企業實施信息安全保障體系的探索和實踐論文
現代企業的生存與發展高度依賴網絡信息系統支持,確保網絡的通暢、信息系統安全可靠就顯得尤其重要。本文從信息安全綜合治理戰略理念出發,結合當前企業IT運維管理現狀和安全風險防范的新思路、新方法,從組織體系、制度體系和技術體系三個層面論述建立和實施信息系統安全運行治理防控保障體系,實現信息系統可持續改進運行。
1 綜合治理信息安全的戰略背景
IT管理技術發展歷程,從被動管理轉向主動管理,從服務導向轉向業務價值。在科學的IT管理方法論方面形成了一系列標準:諸如ITIL/ITSM以流程為中心的IT管理行業標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業內部控制框架,面向內部控制;ISO17799:信息安全管理國際標準。當前有很多非常好的綜合性標準與規范可以參考,其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程,指導企業如何建立可持續改進的體系。
目前企業IT運維管理現狀。需求變化:IT本身快速變更;管理目標多角度變換并存。資源不足:IT 復雜性成長快于人員成長;IT 人員持續流動。業務影響:難以判斷事件對業務的影響和處理事件的優先級。信息孤島:IT 資源多樣性的,不能進行事件的關聯分析,缺少統一的健康視圖。IT網絡與信息系統運維存在監測盲點,缺少主動預警和事件分析機制。
如何把此項復雜的工程進行細化與落地,建立信息安全保障框架?在企業有限的IT資源(包括人員、系統等)等的前提下,IT運營面臨嚴峻的挑戰,企業多半缺乏信息系統應用開發能力,在很大程度上依賴于產品開發商的支持,為此,要想實現從混亂到清晰、從被動到主動、從應付到實現價值取向的服務思想,自主加外包的`混合運維方式無疑是一種好的服務方式。
2 建立和實施信息安全保障體系思路和方法
針對IT管理問題和價值取向的服務方式,借鑒PDCA工作循環原理和標準化體系建設方法,從建立安全目標和組織體系、制度體系和技術體系等三個主要層面構建實施信息安全保障體系,以規范引導人、以標準流程引導人,以業績激勵人,從而促被動變主動,堅持持續改善,促進工作效率,促進安全保障。
2.1 建立和推行目標管理
體系建設應以目標管理為先導、循序漸進,按頂層布局、中層發力、底層推動內容設計與構建,為此,借鑒當前IT運維管理目標演進方式,確立各階段建設目標。
基礎架構建設階段(SMB),手工維護階段。主要實現IT基礎架構建設。
網絡和系統監控(NSM)階段,重視自動化監控階段。主要實現IT設備維護和管理。
IT服務管理(ITSM)階段,重視流程管理階段。主要實現IT服務流程管理。
業務服務管理(BSM)階段,重視用戶服務質量與滿意度。主要實現IT與業務融合管理。
從IT投入和業務價值來看,前三個階段是間接業務價值,第四階段才是直接業務價值。
根據ITIL這個IT服務管理的方法論,先是搭建一個框架,借用工具的配合促進落地。如圖1、IT運維管理系統參考模型。
從安全目標出發,結合IT運維管理系統參考模型,每個階段的工作向著實現直接業務價值,不斷消除或減輕對性能的約束,促進IT產品或服務滿足確定的規范,實現企業效益最大化。服務好用屬性通過最終的績效和檢驗結果監視測量價值成分。如圖2。
2.2 規劃融合信息安全保障體系
通過從組織體系、制度體系、技術體系層面建立和實施縱深防御體系,實現穩健的信息安全保障狀態。
①組織體系:通過企業中高層的支持實現業務驅動和共同推動信息安全體系建設。當然,需要提出的問題,組織有可能要依賴長期可靠的合作伙伴:通過長期可靠的合作關系,快速引進外部專業資源和先進技術,可以幫助企業推動信息安全建設工作。為了幫助組織內外信息系統人員更好地遵守行業規范及法律要求,企業實施IT網絡與信息系統安全運維體系標準,組織應做到定期對全體員工進行信息安全相關教育,包括:技能、職責和意識,通過相關審核,證明組織具備實施體系的意識和能力。
、谥贫润w系:企業IT網絡與信息系統安全運維系統建設的范圍包括機房安全、數據安全、網絡安全、服務器安全、業務應用安全、終端安全等。為此,企業應明確內部運維和外部協同的內容及其標準規范,包括績效標準。建立實施IT網絡與信息系統安全運維體系標準,首先把高效的信息安全做法固化下來形成規則制度或標準,成為組織中信息安全行為準則。保證事前預防、事中監控和事后審計等安全措施的得到有效執行與落實。
、奂夹g體系:一般來說,網絡設備技術體系可以按照從上到下信息所流經的設備來部署工具。即從數據安全、終端安全、應用安全、操作系統與數據庫安全、網絡安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則,綜合采用各種安全工具進行組合,形成企業“適用的”安全技術防線。適時根據風險評估的結果,采取相應措施,降低風險。
其中,需要采用1~2種綜合管理的工具來幫助把所有的安全監控工具進行統一管控。例如SOC是給企業日常維護管理者使用,ITRM作為綜合風險呈現,是給企業風險或安全管理層使用。
、荏w系運行和監控:體系的日常運行和監控就是從信息的生命周期進行流程控制,即在信息的創建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創建開發安全階段的一個細化控制手段。在運行體系建設中,往往需要結合流程分析來關注信息的生命周期安全。運行過程中還有一個應急管理,包括災備中心建設、業務連續性計劃、應急響應等等都有相應的標準與理論支持。特別是BS25999標準的頒布,給如何建立一套完善的應急體系提供了參考。
3 企業建立和實施信息安全保障體系實踐
面對網絡系統互連,網絡技術與設備的安全管理規范的完善這個復雜而且浩大的工程,井岡山卷煙廠不僅依靠個體分散的技術措施或者管理防護,而且結合國家、社會和個人的力量構建綜合保障體系。
、僖罁蘒SO9000、ISO14000和OHSAS18000標準,國家計算機網絡和信息安全相關法律法規,參考當前科學的IT管理方法論方面形成了一系列標準,結合YC/T384煙草企業安全生產標準等,識別這些與信息安全相關的法律法規及其它要求,將信息安全保障體系(框架)融合到企業質量、環境和職業健康安全(以下簡稱為三標)綜合管理體系。
、诖_定信息安全管理目標并分步實施企業三年信息化發展規劃。自2012年開始,企業對照YC/T384煙草企業安全生產標準要求,在梳理和評價2000年以來企業多個企業信息化三年實施規劃實踐環境以后,制訂了新的三年信息安全管理目標和建設規劃,將目標和規劃分解到各年度實施,并納入到企業年度三標綜合管理體系建設目標和管理績效考核。
、劢⑿畔踩芾斫M織和工作標準,同時納入三標綜合管理體系管理考核。從體系結構上促成企業作業層、管理層(中間層)和決策層的信息化,實現企業的物資(服務)流、資金流和信息流的一體化,及時、準確和完整地傳遞企業的經營數據,保證企業的經營管理。利用信息化改進管理,形成企業信息安全文化,促進員工接受、理解和主動配合,不斷提升全員的信息安全意識和技能,從而使信息安全管理真正落到實處。
、芙⒑蛯嵤┬畔踩U象w系文件標準。根據國家信息安全相關的法律法規及其它要求,結合行業和企業的特點和發展趨勢,規范管理流程和模式。網絡與信息系統建設“立足長遠、分步實施、突出重點”,做到“統一規劃、統一標準、統一平臺、統一編碼”,同步實施信息系統等級保護制度,促進企業與信息系統項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業內部各項工作實現規范化、信息化,做到一切工作都按照程序辦,同時,事事處于相互制衡的環境之下、人人處于監督管理之中,從而形成職責明確、運轉協調、相互制衡的工作機制,為企業內部信息安全監管提供強有力的保障。
幾年來,企業堅持企業信息安全方針目標,以迅速響應服務為宗旨。企業信息安全保障體系建設緊緊圍繞建立科學、規范、和諧、統一、開放的管理體系,全面融入了質量、安全和環境管理體系一體化建設和實踐,截止到2015年底,企業共梳理建立或整合并實施安全保障類文件包括企業管理標準、技術標準和工作標準共計31個標準文件。通過創新與改善和體系審核、管理評審和提高文件執行率及持續改進方式保持了信息安全保障管理體系的持續改進和有效運行。
【企業實施信息安全保障體系的探索和實踐論文】相關文章: