| 導購 | 订阅 | 在线投稿
分享
 
 
 

重中之重 企業信息安全計劃指導原則

來源:互聯網  2008-11-24 04:02:07  評論

網絡和IT應用在企業內不斷得到深化,所帶來的結果就是,信息安全成爲企業重要的無形資産。如何保護好信息,不但要在技術、規範上,還要在管理流程等多方面加以全面考慮。

不管一個企業規模如何、業務類型如何,很難說沒有發生過信息安全事件。在一些疏于防範的企業,計算機病毒爆發、利用系統漏洞非法入侵等信息安全事件更是時有發生。

究其原因,要歸咎于現在的技術、法規、業務流程、安全威脅及其他衆多因素相比于過去,複雜性大大增加,並且相互交織在一起,這大大增加了各類企業在信息安全方面所面臨的風險。

而企業內部信息存在于這樣一個複雜的生態系統中,還要滿足信息安全方面的三個原則: 可用性、完整性和機密性,其自身所面臨的壓力自然也就不言而喻。可用性意味著需要信息的人能夠及時獲取信息; 完整性意味著信息完整,沒有遭到破壞; 機密性意味著信息得到了保護,未授權者無法訪問。

本文根據上述的三個原則,提供了制定企業安全計劃(ESP)的一些方法和指導原則。

第一步:成立信息安全團隊。

管理學專家吉姆•柯林斯(Jim Collins)在《從優秀到卓越》(Good to Great)一書中,明確表明,在啓動任何公司項目之前就應該讓相應人員參與進來,企業安全計劃項目也不例外。

在企業內部要成立兩支團隊,即經理人團隊和跨職能部門的信息安全團隊。經理人團隊負責確定企業安全計劃的使命、宏觀目標和具體目標,這個團隊的成員應該包括企業的高層主管。此外,這支團隊還應該負責制定重要的安全政策、設定組織風險阈值、獲得企業安全計劃所需的資金,並且成立跨職能部門的安全團隊。

跨職能部門的安全團隊則最好由更小的團隊組成,負責日常的IT安全工作,包括管理IT資産、評估威脅與漏洞、管理風險、制定策略、制定規程和控制手段、進行內部審計以及提供培訓服務。

第二步: 理清信息資産。

管理信息資産首先要從清點資産開始入手,這個步驟應當記下硬件、應用程序(包括內部和第三方組織的應用程序)、數據庫及其他信息資産(如網絡共享文件夾和FTP網站等)。一旦完成了清點資産的工作,再爲每項資産明確一個所有人及監護人。所有人的職責是充當被分配資産的聯系人,而監護人要負責保護已存儲的信息。

然後,根據信息資産裏面所含信息對公司具有的價值、以及一旦該資産受到危及,公司可能遭受的成本損失進行分析,根據結果把這些信息資産劃分成不同的重要等級。

第三步:明確法規要求及行業標准。

法規就是命令,就是確保信息安全的強制性法律要求。例如醫療服務提供商及金融服務行業的大多數公司就都會遵守某些指導准則。支付卡行業(PCI)數據安全標准和ISO 27001等標准已經成爲行業內的最佳實踐。

經理人團隊要確定必須遵守哪些法規和標准以保證信息安全。

第四步:評估威脅、漏洞和風險。

威脅是給信息資源帶來危險的來源。列出所有相關威脅、對它們進行分類,並根據重要性進行評定,這是一項重要工作。

漏洞是系統當中的薄弱環節或缺陷,有人可能無意或有意利用這些漏洞,從而引發安全泄密事件。漏洞多存在于人員、流程和技術當中。建議列出可能存在的種種漏洞,然後根據它們對組織的影響來進行評定。

風險是指可能會給組織帶來不利結果的潛在事件或狀況。在一般情況下,風險由威脅和漏洞共同引發。例如微軟Outlook中的技術漏洞以及打開未知附件導致的漏洞,就有可能被Mydoom病毒加以利用,最終導致網絡帶寬損失。第五步: 有效管理風險。

風險管理側重于避免、緩解或轉移風險。風險管理首先需要列出各種風險,根據發生的可能性以及對組織的影響大小對各種風險進行分類。通過可能性和影響共同來劃分這些風險的優先級。對一家組織來說,影響大、發生可能性大的風險就是「高優先級對待的風險」。

一旦劃分了風險的優先級,就可以確定采用何種方式來應對風險。比方說,可以使用Lotus Notes替代Outlook來避免Mydoom病毒攻擊的風險; 可以安裝最新的反病毒軟件、教育用戶不要打開可疑附件來緩解風險; 也可以與第三方廠商簽訂合同,讓對方滿足自己在電子郵件方面的所有要求來轉移風險。

第六步:

制定事件管理與災難恢複方案。

安全泄密事件、無意中丟失IT資産、不小心刪除了關鍵數據、數據中心出現停電事故,這些事件在現實生活中並不少見。良好的事件響應方案可以清晰地列出針對最常見事件的應對策略。事實證明,「9•11」事件和「卡特裏娜」飓風之後,沒有制訂災難恢複方案的公司都無法在短期內重新恢複業務。

第七步:管理第三方組織。

廠商、供應商和中間商,這些第三方組織在複雜的信息生態系統中占據了重要的位置。如果與企業有聯系的第三方組織存在不安全的網絡漏洞或不規範的行爲規範,那很有可能會帶來安全漏洞,給不法分子以可趁之機,威脅企業的信息安全。

因此企業用戶要列出與自己有業務往來的所有第三方組織,然後根據信息重疊或共享的程度以及信息所具有的重要性,劃分這些第三方組織的優先級。然後,繼續弄清楚第三方組織落實了哪些安全措施,同時要求對方必須實施有效的控制手段。

第八步: 實施安全控制手段。

控制手段是爲了緩解或消除風險而落實的措施。技術性控制手段是指可以集成到計算機硬件、軟件或固件當中的防範措施(比如訪問控制機制、識別與驗證機制、加密方法、入侵檢測軟件)。非技術性控制手段是指管理和操作控制措施,比如安全策略、操作規程以及人員、物理和環境安全。

控制手段通常分成預防控制手段和檢測控制手段。預防控制手段旨在阻止企圖違反安全策略的任何行爲,檢測控制手段旨在警告違反或企圖違反安全策略的情況。

第九步:加強培訓。

企業經常忽視對員工開展安全培訓,但是培訓對執行企業安全計劃而言卻是關鍵所在。要是員工對筆記本電腦粗心大意、連接到工作場所以外的不安全網絡,或者不能識別哪些是可疑行爲,那麽各種技術防範和安全措施都會變得無濟于事。

第十步:進行內外審計。

內部審計可確保各種策略和規程落實到位,並且了解控制手段是否得到了執行,需要遵守的法律法規和強制性要求是否得到了滿足,風險是否得到了管理,還可以明確各種安全方案是否得到更新,以及培訓工作的效果。

外部審計有時候是強制性的。外部審計工作往往需要請中立的第三方組織來開展客觀公正的安全評估,並且提出彌補安全漏洞方面的建議。

  網絡和IT應用在企業內不斷得到深化,所帶來的結果就是,信息安全成爲企業重要的無形資産。如何保護好信息,不但要在技術、規範上,還要在管理流程等多方面加以全面考慮。   不管一個企業規模如何、業務類型如何,很難說沒有發生過信息安全事件。在一些疏于防範的企業,計算機病毒爆發、利用系統漏洞非法入侵等信息安全事件更是時有發生。   究其原因,要歸咎于現在的技術、法規、業務流程、安全威脅及其他衆多因素相比于過去,複雜性大大增加,並且相互交織在一起,這大大增加了各類企業在信息安全方面所面臨的風險。   而企業內部信息存在于這樣一個複雜的生態系統中,還要滿足信息安全方面的三個原則: 可用性、完整性和機密性,其自身所面臨的壓力自然也就不言而喻。可用性意味著需要信息的人能夠及時獲取信息; 完整性意味著信息完整,沒有遭到破壞; 機密性意味著信息得到了保護,未授權者無法訪問。   本文根據上述的三個原則,提供了制定企業安全計劃(ESP)的一些方法和指導原則。   第一步:成立信息安全團隊。   管理學專家吉姆•柯林斯(Jim Collins)在《從優秀到卓越》(Good to Great)一書中,明確表明,在啓動任何公司項目之前就應該讓相應人員參與進來,企業安全計劃項目也不例外。   在企業內部要成立兩支團隊,即經理人團隊和跨職能部門的信息安全團隊。經理人團隊負責確定企業安全計劃的使命、宏觀目標和具體目標,這個團隊的成員應該包括企業的高層主管。此外,這支團隊還應該負責制定重要的安全政策、設定組織風險阈值、獲得企業安全計劃所需的資金,並且成立跨職能部門的安全團隊。   跨職能部門的安全團隊則最好由更小的團隊組成,負責日常的IT安全工作,包括管理IT資産、評估威脅與漏洞、管理風險、制定策略、制定規程和控制手段、進行內部審計以及提供培訓服務。   第二步: 理清信息資産。   管理信息資産首先要從清點資産開始入手,這個步驟應當記下硬件、應用程序(包括內部和第三方組織的應用程序)、數據庫及其他信息資産(如網絡共享文件夾和FTP網站等)。一旦完成了清點資産的工作,再爲每項資産明確一個所有人及監護人。所有人的職責是充當被分配資産的聯系人,而監護人要負責保護已存儲的信息。   然後,根據信息資産裏面所含信息對公司具有的價值、以及一旦該資産受到危及,公司可能遭受的成本損失進行分析,根據結果把這些信息資産劃分成不同的重要等級。   第三步:明確法規要求及行業標准。   法規就是命令,就是確保信息安全的強制性法律要求。例如醫療服務提供商及金融服務行業的大多數公司就都會遵守某些指導准則。支付卡行業(PCI)數據安全標准和ISO 27001等標准已經成爲行業內的最佳實踐。   經理人團隊要確定必須遵守哪些法規和標准以保證信息安全。   第四步:評估威脅、漏洞和風險。   威脅是給信息資源帶來危險的來源。列出所有相關威脅、對它們進行分類,並根據重要性進行評定,這是一項重要工作。   漏洞是系統當中的薄弱環節或缺陷,有人可能無意或有意利用這些漏洞,從而引發安全泄密事件。漏洞多存在于人員、流程和技術當中。建議列出可能存在的種種漏洞,然後根據它們對組織的影響來進行評定。   風險是指可能會給組織帶來不利結果的潛在事件或狀況。在一般情況下,風險由威脅和漏洞共同引發。例如微軟Outlook中的技術漏洞以及打開未知附件導致的漏洞,就有可能被Mydoom病毒加以利用,最終導致網絡帶寬損失。  第五步: 有效管理風險。   風險管理側重于避免、緩解或轉移風險。風險管理首先需要列出各種風險,根據發生的可能性以及對組織的影響大小對各種風險進行分類。通過可能性和影響共同來劃分這些風險的優先級。對一家組織來說,影響大、發生可能性大的風險就是「高優先級對待的風險」。   一旦劃分了風險的優先級,就可以確定采用何種方式來應對風險。比方說,可以使用Lotus Notes替代Outlook來避免Mydoom病毒攻擊的風險; 可以安裝最新的反病毒軟件、教育用戶不要打開可疑附件來緩解風險; 也可以與第三方廠商簽訂合同,讓對方滿足自己在電子郵件方面的所有要求來轉移風險。   第六步:   制定事件管理與災難恢複方案。   安全泄密事件、無意中丟失IT資産、不小心刪除了關鍵數據、數據中心出現停電事故,這些事件在現實生活中並不少見。良好的事件響應方案可以清晰地列出針對最常見事件的應對策略。事實證明,「9•11」事件和「卡特裏娜」飓風之後,沒有制訂災難恢複方案的公司都無法在短期內重新恢複業務。   第七步:管理第三方組織。   廠商、供應商和中間商,這些第三方組織在複雜的信息生態系統中占據了重要的位置。如果與企業有聯系的第三方組織存在不安全的網絡漏洞或不規範的行爲規範,那很有可能會帶來安全漏洞,給不法分子以可趁之機,威脅企業的信息安全。   因此企業用戶要列出與自己有業務往來的所有第三方組織,然後根據信息重疊或共享的程度以及信息所具有的重要性,劃分這些第三方組織的優先級。然後,繼續弄清楚第三方組織落實了哪些安全措施,同時要求對方必須實施有效的控制手段。   第八步: 實施安全控制手段。   控制手段是爲了緩解或消除風險而落實的措施。技術性控制手段是指可以集成到計算機硬件、軟件或固件當中的防範措施(比如訪問控制機制、識別與驗證機制、加密方法、入侵檢測軟件)。非技術性控制手段是指管理和操作控制措施,比如安全策略、操作規程以及人員、物理和環境安全。   控制手段通常分成預防控制手段和檢測控制手段。預防控制手段旨在阻止企圖違反安全策略的任何行爲,檢測控制手段旨在警告違反或企圖違反安全策略的情況。   第九步:加強培訓。   企業經常忽視對員工開展安全培訓,但是培訓對執行企業安全計劃而言卻是關鍵所在。要是員工對筆記本電腦粗心大意、連接到工作場所以外的不安全網絡,或者不能識別哪些是可疑行爲,那麽各種技術防範和安全措施都會變得無濟于事。   第十步:進行內外審計。   內部審計可確保各種策略和規程落實到位,並且了解控制手段是否得到了執行,需要遵守的法律法規和強制性要求是否得到了滿足,風險是否得到了管理,還可以明確各種安全方案是否得到更新,以及培訓工作的效果。   外部審計有時候是強制性的。外部審計工作往往需要請中立的第三方組織來開展客觀公正的安全評估,並且提出彌補安全漏洞方面的建議。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有