笔者在《信息安全管理体系的实施过程》一文提出了一种“以人为本”信息安全管理模型HTP,认为有效的信息管理体系可以由三部分组成:人员与管理(Human and management)、技术与产品(Technology and products)、过程与体系(Process and Framework), 根据此模型有效的信息安全实践过程如下:
根据自顶向下,逐步求精的原则,根据组织的业务目标与安全要求,在风险评估的基础上,先建立并运行信息安全框架,初步达到粗粒度的信息安全;在完整的信息安全框架之上,建立信息安全的前沿防御体系“技术防火墙”和纵深防御体系“人力防火墙”与,在细粒度上的保证信息安全;实施阶段性的信息系统审计,在持续不断的改进过程中保证信息的安全性、完整性、可用性,从而建立一套完整的信息安全管理体系。
在信息安全的所有相关因素中,人是最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。
著名的前黑客凯文-米蒂尼克(Kevin Mitnick)在接受采访时曾表示,尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因在于他们忽略了网络安全的一个最为薄弱的环节--人的安全意识。比如米蒂尼克曾假扮过一个摩托罗拉公司的员工,并成功地说服该公司的一名工程师将最新的电话系统软件发送给他。米蒂尼克认为,计算机和调制解调器都不是问题的关键,人才是最重要的,只有把人的安全防范意识提升到一个相当高的地步,黑客攻击的破坏性才能够从根本上降低。
统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成得,70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。
在国内,大部分企业对信息安全的理解还只停留在技术层面上,以为企业外部网建立了防火墙能防黑客,内部网能杀病毒就达到安全要求了。最近国内的几次安全事件,如亚信的电信方案被盗版,华为与美国思科及上海沪科的知识产权诉讼案都生动地告诉我们,在信息安全中人的因素比技术因素更重要。
对人的管理包括法律、法规与安全政策的约束,安全指南的帮助,安全意识的提高,安全技能的培训,人力资源管理措施以及企业安全文化熏陶,这些是建立成功的信息安全体系的基础,我们把信息安全中对人的有效管理称为“人力防火墙”。从一个组织产生、管理、传播及保护信息的各个环节来看,都是人在起决定性作用,我们应当把这个幕后主角 “人”纳入信息安全的定义中去,把建立“人力防火墙”看作是实现有效信息安全的基础。“人力防火墙”并不是要代替传统的技术手段,它只是一种人的原有价值的回归。
如果把“信息安全”比作一辆马车,那么“信息安全框架”就是马车的车架,“人力防火墙”与“技术防火墙”就是马车上的两个轮子,“信息系统审计”就是驾车的马夫,这几个因素有机结合在一起,才能形成一个较完整防御体系,才能控制住“信息安全”这辆在信息高速公路上飞奔的马车。
二、建立人力防火墙的过程
1、得到组织最高管理层的支持
在我国习惯把信息化工程称为“一把手工程”,在组织中没有各级领导的重视,信息化建设是不可能取得成功的,在这一点上大家已达成共识,同样,在一个组织内实施信息安全也必须得到高层管理人员的重视,得到高层管理人员的认同和承诺有两个作用,一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;二是可以得到有效的资源保证,比如实施有效安全过程的必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。
要得到组织高层领导的支持,安全主管要善于“推销”安全计划,在与决策层进行有效沟通时,安全主管要注意两方面的问题:一是使企业组织高层相信信息安全并不是可有可无的摆设,它是组织战略一部分,是实现业务目标的加速器,缺乏信息安全保障的组织会面临极大的风险;避免使用技术性的语言,而要使用决策层可以充分理解的语言—投资回报,来使他们相信信息安全是可以为组织带来利益的,对信息安全的投资是有回报的。信息安全可以为组织带来两种效益:减少信息安全事故的经济损失而带来的价值效益和由于完备的信息安全体系而提升组织声誉、品牌的非价值效益。
得到组织最高管理层的支持是建立人力防火墙的前提条件。
2、明确组织中的信息安全角色与责任
在一个组织中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。
首先要建立的是信息安全指导委员会,在我国许多企业也称之为信息安全领导小组,这个小组的组长一般要以企业的高层领导挂帅,结合各职能部门的主要负责人参加,它是主要职能是制订组织的信息安全中长期战略与信息安全方针,制订信息系统的获取、开发和运行的规则,审批信息安全项目投资预算,监督信息安全项目的实施,评审与监测信息安全措施的实施及安全事故的处理,协调各部门之间的与信息安全相关事务。
