燃?xì)馄髽I(yè)在構(gòu)建信息安全架構(gòu)時(shí)除了吸收最佳實(shí)踐標(biāo)準(zhǔn)外,還應(yīng)充分考慮風(fēng)險(xiǎn)評估、戰(zhàn)略驅(qū)動(dòng)以及監(jiān)管要求等內(nèi)容,最終將國際國內(nèi)信息安全最佳實(shí)踐標(biāo)準(zhǔn)裁剪成符合燃?xì)馄髽I(yè)的信息安全體系架構(gòu)。
3.4.4燃?xì)庑袠I(yè)信息安全體系構(gòu)建
燃?xì)庑袠I(yè)在信息安全體系的建設(shè)過程中為保障信息安全體系有效性,一般會(huì)遵從“組織體系定職責(zé)、策略體系定依據(jù)、技術(shù)體系定手段”的原則構(gòu)建“事前防御、事中控制、事后響應(yīng)”的信息安全體系,推進(jìn)信息安全體系的執(zhí)行和落地。
(1)組織體系
燃?xì)馄髽I(yè)應(yīng)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu),明確企業(yè)所有單位的信息安全角色與職責(zé)以及總部和分公司之間的關(guān)系。信息安全組織體系處于信息安全戰(zhàn)略的核心,是信息安全戰(zhàn)略落實(shí)的基礎(chǔ)和保障。
(2)策略體系
策略體系主要包含信息安全策略/方針、各信息安全管理域的安全管理要求等,為燃?xì)馄髽I(yè)提供信息安全控制依據(jù)。
(3)技術(shù)體系
燃?xì)馄髽I(yè)的信息安全技術(shù)體系應(yīng)整合各種成熟的信息安全技術(shù)與產(chǎn)品,對企業(yè)各類信息資產(chǎn)形成有效的差異化和精細(xì)化保護(hù)。依據(jù)縱深防御的原則,結(jié)合“橫向隔離,縱向認(rèn)證”的要求,采用不同層次的防護(hù)技術(shù),如身份認(rèn)證、訪問控制、內(nèi)容安全、監(jiān)控審計(jì)和備份恢復(fù)等,實(shí)現(xiàn)信息資產(chǎn)的安全防護(hù)。
4 北京燃?xì)庑畔踩w系建設(shè)實(shí)踐及應(yīng)用
北京燃?xì)饧瘓F(tuán)于2012年10月份啟動(dòng)了信息安全體系建設(shè)項(xiàng)日,于2013年6月底結(jié)項(xiàng)。整個(gè)項(xiàng)目的建設(shè)基本遵循燃?xì)庑袠I(yè)信息安全體系建設(shè)方法,是對燃?xì)庑袠I(yè)信息安全體系建設(shè)方法的實(shí)踐和應(yīng)用,同時(shí)根據(jù)實(shí)踐的結(jié)果再返回去對燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法進(jìn)行了完善。
4.1 建設(shè)目標(biāo)
(1)通過現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評估,全方位了解北京燃?xì)庑畔踩ぷ鳜F(xiàn)狀和存在的風(fēng)險(xiǎn)。
(2)設(shè)計(jì)北京燃?xì)獾男畔踩w系架構(gòu),完善信息安全組織與管理策略,編寫信息安全制度與標(biāo)準(zhǔn);并推進(jìn)信息安全管理體系的落地運(yùn)行。
(3)建立信息安全管理體系實(shí)施藍(lán)圖,使北京燃?xì)饽軌蚶?年到5年時(shí)間,建立起較為完善的信息安全管理體系。
(4)培育一批具備信息安全專業(yè)水平的技術(shù)人員和管理人員,并全面提升員工的信息安全意識。
4.2 現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評估
