加强信息安全管理 促进信息化可持续发展
发布时间:2009年05月21日点击数: 作者: 来源:ITGOV中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。

随着世界科学技术的迅猛发展和信息技术的广泛应用,我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,迫切要求加强信息安全管理工作。社会各界应从促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,充分认识进一步加强信息安全管理工作的极端重要性,积极创建安全健康的网络环境,保障和促进信息化健康、可持续发展。
      加强信息安全管理工作,必须坚持积极防御、综合防范的方针,并从以下几个方面开展工作:
      1制定国家层面上的信息安全框架及安全组织机构
       从战略视角来看,信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应该包括观念和文化层面,例如从企业文化层面上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但较零散,尤为突出的是缺少国家级的统领全局的信息安全框架。信息安全的管理工作、标准的制定、安全产品评测与认证等工作政出多门、各行其是,目前相关政府部门在网吧管理上的不一致就是这种情况的表现。因此要求政府部门必须采取相互协调、目标明确的措施,以免在制定和审定策略时发生拖杳、重复,甚至冲突的现象。
     
      安全组织包括建立健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。发达国家一般都建立有信息安全管理机构,美国安全委员会下设了国家保密策略委员会和信息系统安全保密委员会;英、法等国家建立了“国家信息安全委员会”:德国成立了“国家信息安全局”。我国设置信息安全管理机构可采用建立专门信息安全管理机构或在现有的安全部门下设立信息安全管理分支机构的方式。
     
      2在条件较为成熟的地方试行建立安全治理的机制
      信息安全不是个产品,一购买就能提供足够安全水平的安全体系是不存在的。它是一个完整的过程。作为一个过程,它由人、技术、流程这三个组成部分,这些组成部分匹配得越好,过程进展得越顺利。因此,如果要使我们的信息系统安全,在外部环境上亟需建立、健全统一指挥、统一步调的强有力的各级信息安全治理机制,这是实现信息安全目标的基本组织保障;在内部结构上就必须建立一整套从组织最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证这三个组成部分。
      环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防与挑战,但对于企业而言,除非碰到严重的安全问题,否则大都仍无法体会信息安全治理机制的重要性,甚至会有人认为即使碰上了,也损失不大的错误观念。因此,我们建议在需求较为强烈的政府电子政务和金融业等条件较为成熟的地方试行建立安全治理的机制,达到预先防治、应急处理及事后复原的基本要求,在长期的工作目标上,逐步形成广泛的安全文化和安全治理机制,建立与国际接轨的信息安全机制,促进国际化合作网络的建立与发展,以提升国内企业在国际上的竞争力。
     
      3信息安全治理机制和策略的制定要建立在上下互动的基础上
      这就是为什么使用“治理”而不是监管、监控或其他词语的原因。加强信息安全治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,尤其需要强调的是政府制定规则比较合理的方法是通过上下协商、交互式的方式进行,这样才能解决规则的充分合法性、可执行性问题,“治理不是一种正式的制度,而是持续的互动”。对于企业的最高管理层(董事会)在制定信息安全策略时亦是如此,只有这样才有可能制定出与企业需要相匹配的安全策略。另外,由于国家制定标准会滞后于信息技术的发展、把用户“锁定”在过时的技术上有可能阻碍技术创新等问题,在对国内外信息安全治理广泛研究的基础上,我们认为与信息安全有关的产品或服务将不会只有一种标准,技术标准也不必是强制性的。因此,国家应该鼓励协会等自发性组织在制定促进可互操作的标准和行业自律规范方面发挥作用。在某些情况下,多个标准将在市场上竞争,看哪种标准能被大家认可。在另一些情况下,不同的标准将应用于不同的环境。简言之,在市场竞争中胜出的标准将有利于促进信息安全产业的发展。
     
