進(jìn)行識別和融入;當(dāng)國際、國內(nèi)信息安全態(tài)勢發(fā)生變化、信息安全漏洞不斷涌現(xiàn)時及時更新防護(hù)技術(shù)手段、優(yōu)化管理標(biāo)準(zhǔn)、更新應(yīng)急處置方案,并保存變化過程的相關(guān)資料。(2)建立糾正與預(yù)防系統(tǒng)安全生產(chǎn)風(fēng)險管理體系核心思想之一就是持續(xù)改進(jìn),通過建立問題發(fā)現(xiàn)機制和問題改進(jìn)機制最終實現(xiàn)企業(yè)的管理水平持續(xù)提升[8]。在信息安全管理方面,糾正與預(yù)防的來源包括信息安全防護(hù)系統(tǒng)檢測情況、系統(tǒng)運行分析統(tǒng)計、外部信息安全形勢、檢查發(fā)現(xiàn)問題等,并進(jìn)行根本原因分析,制定糾正或預(yù)防措施,通過評估措施的有效性,進(jìn)行統(tǒng)計輸出應(yīng)用,輸出應(yīng)用到信息安全管理制度、能力與意識提升等各個環(huán)節(jié),進(jìn)而確保企業(yè)的信息安全管理水平得到持續(xù)提升。
3結(jié)語
企業(yè)信息安全評估篇4
一、運用系統(tǒng)的思想和方法,查找信息安全管理的“短扳”
隨著企業(yè)信息化的快速發(fā)展,信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理一些傳統(tǒng)做法,沒有體現(xiàn)信息化特點和要求,越來越不適應(yīng)信息系統(tǒng)的快速發(fā)展和變革;管理不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象,對外來人員也缺乏有效的識別管理;管理制度不夠系統(tǒng)。以前雖然制訂了較多的制度和標(biāo)準(zhǔn),當(dāng)信息化發(fā)展到一定程度,這些制度就顯得很單薄,就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復(fù)、交叉、不一致,有些制度不切實際,往往束之高閣;風(fēng)險評估不夠科學(xué)。以往的信息風(fēng)險評估不夠系統(tǒng),主觀性過強,缺乏綜合平衡,抓不住重點,或過度保護(hù),或產(chǎn)生管理死角,事后控制多,事前預(yù)控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設(shè)中普遍感覺到的問題。隨著科學(xué)技術(shù)的進(jìn)步,企業(yè)信息運行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進(jìn)管理方式、建立信息安全管理體系打下了扎實的基礎(chǔ)。為此,嘉興電力局根據(jù)國際上信息安全管理的最佳實踐,結(jié)合供電企業(yè)的實際,從信息安全風(fēng)險評估管理入手,貫徹ISO/IEC27001:**信息安全管理標(biāo)準(zhǔn),建立了信息安全管理體系。通過體系有效運作,達(dá)到了供電企業(yè)信息安全管理“預(yù)控、能控、可控、在控”的目的。
二、從資產(chǎn)識別入手,搞好信息安全風(fēng)險評估
按《信息安全風(fēng)險評估控制程序》,對所有的資產(chǎn)進(jìn)行了列表識別,并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值。在風(fēng)險評估中,共識別資產(chǎn)2810項,其中確定的重要資產(chǎn)總數(shù)為312項,形成了《重要資產(chǎn)清單》。
圖1.《重要信息資產(chǎn)按部門分布圖》
對重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進(jìn)行識別,并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進(jìn)行了賦值分析,確定風(fēng)險等級和可接受程度,形成了《重要資產(chǎn)風(fēng)險評估表》。針對每一項威脅、薄弱點,對資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計算風(fēng)險等級,判斷風(fēng)險為可接受的還是需要處理的。根據(jù)風(fēng)險評估的結(jié)果,形成風(fēng)險處理計劃。對于信息安全風(fēng)險,應(yīng)考慮控制措施與費用的平衡原則,選用適當(dāng)?shù)拇胧_定是接受風(fēng)險、避免風(fēng)險,還是轉(zhuǎn)移風(fēng)險。
嘉興電力局經(jīng)過風(fēng)險評估,確定了不可接受風(fēng)險84項,其中硬件和設(shè)施52項,軟件和系統(tǒng)0項,文檔和數(shù)據(jù)8項,服務(wù)0項,人力資源24項。
根據(jù)風(fēng)險評估的結(jié)果,對可接受風(fēng)險,保持原有的控制措施,同時按ISO/IEC17799:**《信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則》和系統(tǒng)應(yīng)用的要求,對控制措施進(jìn)行完善。針對不可接受風(fēng)險,由各部門制定了相應(yīng)的安全控制措施。制訂控制措施主要考慮了風(fēng)險評估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求,以期達(dá)到風(fēng)險降低的目的。控制措施的實施將從避免風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險等方面,將風(fēng)險降低到可接受的水平。
圖2.《各類不可接受風(fēng)險按系統(tǒng)分布圖》。
三、按照ISO標(biāo)準(zhǔn)要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動的信息系統(tǒng),按ISO/IEC27001:**《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》規(guī)定,參照ISO/IEC17799:**《信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則》,建立信息安全管理體系,簡稱ISMS。確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營銷、服務(wù)和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務(wù)實、有效。”
為實現(xiàn)信息安全管理體系方針,嘉興電力局在各層次建立完整的信息安全管理組織機構(gòu),確定信息安全目標(biāo)和控制措施,明確信息安全的管理職責(zé);識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;定期進(jìn)行信息安全風(fēng)險評估,采取糾正預(yù)防措施,保證體系的持續(xù)有效性;采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲存和保護(hù)各類信息,實現(xiàn)信息共享;對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn),不斷增強員工的信息安全意識和能力;制定并保持完善的業(yè)務(wù)連續(xù)性計劃,實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制訂的信息安全管理目標(biāo)是:2級以上信息安全事件為0;不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導(dǎo)致供電中斷的信息事故;減少有關(guān)的法律風(fēng)險。
嘉興電力局根據(jù)風(fēng)險評估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照ISO/IEC27001:**標(biāo)準(zhǔn)要求,整合原有的企業(yè)信息安全管理標(biāo)準(zhǔn)、規(guī)章制度,形成了科學(xué)、嚴(yán)密的信息安全管理體系文件框架,包括信息安全管理手冊;《信息安全風(fēng)險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個程序文件,制定了16個支撐性作業(yè)文件。
四、運用過程方法,實施信息安全管理體系
在信息安全管理過程中,重點是抓好人員安全、風(fēng)險評估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié),采取明確職責(zé)、動態(tài)檢查、嚴(yán)格考核等措施,使信息安全走上常態(tài)管理之路。
圖3:信息安全管理體系實施過程
重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務(wù),信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)(權(quán)限)變更等方面,嚴(yán)格執(zhí)行體系的相關(guān)控制程序。
強化人員安全管理。在勞動合同、崗位說明書中,明確員工信息安全職責(zé)。特殊崗位的人員規(guī)定特別的安全責(zé)任,對信息關(guān)鍵崗位實行備案制度。對崗位調(diào)動或離職人員,及時調(diào)整安全職責(zé)和權(quán)限。定期對員工進(jìn)行信息安全教育和技能培訓(xùn)、比武、考試。
重視相關(guān)方管理。對軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責(zé)。簽訂保密協(xié)議、辦理入網(wǎng)申請、進(jìn)行入網(wǎng)教育等。識別客戶、合作方、相關(guān)方、法律法規(guī)對信息安全的要求,采取措施,保證滿足安全要求。
企業(yè)信息安全評估篇5
論文摘要:文章首先分析了信息安全外包存在的風(fēng)險,根據(jù)風(fēng)險提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險與管理的具體實施。文章以期時信息安全外包的風(fēng)險進(jìn)行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風(fēng)險
1.1信任風(fēng)險
企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業(yè)造成巨大的損害。并且,如若企業(yè)無法信任外包商,不對外包商提供一些關(guān)鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會對服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風(fēng)險規(guī)避的重點內(nèi)容。
1.2依賴風(fēng)險
企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當(dāng)?shù)娘L(fēng)險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商,但相應(yīng)地會加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性,其本質(zhì)是中期到長期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進(jìn)化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準(zhǔn)確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。
1.3所有權(quán)風(fēng)險
不管外包商提供服務(wù)的范圍如何,企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé),并且其服務(wù)級別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到,應(yīng)該將信息安全作為其首要責(zé)任,并進(jìn)行安全培訓(xùn)課程,增強常規(guī)企業(yè)的安全意識。
1.4共享環(huán)境風(fēng)臉
信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險,因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風(fēng)險。
1.5實施過程風(fēng)險
啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡,這一切都可能引起新的風(fēng)險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃,并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風(fēng)險的時間期限做出了限制。
1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險
如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風(fēng)險。合作關(guān)系失敗帶來的經(jīng)濟(jì)損失、時間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。
2信息安全外包的管理框架
要進(jìn)行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業(yè)實施和管理外包活動,協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風(fēng)險,從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn),然后是對企業(yè)遭受的風(fēng)險進(jìn)行系統(tǒng)的評估.并根據(jù)方針和風(fēng)險程度.決定風(fēng)險管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu),同時加強管理與外包商的關(guān)系。
3信息安全外包風(fēng)險管理的實施
3.1制定信息安全方針
信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業(yè)內(nèi),指導(dǎo)如何對資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明,以及遵守這些原則和標(biāo)準(zhǔn)對企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義,而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。
3.2選擇信息安全管理的標(biāo)準(zhǔn)
信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):
(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會指定的信息安全管理標(biāo)準(zhǔn),是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。
3.3確定信息安全外包的流程
企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進(jìn)行界定。界定的時候需要考慮如下兩個方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風(fēng)險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風(fēng)險評估和風(fēng)險管理方案,然后進(jìn)行合乎規(guī)范的評估,識別目前面臨的風(fēng)險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進(jìn)行獨立評估,或者在年度檢查中進(jìn)行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達(dá)成書面一致后,外包商授予企業(yè)獨立評估方評估權(quán)限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié),以減少任何對可用性,服務(wù)程度,客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評估的重要工具,對外包商的服務(wù)績效進(jìn)行考核。評估結(jié)束后,對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。
3.4制定信息安全外包服務(wù)的控制規(guī)則
依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標(biāo)準(zhǔn)和量度,服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求,這個部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計;事故管理等內(nèi)容。
3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:
(1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進(jìn)行工作匯報,主要包括:首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況,并確定安全工作的標(biāo)準(zhǔn)和主動性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進(jìn)行信息安全的技術(shù)性服務(wù)。
(3)管理委員會:這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議,負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。
(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等,咨詢委員會的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員,以及外包商的具體項目的負(fù)責(zé)人。
(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問題,工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問題組建成項目進(jìn)行解決,并將無法解決的問題提交給咨詢委員會。
(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個業(yè)務(wù)部門,發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞,并將這些問題報告給安全工作組。
(8)指令問題管理小組:這個小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后,或者,是當(dāng)CSO發(fā)布了關(guān)于信息安全的企業(yè)改進(jìn)方案之后,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經(jīng)過學(xué)習(xí)討論后,繼而將其發(fā)布到各個業(yè)務(wù)部門。
(9)監(jiān)督委員會:這個委員會全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對外包商的服務(wù)過程的監(jiān)督。
3.6管理與外包商的關(guān)系
企業(yè)信息安全評估篇6
1、 引言
隨著信息化建設(shè)的發(fā)展,信息安全越來越多的受到人們的重視,企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]:1)網(wǎng)絡(luò)受到外部的惡意攻擊,部分單位無終端接入控制措施,使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊,由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞,加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限,使得網(wǎng)站陷入癱瘓;3)信息發(fā)布的監(jiān)管不利產(chǎn)生不良的影響,通常情況下信息發(fā)布沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上,造成不良影響;4)計算機病毒的危害,相關(guān)系統(tǒng)不及時更新補丁和升級,受到病毒入侵并加以利用,篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限,使得應(yīng)用系統(tǒng)丟失重要信息。
當(dāng)前,有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式,但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué),而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合,建立了安全評價體系,并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā),如技術(shù)、管理、過程、人員等,著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架,很多評估準(zhǔn)則和指標(biāo)沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來。
大型企業(yè)信息安全管理體系的研究,就是為了尋找一個科學(xué)、合理的管理體系,并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進(jìn)行評價,對信息安全管理績效進(jìn)行考核。
2、 大型企業(yè)信息安全管理體系的內(nèi)涵
通過管理體系的應(yīng)用,將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng),認(rèn)識企業(yè)信息安全存在的不足之處,發(fā)揮考評體系的指導(dǎo)作用,引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向,為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng),有效控制信息化活動的進(jìn)程,提高信息安全級別,減少因信息安全事件引起的損失,有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè),指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。
3、 大型企業(yè)信息安全管理體系的主要做法
為了大型企業(yè)信息安全管理體系的建立,提出了管理體系的目標(biāo):對于信息安全方面出現(xiàn)的問題,達(dá)到防范目的;對于信息安全工作進(jìn)行查漏補缺,加強管理;通過評估體系的考核,落實相關(guān)信息安全文件、推進(jìn)信息安全工作,為企業(yè)信息安全的建設(shè)指明方向,同時注重管理體系整體的時效性,根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時更新。
1) 建立大型企業(yè)信息安全體系
信息安全體系總體設(shè)計。信息安全體系設(shè)計共分為三級,包含9個一級指標(biāo),14個二級指標(biāo),27個三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo),三級指標(biāo)為數(shù)據(jù)采集項。一級指標(biāo)包括:網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息發(fā)布安全、移動信息化安全、服務(wù)器掃描情況。一級和二級指標(biāo)結(jié)構(gòu)圖如下:
2)信息安全考評指標(biāo)的權(quán)重設(shè)計
指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法,結(jié)合政策導(dǎo)向確定。
管理體系的指標(biāo)權(quán)重確定方法設(shè)計過程中,選取兩組技術(shù)、管理等方面的專家,其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,確定各指標(biāo)的相對重要性,采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度,對各指標(biāo)按百分制進(jìn)行賦值,確定各指標(biāo)的權(quán)重。綜合兩組專家的意見,初步確定各指標(biāo)的權(quán)重,再組織專家研討會,最終確定各指標(biāo)的權(quán)重。
企業(yè)信息安全考評指標(biāo)總分計算方法:
I=Σ(Pi*Wi) (1)
I表示指標(biāo)體系的總得分;Pi表示第i個指標(biāo)的得分,各指標(biāo)得滿分都是100分;Wi表示第i個指標(biāo)的權(quán)重,所有指標(biāo)權(quán)重的和為100%。
3)建設(shè)大型企業(yè)信息化評價管理系統(tǒng)
為了實施信息安全措施體系,以信息安全體系、信息安全文件和考評制度為基礎(chǔ),研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價管理系統(tǒng)。通過使用該系統(tǒng),將減輕信息化管理部門的負(fù)擔(dān),填報和匯總數(shù)據(jù)的效率顯著提高,最為突出的是以上報數(shù)據(jù)為基礎(chǔ),可以自動、實時地形成各種統(tǒng)計、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作,大大減輕了信息化管理部門的工作強度,增加了信息化管理部門對新情況快速反應(yīng)能力。
系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成,系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務(wù)層,并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。
系統(tǒng)主要實現(xiàn)了如下功能:
編碼同步、基層權(quán)限管理、評價初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標(biāo)項)、管理部門復(fù)評、信息稽核、數(shù)據(jù)計算、統(tǒng)計管理、查詢管理、決策模型。
建立統(tǒng)一的數(shù)據(jù)報送平臺,提高企業(yè)信息整合水平。
建立在線交流及公告發(fā)布平臺。
系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析,可自動、實時地形成各種統(tǒng)計分析圖表、報告等,例如:信息化評級、信息化水平評測報告。
4、 結(jié)束語
通過大型企業(yè)信息安全管理體系的實施,使企業(yè)信息化水平評估體系更加完善,在考評信息化建設(shè)水平的同時,又對信息安全水平等級有所提升。
企業(yè)信息安全評估篇7
(1)IT治理風(fēng)險。IT治理風(fēng)險的宏觀體現(xiàn)是最高管理層對信息化理解的不確定性、以及企業(yè)領(lǐng)導(dǎo)力影響的不確定性;微觀體現(xiàn)是缺乏制度化與標(biāo)準(zhǔn)化的約束,缺乏部門之間及流程之間協(xié)調(diào)、溝通的機制,造成IT系統(tǒng)與業(yè)務(wù)需求的脫離,以及IT系統(tǒng)和企業(yè)信息資源間的孤立。
(2)遵從性風(fēng)險。指企業(yè)內(nèi)部IT策略與外部法律法規(guī)的遵從(Compliance)所導(dǎo)致的風(fēng)險。伴隨信息技術(shù)的發(fā)展,國內(nèi)外出臺大量法律法規(guī)加強了對信息系統(tǒng)的監(jiān)管。例如,2002年美國國會的《薩班斯—奧克斯利法案》雖然沒有直接明確對信息系統(tǒng)的要求,但據(jù)統(tǒng)計,企業(yè)在實施符合法案要求的工作中,信息系統(tǒng)方面的工作量占比超過40%;2006年中國銀監(jiān)會《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》,也直接對技術(shù)風(fēng)險較大的電子銀行提出了進(jìn)行獨立的或相對獨立的信息系統(tǒng)審計的要求。
(3)信息安全風(fēng)險。企業(yè)信息系統(tǒng)不斷開放和復(fù)雜,使得信息安全面臨來自內(nèi)外部的嚴(yán)峻挑戰(zhàn)。針對企業(yè)信息系統(tǒng)的攻擊方式簡單易學(xué)、攻擊對象身份隱匿,造成企業(yè)信息安全風(fēng)險極易轉(zhuǎn)化為現(xiàn)實的業(yè)務(wù)威脅,如支持員工移動辦公給企業(yè)資產(chǎn)安全性和可用性帶來的壓力倍增,許多敏感機密信息被輕易泄露。
(4)可用性風(fēng)險。可用性風(fēng)險主要來自三個方面,一是IT平臺系統(tǒng)自身漏洞導(dǎo)致的系統(tǒng)停機事件越發(fā)難以掌控;二是由于事件管理、變更管理、配置管理、連續(xù)性計劃等IT服務(wù)管理流程缺失或不到位,導(dǎo)致IT系統(tǒng)不可用;三是來自自然的災(zāi)害威脅著IT系統(tǒng)的可用性。
(5)績效風(fēng)險。若IT投資行為不能帶來合理的回報,如規(guī)劃不當(dāng)、控制不嚴(yán)等,將使組織面臨巨大財務(wù)風(fēng)險。同時,如果對IT的投資績效和運行績效不能進(jìn)行有效測量,就不能有效地發(fā)現(xiàn)存在的問題,并采取針對性的改進(jìn)措施。隨著信息系統(tǒng)日益成為企業(yè)經(jīng)營成功的核心,且貫穿在完整的流程過程中,企業(yè)業(yè)務(wù)和支撐業(yè)務(wù)的信息系統(tǒng)愈加無法分割,形成有機的整體。因此,IT風(fēng)險帶來的挑戰(zhàn)不僅影響到信息系統(tǒng)本身,也同時會影響到業(yè)務(wù)的穩(wěn)定運行及發(fā)展,更有可能影響到外部的業(yè)務(wù)客戶。在應(yīng)對這些IT風(fēng)險時,傳統(tǒng)的方式大多是采用事后反應(yīng)式的控制措施,使得技術(shù)人員疲于應(yīng)付各種層出不窮的風(fēng)險,且在面對制度、流程、人員行為等方面帶來的風(fēng)險時,傳統(tǒng)的控制方法存在明顯不足,而降低企業(yè)IT風(fēng)險的關(guān)鍵是需要有一個主動、科學(xué)的風(fēng)險管理體系。
2企業(yè)IT風(fēng)險管理及其標(biāo)準(zhǔn)指南
企業(yè)IT風(fēng)險管理是圍繞企業(yè)信息化戰(zhàn)略目標(biāo),通過在信息系統(tǒng)的規(guī)劃、開發(fā)、運行、維護(hù)、監(jiān)控與評價的各個階段中降低企業(yè)風(fēng)險的科學(xué)化管理流程,包括風(fēng)險管理的策略制定、風(fēng)險的識別、風(fēng)險的評估、風(fēng)險的處置等環(huán)節(jié),以達(dá)到企業(yè)信息化可持續(xù)發(fā)展的目標(biāo)。一個科學(xué)的IT風(fēng)險管理體系是一個具有前瞻性、全局性的控制機制,能綜合防范和應(yīng)對IT治理、法規(guī)遵從、系統(tǒng)可用、信息安全、IT外包、業(yè)務(wù)連續(xù)性、IT績效等諸多方面的企業(yè)風(fēng)險,并能使企業(yè)IT戰(zhàn)略與企業(yè)綜合戰(zhàn)略相融合,以實現(xiàn)有效益、可持續(xù)的信息化發(fā)展。信息社會環(huán)境下,無論何種規(guī)模、什么類型的企業(yè),都需要面臨圍繞信息系統(tǒng)制定一套管理體系和控制指南,有效地管理企業(yè)面臨的各種各樣的風(fēng)險,并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新。
在此方面,國內(nèi)外已經(jīng)有一些較為成熟的企業(yè)IT風(fēng)險管理的標(biāo)準(zhǔn)或指南。例如美國反虛假財務(wù)報告委員會(COSO)于2004年頒布的《COSO企業(yè)風(fēng)險管理框架》,此框架要求企業(yè)管理者以風(fēng)險組合的觀點看待企業(yè)風(fēng)險,對包括IT風(fēng)險在內(nèi)的所有風(fēng)險進(jìn)行識別,并采取措施使企業(yè)所承擔(dān)的風(fēng)險在風(fēng)險容納量(RiskAppetite)的范圍內(nèi)。而美國信息系統(tǒng)審計與控制協(xié)會的COBIT標(biāo)準(zhǔn)自1996年誕生以來已經(jīng)更新到了第四版,已成為全球通用的信息系統(tǒng)審計標(biāo)準(zhǔn),該標(biāo)準(zhǔn)每一次更新都在不斷強化IT風(fēng)險控制的目標(biāo)內(nèi)容,為企業(yè)信息系統(tǒng)安全審計提出了具體指導(dǎo)。此外,國際知名的信息安全標(biāo)準(zhǔn)也都提出了各自的IT風(fēng)險管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技術(shù)基礎(chǔ)架構(gòu)庫)、ISO27001(信息安全管理使用規(guī)則)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控環(huán)境下的項目)等。
近年來,我國的信息化主管部門以及各行業(yè)也積極加強了企業(yè)風(fēng)險管理。以金融業(yè)為例,2004年9月銀監(jiān)會了《商業(yè)銀行內(nèi)部控制評價試行辦法》,其中包括了對銀行計算機系統(tǒng)的IT風(fēng)險控制要求;2009年銀監(jiān)會出臺了《商業(yè)銀行信息科技風(fēng)險管理指引》,2011年銀監(jiān)會了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》。與此同時,其他行業(yè)監(jiān)管部門也已經(jīng)或計劃出臺類似的風(fēng)險管理措施。上述標(biāo)準(zhǔn)或指南為企業(yè)IT風(fēng)險管理提供了原則指導(dǎo)和對策框架,如何將這些原則性建議與企業(yè)自身的工作實際相結(jié)合,如何將IT風(fēng)險管理融入常態(tài)化的企業(yè)管理機制,仍然是企業(yè)管理實踐中的難點。因此,本文以我國企業(yè)IT風(fēng)險管理的先行行業(yè)———金融業(yè)的管理實踐為例,詳細(xì)探討企業(yè)IT風(fēng)險管理的體系結(jié)構(gòu)及其關(guān)系,并就企業(yè)IT風(fēng)險管理的實施提出具體建議。
3企業(yè)IT風(fēng)險管理的體系框架
企業(yè)IT風(fēng)險管理框架通過對企業(yè)信息安全各個層面實際需求和風(fēng)險的分析,引入恰當(dāng)?shù)陌踩刂拼胧⑶彝畔⑾到y(tǒng)審計相結(jié)合,從而保證企業(yè)信息資產(chǎn)的安全性、完整性和可用性。企業(yè)IT風(fēng)險管理框架可分為風(fēng)險治理、風(fēng)險評估和風(fēng)險應(yīng)對三個主要的方面,并通過風(fēng)險溝通和監(jiān)控等手段將三方面有效結(jié)合。該體系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能確保企業(yè)IT風(fēng)險管理始終保持在可持續(xù)發(fā)展的軌道上,并通過階段性地進(jìn)行信息系統(tǒng)審計,以發(fā)現(xiàn)存在的偏離,及時調(diào)整到信息化的最終目標(biāo)上來。
3.1風(fēng)險治理
主要內(nèi)容包括建立基于風(fēng)險的信息科技決策、定義風(fēng)險策略、建立風(fēng)險組織和風(fēng)險整合等內(nèi)容。例如宣傳IT風(fēng)險對于決策的價值、將IT風(fēng)險考慮納入業(yè)務(wù)和IT決策、整合IT風(fēng)險策略和業(yè)務(wù)風(fēng)險策略等都屬于風(fēng)險治理的內(nèi)容。
3.2風(fēng)險評估
主要內(nèi)容包括風(fēng)險識別、風(fēng)險分析和風(fēng)險維護(hù)等內(nèi)容。諸多國際標(biāo)準(zhǔn)都提出了信息安全風(fēng)險評估的標(biāo)準(zhǔn),如ISO27001(信息安全管理體系規(guī)范)、ISO/IECTR13335(信息技術(shù)安全管理指南)、NISTSP800-30(信息技術(shù)系統(tǒng)風(fēng)險管理指南)等,可作為企業(yè)實施風(fēng)險評估實踐的參考。風(fēng)險評估包括識別具體的風(fēng)險管理對象、識別風(fēng)險、根據(jù)模型進(jìn)行評估、識別現(xiàn)有控制、分析剩余風(fēng)險等步驟。風(fēng)險維護(hù)就是對企業(yè)識別出的風(fēng)險進(jìn)行管理,跟蹤風(fēng)險處置情況,更新風(fēng)險清單,可通過創(chuàng)建和維護(hù)風(fēng)險數(shù)據(jù)庫來實現(xiàn)。風(fēng)險維護(hù)也是風(fēng)險評估的重要內(nèi)容,以實現(xiàn)對風(fēng)險的持續(xù)管理和改進(jìn)。
3.3風(fēng)險應(yīng)對
風(fēng)險應(yīng)對就是對已識別的風(fēng)險進(jìn)行評估后,制定并落實相應(yīng)的措施和整體策略,使剩余風(fēng)險處于可控的范圍。風(fēng)險應(yīng)對措施包括接受風(fēng)險、轉(zhuǎn)移風(fēng)險、避免風(fēng)險和降低風(fēng)險。風(fēng)險應(yīng)對活動包括確定風(fēng)險處置方案、實施風(fēng)險處置、響應(yīng)和處理風(fēng)險事件等。
3.險監(jiān)控/溝通
風(fēng)險監(jiān)控/溝通是鏈接企業(yè)IT風(fēng)險管理各要素的關(guān)鍵環(huán)節(jié),是企業(yè)IT風(fēng)險管理體系得以運轉(zhuǎn)的重要方面,包括建立和運行風(fēng)險指標(biāo)體系、IT風(fēng)險內(nèi)部監(jiān)督體系、風(fēng)險報告體系以及風(fēng)險溝通渠道等。風(fēng)險管理需要從管理層到普通員工的共同參與,這需要將風(fēng)險直觀準(zhǔn)確地展現(xiàn)、橫向和縱向的溝通、并持續(xù)進(jìn)行監(jiān)控。
4企業(yè)IT風(fēng)險管理的實施步驟
為了推進(jìn)企業(yè)IT風(fēng)險管理體系的實施,本文在總結(jié)金融企業(yè)信息系統(tǒng)安全風(fēng)險管理的實施過程,得出企業(yè)IT風(fēng)險管理可行的實施步驟,具體包括識別管理對象、風(fēng)險識別、風(fēng)險分析評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)控/溝通等五大關(guān)鍵步驟。
4.1管理對象識別
明確風(fēng)險管理對象是企業(yè)實施風(fēng)險管理的首要步驟,本文提出風(fēng)險地圖(RiskMap)的概念,即實現(xiàn)風(fēng)險評估對象的可視化,明確識別出全部或特定領(lǐng)域的所有管理對象,只有保證企業(yè)風(fēng)險地圖的全面性和準(zhǔn)確性,才能準(zhǔn)確識別并標(biāo)示出IT風(fēng)險所在的位置,從而進(jìn)行有效的管理,一個全面的IT風(fēng)險管理可從如下三大維度進(jìn)行風(fēng)險管理對象的識別:(1)從資產(chǎn)的角度進(jìn)行識別,即對組成信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)進(jìn)行全面識別和統(tǒng)計,具體實施細(xì)則可參照ISO27001。(2)從管理領(lǐng)域的角度進(jìn)行識別,如變更管理、事件管理、配置管理等,具體實施細(xì)則可參照COBIT。(3)從服務(wù)的角度進(jìn)行識別,具體實施細(xì)可參照ISO20000執(zhí)行。
4.2風(fēng)險識別
風(fēng)險識別是通過科學(xué)方法了解企業(yè)所面臨的IT風(fēng)險,分析風(fēng)險的來源、性質(zhì),并進(jìn)行風(fēng)險處置和風(fēng)險管理。風(fēng)險識別通常采用以下方法:(1)頭腦風(fēng)暴;(2)德爾菲方法;(3)故障樹分析法,又稱分解分析法;(4)業(yè)務(wù)流程分析法;(5)情景分析法;(6)專家預(yù)測法,包括個人經(jīng)驗法、專家會議等形式;(7)篩選、監(jiān)測、診斷法;(8)資產(chǎn)財務(wù)狀況分析法。其中,德爾菲方法是最常用的IT風(fēng)險分析方法之一,具體是指采用“背對背”的溝通方式征詢專家小組成員的預(yù)測意見,經(jīng)過幾輪征詢,使專家小組的意見趨于集中,最后做出合理的預(yù)測結(jié)論,利用德爾菲法進(jìn)行IT風(fēng)險分析的具體流程如下。除了按照上述方法識別風(fēng)險,也可直接從風(fēng)險來源入手建立企業(yè)的IT風(fēng)險清單,如行業(yè)公認(rèn)的風(fēng)險清單、監(jiān)管要求、監(jiān)管機構(gòu)風(fēng)險提示、過往事件、自我或外部風(fēng)險評估結(jié)果、內(nèi)部審計發(fā)現(xiàn)、管理層和內(nèi)部員工在工作中的認(rèn)識等。
4.3風(fēng)險分析評估
IT風(fēng)險分析評估是根據(jù)一定的評估模型,評估企業(yè)IT固有風(fēng)險值、控制風(fēng)險值,再根據(jù)固有風(fēng)險值和控制風(fēng)險值計算出剩余風(fēng)險值。風(fēng)險分析是IT風(fēng)險管理中較難實施的一個環(huán)節(jié),尤其是評估模型的制定,可以采用較易開展的定性方式,也可采用準(zhǔn)確度較高的定量計算,也可以定量和定性綜合使用。以下是一種較為通用的風(fēng)險分析模型和流程,可以對風(fēng)險進(jìn)行量化評估,具體流程包括:(1)計算固有風(fēng)險值。從影響程度和發(fā)生可能性兩個維度進(jìn)行評分,可得出固有風(fēng)險分值。如下是風(fēng)險評估的量化模型和公式。其中風(fēng)險評分從影響程度和發(fā)生可能性兩方面進(jìn)行計算,并給出影響程度和發(fā)生可能性兩方面的評估參數(shù)示例。(2)計算控制風(fēng)險值。結(jié)合現(xiàn)有控制評估的結(jié)果,從設(shè)計、執(zhí)行、補償性控制三個層面,參照衡量標(biāo)準(zhǔn),最終確認(rèn)控制風(fēng)險分值。(3)計算剩余風(fēng)險評估。在獲得每一個風(fēng)險的固有風(fēng)險等級和控制風(fēng)險等級后,可根據(jù)矩陣獲得剩余風(fēng)險等級值。
4.險應(yīng)對
首選需要確定管理層的風(fēng)險偏好等級。風(fēng)險偏好是為了實現(xiàn)目標(biāo),企業(yè)在承擔(dān)風(fēng)險的種類、大小等方面的基本態(tài)度。然后根據(jù)剩余風(fēng)險評估結(jié)果及風(fēng)險偏好,依據(jù)內(nèi)外部需求,并結(jié)合實際情況,針對剩余風(fēng)險提供恰當(dāng)?shù)目刂聘倪M(jìn)建議,以將剩余風(fēng)險降低到可接受的水平。風(fēng)險處置措施包括接受風(fēng)險、轉(zhuǎn)移風(fēng)險、避免風(fēng)險和降低風(fēng)險。在風(fēng)險處置計劃方面,一方面需要體現(xiàn)可操作性,如分為短期(半年),中期(1年),長期(2-3年),同時也需要考慮多個維度,如組織架構(gòu)、人員、制度流程和技術(shù)等。
4.5IT風(fēng)險監(jiān)控/溝通
風(fēng)險指標(biāo)是有效進(jìn)行風(fēng)險監(jiān)控和溝通的重要手段。指標(biāo)是一種可量化的、被事先認(rèn)可的、用來反映組織目標(biāo)實現(xiàn)程度的重要標(biāo)識,是績效管理的有效手段。企業(yè)IT風(fēng)險管理引入指標(biāo)體系,可以促進(jìn)整個活動的有效開展。指標(biāo)的功能主要表現(xiàn)在以下三個方面:(1)在準(zhǔn)備階段,可以清楚的反映目前企業(yè)的信息安全現(xiàn)狀,并為制定目標(biāo)提供依據(jù);(2)在實施過程中,階段性地反映進(jìn)展情況;(3)便于各層人員把握活動的進(jìn)展情況:使高層領(lǐng)導(dǎo)清晰地了解關(guān)鍵要素的進(jìn)展和改進(jìn)情況;使管理者集中精力于對活動中的重要和關(guān)鍵要素,及時診斷活動中出現(xiàn)的問題并采取措施。在實踐中,應(yīng)針對關(guān)鍵的風(fēng)險領(lǐng)域,即根據(jù)企業(yè)及領(lǐng)導(dǎo)層的風(fēng)險偏好,建立可監(jiān)控、可量化的IT關(guān)鍵風(fēng)險指標(biāo)。IT關(guān)鍵風(fēng)險指標(biāo)來源可包括內(nèi)外部監(jiān)管機構(gòu)數(shù)據(jù)、自動監(jiān)控平臺數(shù)據(jù)、IT風(fēng)險檢查果、IT風(fēng)險自報結(jié)果等。關(guān)鍵風(fēng)險指標(biāo)可分為風(fēng)險指標(biāo)(KRI)、控制指標(biāo)(KCI)。以變更管理的風(fēng)險管理指標(biāo),可設(shè)置緊急變更次數(shù)、變更失敗比例、變更導(dǎo)致的事件數(shù)量等,針對每個變更管理風(fēng)險管理指標(biāo),制定出相應(yīng)的控制指標(biāo),如預(yù)警閥值和容忍閥值。
5結(jié)語
本文從IT風(fēng)險管理框架和風(fēng)險評估實踐兩個方面,分別闡述了企業(yè)實施IT風(fēng)險管理的重點和實施方法。通過直觀的圖表清晰地展現(xiàn)了企業(yè)IT風(fēng)險管理體系的結(jié)構(gòu)、關(guān)聯(lián)和主要活動。同時結(jié)合多年對信息安全風(fēng)險管理理論和實踐的研究,較為全面和具體地提出了企業(yè)IT風(fēng)險管理實施的步驟建議,旨在為企業(yè)提供切實可行的風(fēng)險管理實踐參考。限于篇幅,本文無法對IT風(fēng)險管理的所有環(huán)節(jié)進(jìn)行深入探討,且不同的企業(yè)有不同的安全需求和偏好,因此在實施IT風(fēng)險管理的過程中還需根據(jù)自身的實際情況應(yīng)地制宜、靈活應(yīng)用。
企業(yè)信息安全評估篇8
云計算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計算(Grid Computing)的發(fā)展,或者說是這些計算機科學(xué)概念的實現(xiàn)。
云計算不僅帶來了是技術(shù)上的革新,更改變了傳統(tǒng)的管理理念和服務(wù)模式。在云計算時代,人們對資源的管理與利用將會更加集成化,虛擬化,并且不再受時間、地域、物理條件的限制。在全球化背景下,人們可以方便地對云端的資源進(jìn)行統(tǒng)一的管理調(diào)度,還可以利用云端強大的數(shù)據(jù)處理能力進(jìn)行信息的深入開發(fā)。
2 企業(yè)信息安全管理應(yīng)用云計算技術(shù)的必要性分析