其次是建立一支以信息安全主管为核心的、专业的信息安全管理的队伍。这支队伍一般由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后,为了加强对安全的统一管理,在美国有一种把安全保卫部门与信息安全部门合并的趋势,许多大公司设置一个首席安全官(Chief Security Officer)职位,负责包括信息安全在内的所有安全事宜。这种设置加强了安全管理的集中领导,强调了快速反应能力,但对首席安全官的管理素质、职业技能提出了全新的挑战。首席安全官不仅要负责日常的安全保卫工作(防灾、防盗、防破坏),同时对信息安全有较深入的了解,对新技术的发展与各种新的安全威胁要有敏锐的感觉,要有较强的不断学习与挑战自我的能力。首席安全官不仅要深入理解组织业务,熟悉风险所在,而且要有良好的组织管理能力与沟通能力。
有效的信息安全管理不仅要求企业安全主管与其下属的技术与管理队伍负起相应的责任,而且还需要把相应的安全责任落实到每一个员工身上,让员工知道组织中的信息安全不仅仅是信息安全专业人员的责任,每一位员工都负有相应的安全责任,如:新员工都要签订保密协议,员工要认真阅读组织的安全政策及工作描述中的安全规定;遇到安全事件要及时汇报并配合调查;使员工知道遵守安全政策是工作责任的一部分,违反安全政策会损害组织的利益并受到处罚。员工的安全职责应通过详细、明确的安全方针及政策来确定。这是建立人力防火墙的组织保证。
3、制定行动计划与预算计划
安全主管上任后的第一件事,就是要“摸清家底”,看看组织的安全状况如何,分析组织的整个业务流程上存在哪些风险,有哪些信息资产需要保护,需要多大的投入,最后制定出包括信息安全教育计划在内的行动计划与预算计划。信息安全行动计划应包括以下几个方面:
Ø 建立正式的信息安全组织
Ø 业务调查与风险分析
Ø 信息安全政策制订与实施
Ø 与信息安全相关的人力资源政策的制订
Ø 安全事件响应计划
Ø 监控日常安全事务及员工对安全政策的遵循
Ø 业务连续性计划及灾难恢复计划
Ø 安全教育计划
Ø 建设企业安全文化
有足够资金支持的计划才是切实可行的计划,才能有效地落实信息安全所需要的人、财、物等资源的配置。行动计划、预算计划一定要合理,过高的安全预算会使安全失去意义,最好是结合投资回报分析,使企业决策者相信信息安全是企业战略的重要组成部分,是实现企业目标的加速器。合理的行动计划与预算计划为建立人力防火墙的可行性提供保证。
4、制定信息系统安全政策
信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则,这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面,并符合ISO 17799 对信息系统安全的要求。信息安全政策要符合组织的业务目标及特定的环境要求,并使之被每个员工所理解和执行,这是实施信息安全的重要环节,是建立人力防火墙的政策依据。
信息系统安全政策一般有以下几方面:
Ø 保护硬件、外设及其他设备
Ø 信息处理系统使用的媒介发放与回收
Ø 控制对信息与系统的访问
Ø 物理访问安全
Ø 对信息与文档的处理
Ø 购买与维护商业性软件
Ø 开发与维护自主产权的应用软件
Ø 防止网络犯罪
Ø 符合法律与政策的要求
Ø 业务持续性计划与灾难恢复计划
Ø 对信息资产的分类
Ø 职责分离
Ø 职务的任期期限
Ø 重要程序和数据的删除和销毁等
Ø 处理保密信息
Ø 与信息安全相关的人力资源有关事务
Ø 控制电子商务的信息安全
Ø 对员工实施培训及安全意识教育
Ø 检测安全事件及对安全事件的响应
安全政策的制订完成后要上报董事会或最高管理层批准,并以书面方式发放到员工手中,通过安全教育计划使每个员工都知道他在组织中对信息安全所负的责任。目前传统的书面发送方式逐渐被电子方式所替代,安全政策经常被放置在组织的内部网上,这样可以使员工更方便地使用。
5、与安全相关的人力资源政策的制定
今天的组织中员工在计算机方面很少受到严格的培训,每天都在以不安全的方式处理着企业的大量重要信息,他们都对企业的信息系统构成了潜在的威胁。许多对企业心存不满的员工把 “黑”掉企业网站,偷窃并散布客户敏感信息,为竞争对手提供机密的技术与商业数据,甚至破坏关键计算机系统作为对企业的报复行为,使企业蒙受了巨大的损失。因为这些员工非常了解企业的薄弱点,一般企业的安全系统对内部员工几乎是不设防的,这是非常危险的。
因此除了技术的控制手段外,要制定合适的人力资源政策,加强对“人”的管理,对潜在的安全入侵者也是一种威慑及惩戒措施,这是建立人力防火墙的有效控制手段。
有效的人力资源政策有以下几个方面:
Ø 新员工的筛选,要考虑是否符合职位的信息安全的需要,要仔细验证新员工提供的证明材料及文凭是否真实。
Ø 与新员工签署的劳动合同中要明确信息安全责任,使新员工从一开始就了解组织对信息安全的要求,这样容易在员工心目中形成较深的印象。
Ø 对新员工进行岗前教育与培训,使员工在较短的时间内熟悉组织的信息安全政策与程序。
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