      很多这方面的安全策略和标准实际上是为“理想环境”所写的,在这种环境中所有的标准和技术控制与整个组织匹配得天衣无缝。然而,这样的策略在实际实施过程中必然会出现问题,组织或使用者会发现策略的定制者们并未理解他们真正的需要。这就产生了所谓的“一致性鸿沟”——组织或使用者希望在策略中体现的规则与实际制定出的规则的差异。当“一致性鸿沟”在组织中出现并达到一定的程度时,如果这些策略过于理论化或限制性太强,那么组织的执行管理层人员和最终用户就会漠视这些策略。因此,我们认为在策略定制、发展过程中需要体现所有信息拥有者和知识财产的管理者的心声,这一点是非常重要的。
     
      同时,在制定信息安全制度时要注意考虑组织文化。许多信息安全方面的规章制度都是参考制度模板或者以其他组织的规章制度为模板而制定出来的。与组织文化和组织业务活动不相适应的信息安全制度往往会导致发生大范围的不遵守现象。另外,规章制度还必须包括适当的监督机制。 4建议设立一年一度的“安全意识日”,树立信息安全第一的意识    目前,非常多的信息安全工作都将工作重点放在技术方面,而将员工的信息安全意识和安全教育放在次要的位置,这样做的结果是企业不恰当地在技术方面花费太多的时间。但是信息并非只是一个技术问题,它也是一个关于人和管理的问题。纵观各类的信息安全规则,我们会发现它们都具有一个共同点——进行员工培训。一年一度的“安全意识日”应当通过讲座、研讨会、新闻媒体、网站和其他宣传方式将安全意识扩展为一种氛围,努力提高和强化社会的信息安全观念意识,确立信息安全管理的基本思想与策略,加快信息安全人才的培养,同时倡导信息伦理,提高公务员和公民的信息安全自律水平。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化,这也是我们实现信息安全目标的基本前提。
     
      5对信息系统进行安全审计
      信息系统安全审计是以安全管理体系、策略、人和流程等为对象的深入细致的核查,目的是找出信息安全体系中的薄弱环节并给出相应的解决方案。信息系统安全审计的基本任务有两项。首先,检查实际工作是不是按照现有规章制度去执行。第二,对审计步骤进行设计,更好地判断出事件的发生地点或来源。
         
      6把安全管理视为一种理念,不断推进
      信息安全是一个动态的过程,必须分阶段的对安全策略进行调整,同时安全攻击和防范技术、系统漏洞的发现都在高速的发展,而这一切是一个没有终点的过程,必须建立在一套好的信息安全管理机制的基础上。
            建立一个有效的信息安全管理首先需要在信息安全评估的基础上,制定出相关的管理策略和规章制度后,才能通过配套选用相应的安全产品搭建起整个信息安全架构。现在有些企业通过安装部分的安全产品或者制定了一些安全制度但没有得到良好的执行,我们也不能认为这个企业就有了信息安全管理体系,因为安全管理体系的建立是一个管理系统的验证规范, 须依循“PDCA”循环进行,包括持续改善,订定政策、管理审查、文件管制、内部审计等。而且信息安全管理与一般管理的不同在于信息安全管理着重在风险评估及管理,并选择适当控制措施,将组织损失降到最低。风险评估的过程不是一段时间的工作,而是需要随着技术的发展及企业自身的变化持续改善的过程。企业实施了一套信息安全管理体系并不表示其自身信息安全受到绝对的保护,而是确保其本身的信息安全价值、风险等已确实评估,同时为当前信息系统的安全状态提供了一个快照,并在此基础上进行不断的控制与管理。
      要遵循以上要求即使对最有安全意识和执行能力的企业来说也不是一件简单的事,但总体来说提高信息安全管理水平已是一股不可违逆的潮流,所有的机构或企业已不是“做”与“不做”的问题,而是必须尽早实施的问题。企业应权衡自身承受安全的风险与成本,订定出一套符合本身需求的安全政策,改善自身的营运体制,以符合国际安全标准与世界潮流。

上一篇:信息安全管理体系的建立下一篇:没有了!

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved