浅析信息时代的企业ISO27001信息安全管理
[摘要] 随着社会的发展,企业对信息资源的依赖程度越来越大,由此带来的信息安全问题日益突出。本文分析了ISO/IEC27001的信息安全管理体系和实施信息安全管理的关键因素。认为企业的信息安全应遵从PDCA的过程方法论持续改进以确保信息安全的长治久安。
[关键词] 信息时代、企业信息、信息安全管理体系、持续改进
1. 前言
国务院总理温家宝2012年5月9日主持召开国务院常务会议,研究部署推进信息化发展、保障信息安全工作。会议指出,当前,世界各国信息化快速发展,信息技术的研发和应用正在催生新的经济增长点,以互联网为代表的信息技术在全球范围内带来了日益广泛、深刻的影响。加快推进信息化建设,建立健全信息安全保障体系,对于调整经济结构,转变发展方式,保障和改善民生,维护国家安全,具有重大意义。今后一段时期,要以促进资源优化配置为着力点,构建现代信息技术产业体系,全面提高经济社会信息化发展水平;加强统筹协调和顶层设计,健全信息安全保障体系,切实增强信息安全保障能力,维护国家信息安全,促进经济平稳较快发展和社会和谐稳定。
进入21世纪,信息化对经济社会发展的影响更加深刻。随着社会的发展,企业对信息资
源的依赖程度越来越大,由此带来的信息安全问题日益突出。企业在研发、设计和生产产品或提供服务时多会涉及到客户的重要信息(如业务数据等),如果自身没有信息安全保障是难以得到用户的信任的。另外,如果企业自身的信息安全管理有重大疏漏,也无法保证其产品及服务的安全可靠。当前,企业在黑客和病毒日益猖獗的网络环境下不仅要保护自身信息的安全,还要保护企业客户信息的安全,因此有必要从体系管理的高度构建企业信息安全。
作者公司网络架构物理上分为内部网和外部网。行政楼、科研楼、南区3栋大楼信息点共2100个内部网信息点(包括网络数据点和电话语音点),其中数据点 1400 个,语音点700个。外部网是通过电信光纤专线共享上网;网吧区在行政楼二、三楼,科研楼三、四、五楼。网络线路已使用10年,网线有使用寿命,埋地的线路受潮,有时网络中断等问题。
1.1公司内部网的信息安全问题:
在实际工作中,计算机和网络的故障现象很多,主要包括硬件故障、软件故障、网络故障三大类。公司多台服务器过保修期仍在全天使用。机房大多数思科交换机过保修期仍在全天使用。很多台式电脑、笔记本过了保修期,其中500多台用了5年以上,容易出现硬件故障。
公司共用内部网络资源,使用部门多,VLAN多,网络环境复杂,IP地址有时冲突,找不到哪台电脑;还有电脑名称不规范问题。
日常办公在网络环境中使用电子文档,U盘,EMAIL,有中毒现象,内部网安装了NOD32企业版防病毒软件、微点主动防御软件网络版;还有电子文档可能泄密的安全性问题,安装了天盾文档安全系统。
软件平台的金蝶K3 ERP系统和金蝶OA系统的数据库安全和日常使用安全等。
1.2公司外部网的信息安全问题:
网吧电脑属于公共资源,在行政楼、科研楼,通过光纤和网线联接网络设备并配置开通使用,公司的用户,跨楼宇、多楼层、多部门使用,因网络环境复杂,难于管控。现在通过中国电信企智通系统管理:有上网记录统计、流量统计分析、上网监控功能等,目前设置限制使用BT、讯雷、游戏、视频功能,日常工作中使用IE另存为方法下载附件和资料。
网吧电脑有时网速很慢,文件下载不了,严重时会断网,但网络环境复杂,不知原因在哪,没有好的解决办法。有黑户上网,甚至有人私自用无线路由上网,不知上网源在哪,难于管控。网吧电脑现在使用360杀毒软件,有中毒现象。
财务网上业务电脑(网上银行、网上报税、网上发工资和交员工社保等)。
2.ISO/IEC27001的信息安全管理体系
信息安全管理体系(ISMS:Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、审查表等要素的集合。
ISO/IEC27001是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
作为信息安全领域的国际标准,ISO/IEC27001提供的33项控制目标和133项控制措施,这些控制目标和控制措施分布在11大信息安全管理领域,包括:
2.1 信息安全方针:根据业务需求和相关法律法规要求,为信息安全提供管理指导和支持。
2.2 信息安全组织:在组织内建立信息安全组织,保持被外部组织访问、处理、通信或管理的组织信息和信息处理设施的安全。
2.3 资产管理:对与信息技术有关的资产进行分类,加强与信息技术有关的资产分类管理,并对这些资产就价值和重要性进行分类标识,实施不同安全措施对这些资产进行保护。
2.4 人力资源安全:确保员工、合同方和第三方用户明白他们的职责,适合于他们被赋予的角色,减少因盗窃、欺诈或设施误用造成的风险;确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针、减少人为错误的风险;确保员工、合同方和第三方用户离开组织或雇用变更时以一种有序的方式进行。
2.5 物理及环境安全:防止对组织办公场所和信息的非授权物理访问、破坏和干扰;防止资产的丢失、损坏或被盗,以及对组织活动的中断。
2.6 通信及操作管理:覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等,并确保信息处理设施正确和安全运行。
2.7 访问控制:定义用户访问控制策略,管理用户访问过程,包括对网络访问控制、操作系统、应用系统及移动设备和远程工作设备的访问控制管理。
2.8 信息系统获取、开发及维护:确保安全成为信息系统的一部分;防止应用系统信息的错误、丢失、非授权的修改或误用;通过加密手段来保护信息的保密性、真实性或完整性;确保系统文档、应用系统软件的安全;减少因利用公开的技术漏洞带来的风险。
2.9 信息安全事件管理:确保使用持续有效的方法管理信息安全事件。
2.10业务连续性管理:防止业务活动的中断,保护关键业务流程不会受信息系统重大失误或灾难的影响,并确保它们的及时恢复。
2.11 符合性:避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织的安全策略及标准。
3.实施信息安全管理的关键因素
信息安全管理的实施是一个系统的过程,应该按照项目管理过程进行策划、建立、运行、监控、改进、评审等步骤来执行。信息安全管理建设是一个长期的持续的过程,其中涉及到多种因素,其中主要的关键因素包括:
3.1 建立合理的信息安全组织架构。
合理的信息安全组织架构应该包含三个层次,决策层、管理层和执行层:从角色上来讲可以分为信息安全管理者、普通员工、信息安全专业人员、安全审核员;由于信息安全是“一把手”工程,一般应该由企业的最高管理者直接领导。
3.2 实施信息安全管理体系要从业务需求出发。
外包公司的主要业务是承接了客户业务链中的某个环节业务,因此,信息安全管理要始终围绕着外包业务需求进行建设,并把安全管理纳入到服务过程中,同服务过程一起实施、监控和审查,并提供质量保证。
3.3 加强信息安全教育和培训,树立全员信息安全意识。
一方面按照企业人员级别以及业务性质的不同,对不同人员实施不同侧重内容的培训,
关注不同级别人员对信息安全的关注点;另一方面,实现员工在企业整个就业期间,实施不间断的持续培训,从员工入职到最后离开企业。当然,在安全教育和培训方面,不必拘泥于形式,除了正常的集中人员面对面的培训之外,还可以采取网络教程、动画、张贴墙报、定期发送电子报、开展信息安全知识竞赛等。通过多种方式,全方位的宣传和教育,把信息安全融入到企业文化当中,并逐渐注入到每个员工的信息安全意识中,进而融入到企业文化中。
3.4 坚持信息安全管理的持续改进。
信息安全管理是一个持续渐进的过程,管理者要充分认识到实施信息安全管理过程中的
艰难和痛苦,并做出有效的应对措施。这可以通过制定各种短期目标、绩效指标和阶段里程碑来进行实施、监控、度量和考核,并及时总结经验和教训,通过持续改进提高信息安全管理体系的适宜性和有效性。为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(规划)、D(实施)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。
4.结论
信息安全管理体制的建立和健全,目的就是降低信息风险对企业经营的危害,并将其投资和商业利益最大化。我们已经越来越深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术发外的其它手段,如规范安全标准和进行信息安全管理。信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。
参考文献:
[1]《信息系统项目管理师教程第2版》,柳纯录主编,清华大学出版社,2008年1月。
[2]《软件过程改进美文精选2009年度》,编制:广东软件行业协会软件过程改进专业委员会
[3] 珠海市国际信息检索中心:http://www.searchcenter.gov.cn 。
|