如何有效构建信息安全保障体系

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

如何有效构建信息安全保障体系随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。

通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。

构建第一步确定信息安全管理体系建设具体目标

信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。

信息安全的组织体系:是指为了在某个组织内部为了完

成信息安全的方针和目标而组成的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。

信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次:

第一层策略总纲

策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。

第二层技术指南和管理规定

遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:

技术指南:从技术角度提出要求和方法;

管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。

第三层操作手册、工作细则、实施流程

遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。

构建第二步确定适合的信息安全建设方法论

太极多年信息安全建设积累的信息安全保障体系建设方法论,也称“1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。

信息安全保障框架

一、风险管理基础理论

信息系统风险管理方法论就是建立统一安全保障体系,建立有效的应用控制机制,实现应用系统与安全系统全面集成,形成完备的信息系统流程控制体系,确保信息系统的效率与效果。

二、遵循五个相关国内国际标准

在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:

ISO 27001标准

等级保护建设

分级保护建设

IT流程控制管理(COBIT)

IT流程与服务管理(ITIL/ISO20000)

三、建立四个信息安全保障体系

信息安全组织保障体系:建立信息安全决策、管理、执行以及监管的机构,明确各级机构的角色与职责,完善信息安全管理与控制的流程。

信息安全管理保障体系:是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。

信息安全技术保障体系:综合利用各种成熟的信息安全技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。

信息安全运维保障体系:在信息安全管理体系规范和指导下,通过安全运行管理,规范运行管理、安全监控、事件处理、变更管理过程,及时、准确、快速地处理安全问题,保障业务平台系统和应用系统的稳定可靠运行。

四、三道防线

第一道防线:由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为业务运行安全打下良好的基础。

第二道防线:由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。

第三道防线:由技术体系构成事后控制的第三道防线。针对各种突发灾难事件,对重要信息系统建立灾备系统,定期进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。

五、四大保障目标

信息安全:保护政府或企业业务数据和信息的机密性、完整性和可用性。

系统安全:确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。

物理安全:使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。

运行安全:确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求,保证系统运行稳定可靠。

构建第三步充分的现状调研和风险评估过程

在现状调研阶段,我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质,才能确定该组织信息安全保障体系所遵循的标准,另外,还要充分了解政府或企业的文化,保

证管理体系与相关文化的融合性,以便于后期的推广、宣贯和实施。在调研时,采用“假设为导向,事实为基础”的方法,假定该政府或企业满足相关标准的所有控制要求,那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息,证明或者证伪该组织的控制措施符合所有标准的要求,然后在此基础上,对比现状和标准要求进行差距分析。

在风险评估阶段,首先对于信息系统的风险评估.其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:

对资产进行识别,并对资产的价值进行赋值;

对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;

对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;

根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;

根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;

根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。

相关文档
最新文档