從企業(yè)層面來說,目前的信息安全管理出現(xiàn)了許多新問題,比如呈幾何級數(shù)增長的信息需要大型的存儲設(shè)備和處理器進(jìn)行存儲和管理、人們對企業(yè)信息的共享需求日益增多、企業(yè)信息安全管理流程日益繁雜等等,這些都需要云計算技術(shù)加以解決。從外圍環(huán)境來說,如筆者開頭提到的,云計算的發(fā)展普及是大勢所趨,而且云計算技術(shù)主要涉及的就是信息的存儲、管理、開發(fā)等環(huán)節(jié),企業(yè)作為社會發(fā)展的主要力量,在今后的發(fā)展中不可能離開信息與云計算,尤其是信息安全管理環(huán)節(jié)。
信息安全要掌握主動性原則,越早采取措施越好。因為如果越晚發(fā)現(xiàn)存在的風(fēng)險,那么需要彌補的時間就越長,花費的成本就越多,對企業(yè)的造成的損失也越大。而且企業(yè)信息安全的基礎(chǔ)數(shù)據(jù)、標(biāo)準(zhǔn)往往是在初期設(shè)定好的,如果后期出現(xiàn)問題需要更改,將會耗費巨大的工作量。
基于上述分析,盡管云計算才剛剛到來,但是企業(yè)已經(jīng)有必要將強對云計算的了解和研究,并逐步開始涉及基于云計算的信息安全管理。
3 云計算環(huán)境下信息安全管理的新特點
云計算對信息安全管理的影響主要體現(xiàn)在技術(shù)和管理模式這兩個方面。云計算的特點之一便是高安全性。“云”使用了數(shù)據(jù)多副本容錯、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性,使用云計算比使用本地計算機可靠。同時,有專業(yè)的團(tuán)隊負(fù)責(zé)云端數(shù)據(jù)的安全維護(hù),保證云端服務(wù)器的正常運行和信息安全。云計算的構(gòu)成有天然的優(yōu)勢,包括云計算的云端集中管理,超大規(guī)模服務(wù)器的同時運作,還有近期提出的“共有云”、“私有云“等等都從各個方面分散了信息安全的風(fēng)險。
但與之相對應(yīng)的,目前的云端往往存儲著多個用戶的數(shù)據(jù),而且存儲的數(shù)據(jù)的規(guī)模和設(shè)計范圍都極為廣泛,這樣也就造成了風(fēng)險的集中,一旦出現(xiàn)問題,損失也會加大。
在傳統(tǒng)環(huán)境下,企業(yè)的信息安全管理多是相對封閉的,因為按照一些人的理解就是“越封閉,越安全”。封閉只能是先對的,完全封閉更是不可能的。企業(yè)的運作管理需要時刻保持與外界的交流,其中很大一部分就是信息的交流;而且在信息的價值越來越被人們重視的今天,企業(yè)對自身信息資源的開發(fā)與利用越來越多的展開,在這種背景下談封閉無異于明清時期的“閉關(guān)鎖國”。云計算技術(shù)是以網(wǎng)絡(luò)為基礎(chǔ)的,也就是說是一個相對開放的平臺。根據(jù)目前的發(fā)展來看,在控制好權(quán)限,做好軟硬件維護(hù)的前提下,云計算環(huán)境下(亦或網(wǎng)絡(luò)環(huán)境下)的信息安全管理的安全性是完全可以保障的。
4 云時代的信息安全風(fēng)險管理
云計算環(huán)境下,由于云端與用戶端的功能、作用、管理工作環(huán)節(jié)的不同,云端與用戶端的風(fēng)險來源也會有明顯的不同。
云端的風(fēng)險主要來自實體的、技術(shù)性的,操作性的,用戶端的風(fēng)險則主要來自內(nèi)部人員和組織管理的漏洞。
本文結(jié)合傳統(tǒng)的信息安全評估方法,參照《信息安全管理》(人民郵電出版社),云計算特點,從資產(chǎn)的識別與估價,威脅的識別與評估,脆弱性評估、現(xiàn)有安全控制確認(rèn)的角度給出基于云計算的測評分析方法。
(1)、資產(chǎn)的識別與估價。在云計算環(huán)境下,云服務(wù)商擁有大多數(shù)的實體資產(chǎn),而企業(yè)用則輸出自己的信息資產(chǎn)。因而在對資產(chǎn)進(jìn)行評估的時候也是雙向的,尤其是信息資產(chǎn),企業(yè)和云服務(wù)商可能對其價值會有不同的理解。但是雙方又比較能夠達(dá)成一致,因為對信息資產(chǎn)的不同估價涉及到之后對不同價值信息的不同強度的保管。企業(yè)和云服務(wù)商會在信息安全和保管成本之間找到平衡。
(2)、威脅的識別與評估。威脅識別與評估的主要任務(wù)是識別產(chǎn)生威脅的原因、確認(rèn)威脅的目標(biāo)以及評估威脅發(fā)生的可能性。云計算環(huán)境由以往的封閉環(huán)境轉(zhuǎn)變?yōu)殚_放的網(wǎng)絡(luò)環(huán)境,所面臨的威脅更為復(fù)雜。就目前云計算的發(fā)展情況來看,云計算的威脅主要來自人員威脅和系統(tǒng)威脅。谷歌公司、亞馬遜公司和微軟公司的云計算服務(wù)都曾因為代碼編寫失誤、軟件故障、硬件故障等造成中斷,給用戶造成了損失。
(3)脆弱性評估。脆弱性評估一般分為技術(shù)脆弱性、操作脆弱性和管理脆弱性。云計算的脆弱性主要表現(xiàn)在技術(shù)脆弱性方面。云服務(wù)商的平臺都是統(tǒng)一的,就如電腦的操作系統(tǒng)一樣。如果其中某一個小小的文件或者某一句代碼出現(xiàn)問題,都可能對整個系統(tǒng)以及上面運行的服務(wù)造成極大地影響,可以說是牽一發(fā)而動全身。
(4)現(xiàn)有安全控制確認(rèn)。在風(fēng)險評估過程中,應(yīng)當(dāng)識別已有的安全控制措施,分析安全控制措施效力,有效地安全措施繼續(xù)保持,而對于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否被取消,或者用更合適的控制代替。
5 結(jié)語
本文鏈接:http://www.svtrjb.com/v-141-3264.html企業(yè)信息安全評估范文8篇
相關(guān)文章:
飲食調(diào)查報告12-28
新學(xué)期的學(xué)習(xí)計劃和目標(biāo)07-26
贊美同學(xué)的句子12-31
房地產(chǎn)實習(xí)報告08-17
長大后方才后悔沒有好好上學(xué)句子07-05
出納試用期工作總結(jié)11-01
2024年學(xué)生會紀(jì)檢部本學(xué)期工作總結(jié) 學(xué)生會紀(jì)檢部學(xué)期工作總結(jié)800字(6篇)09-09
2024年銷售個人的年終工作總結(jié)(優(yōu)質(zhì)10篇)08-09
高考百日動員班主任發(fā)言稿03-10
《教師的幸福人生與專業(yè)成長》小學(xué)教師讀后感12-14
定親訂婚致辭08-31
關(guān)于校慶優(yōu)秀廣播稿08-15
擁有的和不再擁有的03-10
恭賀新居落成的賀詞10-19
小學(xué)生國防教育征文09-27
貪玩的我作文100字09-21
2021年河北張家口中級經(jīng)濟(jì)師報名入口8月6日-16日開通12-28
高一期末老師給學(xué)生的評語(優(yōu)秀12篇)10-05
《治水必躬親》全文、注釋、翻譯和賞析03-24
諸葛亮歇后語11-23
天仙子全文翻譯及賞析09-27