ISO27001認證體系建設分為四個(gè)階段:實(shí)施安全風(fēng)險評估�����、規劃體系建設方案��、建立信息安全管理體系����、體系運行及改進(jìn)����。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求����,即有效地保護企業(yè)信息系統的安全����,確保信息安全的持續發(fā)展�。
1���、確立范圍
首先是確立項目范圍�,從機構層次及系統層次兩個(gè)維度進(jìn)行范圍的劃分����。從機構層次上�,可以考慮內部機構:需要覆蓋公司的各個(gè)部門(mén)�,其包括總部�����、事業(yè)部����、制造本部�、技術(shù)本部等;外部機構:則包括公司信息系統相連的外部機構���,包括供應商��、中間業(yè)務(wù)合作伙伴���、及其他合作伙伴等����。
從系統層次上���,可按照物理環(huán)境:即支撐信息系統的場(chǎng)所����、所處的周邊環(huán)境以及場(chǎng)所內保障計算機系統正常運行的設施�。包括機房環(huán)境�����、門(mén)禁�����、監控等;網(wǎng)絡(luò )系統:構成信息系統網(wǎng)絡(luò )傳輸環(huán)境的線(xiàn)路介質(zhì)�,設備和軟件;服務(wù)器平臺系統:支撐所有信息系統的服務(wù)器��、網(wǎng)絡(luò )設備���、客戶(hù)機及其操作系統��、數據庫�����、中間件和Web系統等軟件平臺系統;應用系統:支撐業(yè)務(wù)�����、辦公和管理應用的應用系統;數據:整個(gè)信息系統中傳輸以及存儲的數據;安全管理:包括安全策略��、規章制度��、人員組織�、開(kāi)發(fā)安全���、項目安全管理和系統管理人員在日常運維過(guò)程中的安全合規��、安全審計等���。
2��、安全風(fēng)險評估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統不被非法訪(fǎng)問(wèn)���、利用和篡改���,為企業(yè)員工提供安全��、可信的服務(wù)��,保證信息系統的可用性����、完整性和保密性�����。
本次進(jìn)行的安全評估�,主要包括兩方面的內容:
2.1�����、企業(yè)安全管理類(lèi)的評估
通過(guò)企業(yè)的安全控制現狀調查�����、訪(fǎng)談����、文檔研讀和ISO27001的最佳實(shí)踐比對�,以及在行業(yè)的經(jīng)驗上進(jìn)行“差距分析”�,檢查企業(yè)在安全控制層面上存在的弱點(diǎn)����,從而為安全措施的選擇提供依據���。
評估內容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面����,包括信息安全策略����、安全組織�����、資產(chǎn)分類(lèi)與控制��、人員安全����、物理和環(huán)境安全�、通信和操作管理����、訪(fǎng)問(wèn)控制�����、系統開(kāi)發(fā)與維護���、安全事件管理���、業(yè)務(wù)連續性管理�����、符合性��。
2.2�����、企業(yè)安全技術(shù)類(lèi)評估
基于資產(chǎn)安全等級的分類(lèi)�����,通過(guò)對信息設備進(jìn)行的安全掃描���、安全設備的配置���,檢查分析現有網(wǎng)絡(luò )設備�、服務(wù)器系統����、終端����、網(wǎng)絡(luò )安全架構的安全現狀和存在的弱點(diǎn)��,為安全加固提供依據�。
針對企業(yè)具有代表性的關(guān)鍵應用進(jìn)行安全評估���。關(guān)鍵應用的評估方式采用滲透測試的方法����,在應用評估中將對應用系統的威脅����、弱點(diǎn)進(jìn)行識別���,分析其和應用系統的安全目標之間的差距�,為后期改造提供依據���。
提到安全評估��,一定要有方法論�。我們以ISO27001為核心�����,并借鑒國際常用的幾種評估模型的優(yōu)點(diǎn)�,同時(shí)結合企業(yè)自身的特點(diǎn)�,建立風(fēng)險評估模型:
在風(fēng)險評估模型中�,主要包含信息資產(chǎn)�、弱點(diǎn)�����、威脅和風(fēng)險四個(gè)要素����。每個(gè)要素有各自的屬性���,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值����,弱點(diǎn)的屬性是弱點(diǎn)在現有控制措施的保護下��,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來(lái)影響的嚴重程度��,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴重程度��,風(fēng)險的屬性是風(fēng)險級別的高低�����。風(fēng)險評估采用定性的風(fēng)險評估方法�����,通過(guò)分級別的方式進(jìn)行賦值�����。
3�����、規劃體系建設方案
企業(yè)信息安全問(wèn)題根源分布在技術(shù)����、人員和管理等多個(gè)層面�,須統一規劃并建立企業(yè)信息安全體系�,并最終落實(shí)到管理措施和技術(shù)措施����,才能確保信息安全�����。
規劃體系建設方案是在風(fēng)險評估的基礎上�,對企業(yè)中存在的安全風(fēng)險提出安全建議�,增強系統的安全性和抗攻擊性�。
在未來(lái)1-2年內通過(guò)信息安全體系制的建立與實(shí)施����,建立安全組織��,技術(shù)上進(jìn)行安全審計�、內外網(wǎng)隔離的改造����、安全產(chǎn)品的部署��,實(shí)現以流程為導向的轉型���。在未來(lái)的 3-5 年內���,通過(guò)完善的信息安全體系和相應的物理環(huán)境改造和業(yè)務(wù)連續性項目的建設�,將企業(yè)建設成為一個(gè)注重管理����,預防為主�,防治結合的先進(jìn)型企業(yè)�����。
4�����、企業(yè)信息安全體系建設
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎上�����,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預警(Warn)�����、保護(Protect)����、檢測(Detect)�����、反應(Response)�����、恢復(Recover)和反擊(Counter-attack)��,體系應該兼顧攘外和安內的功能�。
安全體系的建設一是涉及安全管理制度建設完善;二是涉及到信息安全技術(shù)�。首先��,針對安全管理制度涉及的主要內容包括企業(yè)信息系統的總體安全方針�����、安全技術(shù)策略和安全管理策略等�����。安全總體方針涉及安全組織機構���、安全管理制度�、人員安全管理�����、安全運行維護等方面的安全制度�。安全技術(shù)策略涉及信息域的劃分�����、業(yè)務(wù)應用的安全等級�、安全保護思路�、說(shuō)以及進(jìn)一步的統一管理���、系統分級����、網(wǎng)絡(luò )互聯(lián)�����、容災備份�����、集中監控等方面的要求����。
其次�����,信息安全技術(shù)按其所在的信息系統層次可劃分為物理安全技術(shù)���、網(wǎng)絡(luò )安全技術(shù)����、系統安全技術(shù)�����、應用安全技術(shù)��,以及安全基礎設施平臺;同時(shí)按照安全技術(shù)所提供的功能又可劃分為預防保護類(lèi)�、檢測跟蹤類(lèi)和響應恢復類(lèi)三大類(lèi)技術(shù)�����。結合主流的安全技術(shù)以及未來(lái)信息系統發(fā)展的要求�,規劃信息安全技術(shù)包括:
