| 订阅 | 在线投稿
分享
 
 
 

重中之重 企业信息安全计划指导原则

来源:互联网  宽屏版  评论
2008-11-24 04:02:07

网络和IT应用在企业内不断得到深化,所带来的结果就是,信息安全成为企业重要的无形资产。如何保护好信息,不但要在技术、规范上,还要在管理流程等多方面加以全面考虑。

不管一个企业规模如何、业务类型如何,很难说没有发生过信息安全事件。在一些疏于防范的企业,计算机病毒爆发、利用系统漏洞非法入侵等信息安全事件更是时有发生。

究其原因,要归咎于现在的技术、法规、业务流程、安全威胁及其他众多因素相比于过去,复杂性大大增加,并且相互交织在一起,这大大增加了各类企业在信息安全方面所面临的风险。

而企业内部信息存在于这样一个复杂的生态系统中,还要满足信息安全方面的三个原则: 可用性、完整性和机密性,其自身所面临的压力自然也就不言而喻。可用性意味着需要信息的人能够及时获取信息; 完整性意味着信息完整,没有遭到破坏; 机密性意味着信息得到了保护,未授权者无法访问。

本文根据上述的三个原则,提供了制定企业安全计划(ESP)的一些方法和指导原则。

第一步:成立信息安全团队。

管理学专家吉姆•柯林斯(Jim Collins)在《从优秀到卓越》(Good to Great)一书中,明确表明,在启动任何公司项目之前就应该让相应人员参与进来,企业安全计划项目也不例外。

在企业内部要成立两支团队,即经理人团队和跨职能部门的信息安全团队。经理人团队负责确定企业安全计划的使命、宏观目标和具体目标,这个团队的成员应该包括企业的高层主管。此外,这支团队还应该负责制定重要的安全政策、设定组织风险阈值、获得企业安全计划所需的资金,并且成立跨职能部门的安全团队。

跨职能部门的安全团队则最好由更小的团队组成,负责日常的IT安全工作,包括管理IT资产、评估威胁与漏洞、管理风险、制定策略、制定规程和控制手段、进行内部审计以及提供培训服务。

第二步: 理清信息资产。

管理信息资产首先要从清点资产开始入手,这个步骤应当记下硬件、应用程序(包括内部和第三方组织的应用程序)、数据库及其他信息资产(如网络共享文件夹和FTP网站等)。一旦完成了清点资产的工作,再为每项资产明确一个所有人及监护人。所有人的职责是充当被分配资产的联系人,而监护人要负责保护已存储的信息。

然后,根据信息资产里面所含信息对公司具有的价值、以及一旦该资产受到危及,公司可能遭受的成本损失进行分析,根据结果把这些信息资产划分成不同的重要等级。

第三步:明确法规要求及行业标准。

法规就是命令,就是确保信息安全的强制性法律要求。例如医疗服务提供商及金融服务行业的大多数公司就都会遵守某些指导准则。支付卡行业(PCI)数据安全标准和ISO 27001等标准已经成为行业内的最佳实践。

经理人团队要确定必须遵守哪些法规和标准以保证信息安全。

第四步:评估威胁、漏洞和风险。

威胁是给信息资源带来危险的来源。列出所有相关威胁、对它们进行分类,并根据重要性进行评定,这是一项重要工作。

漏洞是系统当中的薄弱环节或缺陷,有人可能无意或有意利用这些漏洞,从而引发安全泄密事件。漏洞多存在于人员、流程和技术当中。建议列出可能存在的种种漏洞,然后根据它们对组织的影响来进行评定。

风险是指可能会给组织带来不利结果的潜在事件或状况。在一般情况下,风险由威胁和漏洞共同引发。例如微软Outlook中的技术漏洞以及打开未知附件导致的漏洞,就有可能被Mydoom病毒加以利用,最终导致网络带宽损失。第五步: 有效管理风险。

风险管理侧重于避免、缓解或转移风险。风险管理首先需要列出各种风险,根据发生的可能性以及对组织的影响大小对各种风险进行分类。通过可能性和影响共同来划分这些风险的优先级。对一家组织来说,影响大、发生可能性大的风险就是“高优先级对待的风险”。

一旦划分了风险的优先级,就可以确定采用何种方式来应对风险。比方说,可以使用Lotus Notes替代Outlook来避免Mydoom病毒攻击的风险; 可以安装最新的反病毒软件、教育用户不要打开可疑附件来缓解风险; 也可以与第三方厂商签订合同,让对方满足自己在电子邮件方面的所有要求来转移风险。

第六步:

制定事件管理与灾难恢复方案。

安全泄密事件、无意中丢失IT资产、不小心删除了关键数据、数据中心出现停电事故,这些事件在现实生活中并不少见。良好的事件响应方案可以清晰地列出针对最常见事件的应对策略。事实证明,“9•11”事件和“卡特里娜”飓风之后,没有制订灾难恢复方案的公司都无法在短期内重新恢复业务。

第七步:管理第三方组织。

厂商、供应商和中间商,这些第三方组织在复杂的信息生态系统中占据了重要的位置。如果与企业有联系的第三方组织存在不安全的网络漏洞或不规范的行为规范,那很有可能会带来安全漏洞,给不法分子以可趁之机,威胁企业的信息安全。

因此企业用户要列出与自己有业务往来的所有第三方组织,然后根据信息重叠或共享的程度以及信息所具有的重要性,划分这些第三方组织的优先级。然后,继续弄清楚第三方组织落实了哪些安全措施,同时要求对方必须实施有效的控制手段。

第八步: 实施安全控制手段。

控制手段是为了缓解或消除风险而落实的措施。技术性控制手段是指可以集成到计算机硬件、软件或固件当中的防范措施(比如访问控制机制、识别与验证机制、加密方法、入侵检测软件)。非技术性控制手段是指管理和操作控制措施,比如安全策略、操作规程以及人员、物理和环境安全。

控制手段通常分成预防控制手段和检测控制手段。预防控制手段旨在阻止企图违反安全策略的任何行为,检测控制手段旨在警告违反或企图违反安全策略的情况。

第九步:加强培训。

企业经常忽视对员工开展安全培训,但是培训对执行企业安全计划而言却是关键所在。要是员工对笔记本电脑粗心大意、连接到工作场所以外的不安全网络,或者不能识别哪些是可疑行为,那么各种技术防范和安全措施都会变得无济于事。

第十步:进行内外审计。

内部审计可确保各种策略和规程落实到位,并且了解控制手段是否得到了执行,需要遵守的法律法规和强制性要求是否得到了满足,风险是否得到了管理,还可以明确各种安全方案是否得到更新,以及培训工作的效果。

外部审计有时候是强制性的。外部审计工作往往需要请中立的第三方组织来开展客观公正的安全评估,并且提出弥补安全漏洞方面的建议。

 
  网络和IT应用在企业内不断得到深化,所带来的结果就是,信息安全成为企业重要的无形资产。如何保护好信息,不但要在技术、规范上,还要在管理流程等多方面加以全面考虑。   不管一个企业规模如何、业务类型如何,很难说没有发生过信息安全事件。在一些疏于防范的企业,计算机病毒爆发、利用系统漏洞非法入侵等信息安全事件更是时有发生。   究其原因,要归咎于现在的技术、法规、业务流程、安全威胁及其他众多因素相比于过去,复杂性大大增加,并且相互交织在一起,这大大增加了各类企业在信息安全方面所面临的风险。   而企业内部信息存在于这样一个复杂的生态系统中,还要满足信息安全方面的三个原则: 可用性、完整性和机密性,其自身所面临的压力自然也就不言而喻。可用性意味着需要信息的人能够及时获取信息; 完整性意味着信息完整,没有遭到破坏; 机密性意味着信息得到了保护,未授权者无法访问。   本文根据上述的三个原则,提供了制定企业安全计划(ESP)的一些方法和指导原则。   第一步:成立信息安全团队。   管理学专家吉姆•柯林斯(Jim Collins)在《从优秀到卓越》(Good to Great)一书中,明确表明,在启动任何公司项目之前就应该让相应人员参与进来,企业安全计划项目也不例外。   在企业内部要成立两支团队,即经理人团队和跨职能部门的信息安全团队。经理人团队负责确定企业安全计划的使命、宏观目标和具体目标,这个团队的成员应该包括企业的高层主管。此外,这支团队还应该负责制定重要的安全政策、设定组织风险阈值、获得企业安全计划所需的资金,并且成立跨职能部门的安全团队。   跨职能部门的安全团队则最好由更小的团队组成,负责日常的IT安全工作,包括管理IT资产、评估威胁与漏洞、管理风险、制定策略、制定规程和控制手段、进行内部审计以及提供培训服务。   第二步: 理清信息资产。   管理信息资产首先要从清点资产开始入手,这个步骤应当记下硬件、应用程序(包括内部和第三方组织的应用程序)、数据库及其他信息资产(如网络共享文件夹和FTP网站等)。一旦完成了清点资产的工作,再为每项资产明确一个所有人及监护人。所有人的职责是充当被分配资产的联系人,而监护人要负责保护已存储的信息。   然后,根据信息资产里面所含信息对公司具有的价值、以及一旦该资产受到危及,公司可能遭受的成本损失进行分析,根据结果把这些信息资产划分成不同的重要等级。   第三步:明确法规要求及行业标准。   法规就是命令,就是确保信息安全的强制性法律要求。例如医疗服务提供商及金融服务行业的大多数公司就都会遵守某些指导准则。支付卡行业(PCI)数据安全标准和ISO 27001等标准已经成为行业内的最佳实践。   经理人团队要确定必须遵守哪些法规和标准以保证信息安全。   第四步:评估威胁、漏洞和风险。   威胁是给信息资源带来危险的来源。列出所有相关威胁、对它们进行分类,并根据重要性进行评定,这是一项重要工作。   漏洞是系统当中的薄弱环节或缺陷,有人可能无意或有意利用这些漏洞,从而引发安全泄密事件。漏洞多存在于人员、流程和技术当中。建议列出可能存在的种种漏洞,然后根据它们对组织的影响来进行评定。   风险是指可能会给组织带来不利结果的潜在事件或状况。在一般情况下,风险由威胁和漏洞共同引发。例如微软Outlook中的技术漏洞以及打开未知附件导致的漏洞,就有可能被Mydoom病毒加以利用,最终导致网络带宽损失。  第五步: 有效管理风险。   风险管理侧重于避免、缓解或转移风险。风险管理首先需要列出各种风险,根据发生的可能性以及对组织的影响大小对各种风险进行分类。通过可能性和影响共同来划分这些风险的优先级。对一家组织来说,影响大、发生可能性大的风险就是“高优先级对待的风险”。   一旦划分了风险的优先级,就可以确定采用何种方式来应对风险。比方说,可以使用Lotus Notes替代Outlook来避免Mydoom病毒攻击的风险; 可以安装最新的反病毒软件、教育用户不要打开可疑附件来缓解风险; 也可以与第三方厂商签订合同,让对方满足自己在电子邮件方面的所有要求来转移风险。   第六步:   制定事件管理与灾难恢复方案。   安全泄密事件、无意中丢失IT资产、不小心删除了关键数据、数据中心出现停电事故,这些事件在现实生活中并不少见。良好的事件响应方案可以清晰地列出针对最常见事件的应对策略。事实证明,“9•11”事件和“卡特里娜”飓风之后,没有制订灾难恢复方案的公司都无法在短期内重新恢复业务。   第七步:管理第三方组织。   厂商、供应商和中间商,这些第三方组织在复杂的信息生态系统中占据了重要的位置。如果与企业有联系的第三方组织存在不安全的网络漏洞或不规范的行为规范,那很有可能会带来安全漏洞,给不法分子以可趁之机,威胁企业的信息安全。   因此企业用户要列出与自己有业务往来的所有第三方组织,然后根据信息重叠或共享的程度以及信息所具有的重要性,划分这些第三方组织的优先级。然后,继续弄清楚第三方组织落实了哪些安全措施,同时要求对方必须实施有效的控制手段。   第八步: 实施安全控制手段。   控制手段是为了缓解或消除风险而落实的措施。技术性控制手段是指可以集成到计算机硬件、软件或固件当中的防范措施(比如访问控制机制、识别与验证机制、加密方法、入侵检测软件)。非技术性控制手段是指管理和操作控制措施,比如安全策略、操作规程以及人员、物理和环境安全。   控制手段通常分成预防控制手段和检测控制手段。预防控制手段旨在阻止企图违反安全策略的任何行为,检测控制手段旨在警告违反或企图违反安全策略的情况。   第九步:加强培训。   企业经常忽视对员工开展安全培训,但是培训对执行企业安全计划而言却是关键所在。要是员工对笔记本电脑粗心大意、连接到工作场所以外的不安全网络,或者不能识别哪些是可疑行为,那么各种技术防范和安全措施都会变得无济于事。   第十步:进行内外审计。   内部审计可确保各种策略和规程落实到位,并且了解控制手段是否得到了执行,需要遵守的法律法规和强制性要求是否得到了满足,风险是否得到了管理,还可以明确各种安全方案是否得到更新,以及培训工作的效果。   外部审计有时候是强制性的。外部审计工作往往需要请中立的第三方组织来开展客观公正的安全评估,并且提出弥补安全漏洞方面的建议。
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有