為全面梳理北京燃?xì)庑畔⑾到y(tǒng)安全現(xiàn)狀,項(xiàng)目組對北京燃?xì)庑畔⒒M織結(jié)構(gòu)、物理環(huán)境安全、人力資源、信息資產(chǎn)、信息系統(tǒng)的開發(fā)和運(yùn)行以及北京燃?xì)飧鲗I(yè)機(jī)構(gòu)和分子公司的信息化建設(shè)和管理過程做了全面細(xì)致的了解,形成了北京燃?xì)庑畔踩F(xiàn)狀調(diào)研報(bào)告。
依據(jù)ISO27001國際標(biāo)準(zhǔn),對北京燃?xì)獾男畔踩F(xiàn)狀進(jìn)行了對標(biāo),查找與國際信息安全最佳實(shí)踐之間的差距,并通過風(fēng)險(xiǎn)評估和分析進(jìn)行分類和匯總,形成了包括應(yīng)用系統(tǒng)風(fēng)險(xiǎn)、訪問控制風(fēng)險(xiǎn)、外包服務(wù)風(fēng)險(xiǎn)、人員環(huán)境風(fēng)險(xiǎn)、組織安全風(fēng)險(xiǎn)等11個(gè)類別的風(fēng)險(xiǎn)。為將信息安全風(fēng)險(xiǎn)降低到北京燃?xì)饪梢越邮艿乃?,?xiàng)目組為各類風(fēng)險(xiǎn)選擇了恰當(dāng)?shù)娘L(fēng)險(xiǎn)處置措施并制定了從近期到長期詳細(xì)的風(fēng)險(xiǎn)處置計(jì)劃。
4.3 架構(gòu)設(shè)計(jì)和藍(lán)圖規(guī)劃
依據(jù)前期調(diào)研發(fā)現(xiàn)的問題和風(fēng)險(xiǎn)、遵照國際國內(nèi)最佳實(shí)踐標(biāo)準(zhǔn)、結(jié)合北京燃?xì)獾摹笆濉币?guī)劃設(shè)計(jì)完成了北京燃?xì)獾男畔踩軜?gòu),并規(guī)劃了北京燃?xì)馕磥?年至5年的信息安全建設(shè)路線。
4.3.1架構(gòu)設(shè)計(jì)
北京燃?xì)庑畔踩w系依照北京燃?xì)庑畔踩w目標(biāo),圍繞“構(gòu)建信息安全體系、保障信息系統(tǒng)安全”的方針制定了北京燃?xì)獾男畔踩軜?gòu)(如圖4所示),通過組織體系定職責(zé)、制度體系定依據(jù)、技術(shù)體系定手段,涵蓋了包括體系管控、建設(shè)安全、運(yùn)維安全、應(yīng)急保障和基礎(chǔ)保障在內(nèi)的五大信息安全域,全面覆蓋北京燃?xì)庑畔踩母鱾€(gè)方面。
?
北京燃?xì)獾奈宕笮畔踩蛑饕菂⒖糏SO27001信息安全管理體系中的11個(gè)信息安全域,并結(jié)合燃?xì)庑袠I(yè)信息安全工作的特點(diǎn)和北京燃?xì)庖延械男畔踩A(chǔ),重新進(jìn)行劃分和歸并而得。
4.3.2藍(lán)圖規(guī)劃
信息安全藍(lán)圖規(guī)劃日的是明確北京燃?xì)馕磥硇畔踩慕ㄔO(shè)路線,經(jīng)過3年乃至5年信息安全規(guī)劃的實(shí)施,可以逐步改變目前信息安全的現(xiàn)狀,為北京燃?xì)庑畔⑾到y(tǒng)的平穩(wěn)運(yùn)行和業(yè)務(wù)的持續(xù)開展提供強(qiáng)有力的保障。
北京燃?xì)馕磥?年信息安全藍(lán)圖規(guī)劃如下,分為以下3個(gè)階段:
(1)信息安全管理體系建立階段(2013年)。北京燃?xì)庥?013年上半年建立信息安全管理體系,通過信息安全管理體系的建設(shè),建立了信息安全組織、完善了信息安全制度;通過持續(xù)進(jìn)行風(fēng)險(xiǎn)評估,使北京燃?xì)庠谛畔踩矫婢哂辛俗晕彝晟频哪芰Α?/div>
(2)IT風(fēng)險(xiǎn)精細(xì)化管理階段(2014年—2015年)。從2014年開始,進(jìn)行IT綜合管控體系的建設(shè),建立完善的IT治理機(jī)制、IT綜合管理流程(項(xiàng)目管理、外包管理、數(shù)據(jù)管理等)、IT服務(wù)管理流程、軟件開發(fā)管理流程和IT績效管理體系等;通過部署安全管理中心(SOC)開展敏感信息泄漏防護(hù)工作,試點(diǎn)關(guān)鍵用戶信息安全績效測評工作,推動(dòng)信息安全工作的深人開展。
(3)安全與業(yè)務(wù)融合階段(2016年—2017年)。從2016年開始,北京燃?xì)獾男畔踩珜⑦M(jìn)入安全與業(yè)務(wù)融合階段,主要表現(xiàn)為,通過精細(xì)化信息安全管控體系的建立、IT內(nèi)控體系建設(shè),完善業(yè)務(wù)領(lǐng)域的信息安全工作,結(jié)合敏感信息防護(hù)工作的開展,實(shí)現(xiàn)安全與業(yè)務(wù)的深度融合,為IT支持業(yè)務(wù)運(yùn)行與業(yè)務(wù)創(chuàng)新而奠定基礎(chǔ)。
4.4 體系構(gòu)建
4.4.1組織保障體系
北京燃?xì)獾男畔踩M織體系(見圖5)包括領(lǐng)導(dǎo)層、管理層、執(zhí)行層以及監(jiān)督層。領(lǐng)導(dǎo)層由集團(tuán)的信息化工作委員會(huì)擔(dān)任。管理層由集團(tuán)信息安全管理小組擔(dān)任,下設(shè)信息安全管理辦公室,成員包括總部相關(guān)部門的信息安全協(xié)調(diào)員。執(zhí)行層由信息檔案中心、運(yùn)營調(diào)度中心以及集團(tuán)其他所屬各單位組成。監(jiān)督層由集團(tuán)法審部和第三方審計(jì)機(jī)構(gòu)組成。
?
通過信息安全組織體系的建立,明確了集團(tuán)各屬單位信息安全角色與職責(zé),以及總部和分公司之間信息安全接口與互動(dòng)關(guān)系。信息安全組織保障體系處于信息安全戰(zhàn)略的核心,是信息安全戰(zhàn)略落實(shí)的基礎(chǔ)和保障,同時(shí),信息安全制度保障體系的建立和執(zhí)行、信息安全運(yùn)行相關(guān)工作以及信息安全技術(shù)在北京燃?xì)鈨?nèi)的運(yùn)用也需要信息安全組織保障體系相關(guān)機(jī)構(gòu)和角色去具體落實(shí)。
4.4.2制度保障體系
制度保障體系主要包含北京燃?xì)獾男畔踩呗裕结槨⒏餍畔踩芾碛虻陌踩芾硪?guī)定、細(xì)則和表單類的文檔,為北京燃?xì)馓峁┬畔踩罁?jù)。在制度體系中明確了信息安全技術(shù)類各種標(biāo)準(zhǔn)、安全規(guī)范、配置基線等;制定了信息安全運(yùn)行保障機(jī)制以及總部和分公司的信息安全協(xié)作機(jī)制。
目前制定的制度規(guī)范共32個(gè),其中二級規(guī)定1個(gè)、三級辦法6個(gè)、四級細(xì)則l2個(gè)、技術(shù)規(guī)范l3個(gè),覆蓋了系統(tǒng)建設(shè)、系統(tǒng)運(yùn)行、應(yīng)急保障、體系管控、基礎(chǔ)保障五大領(lǐng)域。
4.4.3技術(shù)保障體系
北京燃?xì)饨⒘恕拔蹇v五橫”的技術(shù)保障體系(見圖6),實(shí)現(xiàn)從物理環(huán)境到終端數(shù)據(jù)的安全控制,建立了事前預(yù)防、事中監(jiān)控以及事后恢復(fù)的相關(guān)機(jī)制。
?
北京燃?xì)獾募夹g(shù)保障體系將重點(diǎn)關(guān)注和解決:完善安全域的綜合規(guī)劃和整改、建立信息系統(tǒng)基本等級防護(hù)技術(shù)體系、建立PKI體系、建立4A平臺(tái)、建立終端防護(hù)體系、建立信息安全監(jiān)控體系和建立災(zāi)備中心。
4.5 信息安全意識的宣貫和提升
北京燃?xì)庠谛畔踩w系的建設(shè)過程中考慮了各個(gè)層面“人”的要素,從管理層到普通員工,從專業(yè)人員到非專業(yè)人員,充分保障了各層面人員所需的信息安全意識和技能的培養(yǎng),如圖7所示。
?
在構(gòu)建自身的信息安全宣貫體系的同時(shí),考慮了自身企業(yè)文化和企業(yè)特點(diǎn),在借助傳統(tǒng)的宣傳媒介的同時(shí)引入社會(huì)化媒體進(jìn)行企業(yè)內(nèi)部員工信息安全意識的宣傳,建立多維度全方位的信息安全宣傳渠道,如圖8所示。
?
5 燃?xì)庑袠I(yè)信息安全體系建設(shè)成功因素
信息安全風(fēng)險(xiǎn)是應(yīng)用信息技術(shù)過程所必須面對的問題,因此建立信息安全體系是保障燃?xì)馄髽I(yè)業(yè)務(wù)和信息化持久發(fā)展的基礎(chǔ)。結(jié)合北京燃?xì)庑畔踩w系建設(shè)的過程和經(jīng)驗(yàn),總結(jié)幾點(diǎn)燃?xì)庑袠I(yè)信息安全體系成功實(shí)施的要素:
(1)來自企業(yè)高層明確的支持和承諾,尤其對于相對傳統(tǒng)的燃?xì)庑袠I(yè)而言這是信息安全體系有效推進(jìn)的保障。
(2)注重體系落地,依據(jù)“總體規(guī)劃、分步實(shí)施”的戰(zhàn)略,信息安全體系建設(shè)要從全局的觀念出發(fā)組建系統(tǒng),制定具體的且可實(shí)現(xiàn)的計(jì)劃。
(3)信息安全部門的定位問題以及與信息化之間的關(guān)系,明確信息安拿與信息化是相互交叉又彼此區(qū)別的關(guān)系。
(4)加大信息安全的培訓(xùn)并建立自己的信息安全隊(duì)伍,同時(shí)借助多種手段向所有管理者和員工有效的宣貫安全意識,注重持續(xù)性和時(shí)效性,減少信息安全在實(shí)施過程中的阻力。
(5)完善信息安全架構(gòu)體系,增加信息安全縱深,整合現(xiàn)有信息安全設(shè)施,形成信息安全合力,避免不必要的資源浪費(fèi)。
6 結(jié)束語
北京燃?xì)獾男畔踩ㄔO(shè)才剛剛起步,燃?xì)庑袠I(yè)其他企業(yè)的信息安全建設(shè)也即將開始,本文將在北京燃?xì)庑畔踩w系建設(shè)過程中的經(jīng)驗(yàn)、方法進(jìn)行整理,在國內(nèi)首次提出燃?xì)庑袠I(yè)的信息安全體系建設(shè)方法,供燃?xì)庑袠I(yè)其他企業(yè)構(gòu)建信息安全體系參考。燃?xì)馄髽I(yè)信息安全的發(fā)展必然是不斷變化和前進(jìn)的過程,北京燃?xì)獗容^注重信息安全體系建設(shè)落地的實(shí)際效果,不斷夯實(shí)信息安全的基礎(chǔ),關(guān)注信息安全未來的發(fā)展方向,持續(xù)優(yōu)化已建立的信息安全體系架構(gòu),使之符合燃?xì)馄髽I(yè)自身的安全需求并保障燃?xì)鈽I(yè)務(wù)的安全運(yùn)行。
?
參考文獻(xiàn)
1歐洲網(wǎng)絡(luò)與信息安全局ENISA,2012年威脅報(bào)告
2CoBIT 4.1ISACA
3陳偉.企業(yè)建立信息安全管理體系的思路與方法.北京燃?xì)鈭?bào)信息安全???,2013;6
4北京燃?xì)庑畔踩w系建設(shè)項(xiàng)目技術(shù)方案
?
???