您的位置:360文档中心› 大型企业集团信息安全保障体系的构建

大型企业集团信息安全保障体系的构建

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

近年来,信息化战略已经成为三一集团的核心经营战略,已初步形成了一个集团层面统一的信息化运营平台,在信息化给企业带来利益的同时,信息网络的安全问题日益突出。本文就三一集团信息安全保障体系建设的过程进行了分析,提出了大型企业建设信息安全保障体系的方案,从策略体系、组织体系、管理体系和技术体系等4个方面就具体实施策略进行了深入讨论,最后用实施结果数据证明了该方案的合理性与可行性。

一、引言

随着信息化程度的提高,信息技术“双刃剑”效应使信息安全问题日益突出,信息安全需求已从原来的系统安全和网络安全逐渐深入到系统内部体系安全和数据安全上,并开始对管理体系造成一定的影响。

三一集团的信息安全战略从集团业务需求出发,遵从风险管理理念,在统一的信息技术战略规划基础上,借鉴国际最佳实践经验,为全面指导企业的信息安全工作制定了方针政策。为实现保障业务持续,促进业务发展的目的,规划了保证信息的机密性、完整性和可用性等建设目标。信息安全保障体系包括以下四个领域:信息安全策略、信息安全组织、信息安全管理和信息安全技术。

二、信息系统安全保障的含义

我们的企业需要一个怎样的科学的信息安全保障体系结构呢?PDRR是不是就够了?笔

者认为,要提出一个信息安全保障体系结构,起码应该考虑以下几个问题:一是保障信息安全,必须有哪些环节;二是这些环节应该能够全面衡量信息安全的保障能力;三是应该能够从宏观上指导信息安全保障体系的建设,而且在微观上能够推动具体的技术、政策、管理、标准和人员素质的发展和提高,而且应该把握住相应的评测原则。

信息系统安全保障是关于组织保障其信息系统,从而保障组织的信息和资产,最终保障组织的使命,并为组织信息系统的所有相关方提供信心的复杂系统学科。我们可以从以下方面理解和思考信息系统安全保障。

(1)信息系统安全保障不仅仅是一门技术学科,而是综合技术、管理和人,是一门复杂的系统学科。在技术上讲,不应只考虑具体的产品和技术,而应进一步考虑信息系统整体的信息技术系统体系结构。在管理上,应考虑建立综合的信息系统安全保障、信息化的组织管理体系,明晰相应的岗位职责;信息系统安全保障应建立完善的规章制度并严格执行。在人员上,应加强所有使用信息系统人员的安全意识和能力,以及信息系统专业人员的专业技能和能力。

(2)信息系统安全保障不仅仅是一种项目性的暂时行为,而应融入信息系统生命周期的全过程,应考虑和覆盖信息系统计划组织、开发采购、实施交付、运行维护和废弃的整个生命周期,形成信息系统安全保障能力的长效机制。在具体实践中,信息系统安全保障工作应同信息化建设同步规划、同步建设,还应加强安全工程的建设和监理管理。

(3)信息系统安全保障的目的不仅仅是保障信息系统本身,其根本目的是通过保障信息系统从而保障信息系统所支持的业务系统、保障组织的使命。信息系统安全保障不仅仅涉及信息系统本身,信息系统安全保障应以业务为主导、以组织的使命、社会职责和社会服务性为出发点和根本。

(4)信息系统安全保障不仅仅是孤立的自身的问题,还需要考虑电信、电力等提供基础设施的支持、需要承担保密、公共安全和国家安全等社会职责,因此是一个社会化、需要各方参与的综合性工作。

三、信息安全保障体系的基本框架

信息安全的特征是为了保证信息的保密性、完整性和可用性。信息系统安全保障是以风险和策略为核心,在信息系统运行环境的整个生命周期中提供包括技术、管理、人员和工程过程在内的综合安全保障,在信息系统中保障信息的这些安全特征,并实现组织的使命。

1.信息系统安全保障模型

信息系统安全保障模型的主要内容是:以风险和策略为出发点和核心,即从信息系统所面临的风险和信息系统所处的环境出发,制定组织信息系统安全保障策略体系,通过在信息系统生命周期中对技术、工程、管理和人员进行保证,确保信息的保密性、完整性和可用性特征,从而实现和贯彻组织策略并将风险降低到可接受的程度,达到保护组织的信息和信息系统资产,保障组织实现其使命的最终目的。

图1描述了信息系统安全保障模型。

图1 信息系统安全保障模型

整个信息系统安全保障模型建立在信息系统所处的运行环境、风险和策略的基础上。信息系统所处的运行环境和风险,是信息系统安全保障的起点。正是由于针对信息系统运行环境的风险,有了特定威胁动机的威胁源、使用各种攻击方法、利用信息系统运行环境中的各种脆弱性、对信息系统的资产造成相应影响,由此才引出信息安全问题。信息安全就是在信息系统的运行环境中围绕着风险,针对其运行环境中所面临的各种风险,根据由此制定的策略体系,在信息系统生命周期各个阶段采取管理、技术等安全保障措施,将风险减少至预定可接受的程度,从而保障其使命要求。

策略体系是组织对风险、资产和使命综合理解的基础上所作出的指导文件,策略体系的制定,反映了组织对信息系统安全保障及其目标的理解,它的制定和贯彻执行对组织信息系统安全保障起着纲领性的指导作用。

2.信息系统安全保障评估

信息系统安全保障评估,就是在信息系统所处的运行环境中,对信息系统安全保障的具体工作和活动进行客观的评估,通过信息系统安全保障评估所搜集的客观证据,向信息系统的所有相关方,提供信息系统的安全保障工作能够实现其安全保障策略、能够将其所面临的风险降低到其可接受程度的主观信心。信息系统安全保障评估的评估对象是信息系统,信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和,因此信息系统不仅包含了讨论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的概念,是涉及信息系统整个生命周期的概念,因此信息系统安全保障的评估也应该提供一种动态持续的信心。

图2信息系统安全保障评估概念和关系

四、信息系统安全保障体系的建设

三一集团IT总部信息安全部负责集团的信息安全保卫工作,承担具体的信息安全项目建设、信息安全体系规划和信息安全审计的职责。企业信息安全保障体系的建设是一个体系化的工程,涉及信息安全策略体系、信息安全组织体系、信息安全管理体系和信息安全技术体系四个部分。

相关文档
最新文档