網(wǎng)絡(luò)和IT應(yīng)用在企業(yè)內(nèi)不斷得到深化��,所帶來的結(jié)果就是�����,信息安全成為企業(yè)重要的無形資產(chǎn)�����。如何保護(hù)好信息,不但要在技術(shù)����、規(guī)范上,還要在管理流程等多方面加以全面考慮�����。
不管一個企業(yè)規(guī)模如何�����、業(yè)務(wù)類型如何���,很難說沒有發(fā)生過信息安全事件�����。在一些疏于防范的企業(yè)���,計算機(jī)病毒爆發(fā)、利用系統(tǒng)漏洞非法入侵等信息安全事件更是時有發(fā)生����。
究其原因����,要歸咎于現(xiàn)在的技術(shù)�、法規(guī)、業(yè)務(wù)流程�、安全威脅及其他眾多因素相比于過去,復(fù)雜性大大增加���,并且相互交織在一起���,這大大增加了各類企業(yè)在信息安全方面所面臨的風(fēng)險。
而企業(yè)內(nèi)部信息存在于這樣一個復(fù)雜的生態(tài)系統(tǒng)中���,還要滿足信息安全方面的三個原則: 可用性����、完整性和機(jī)密性�,其自身所面臨的壓力自然也就不言而喻�����。可用性意味著需要信息的人能夠及時獲取信息; 完整性意味著信息完整���,沒有遭到破壞; 機(jī)密性意味著信息得到了保護(hù)����,未授權(quán)者無法訪問�����。
本文根據(jù)上述的三個原則�����,提供了制定企業(yè)安全計劃(ESP)的一些方法和指導(dǎo)原則��。
第一步:成立信息安全團(tuán)隊��。
管理學(xué)專家吉姆·柯林斯(Jim Collins)在《從優(yōu)秀到卓越》(Good to Great)一書中����,明確表明��,在啟動任何公司項目之前就應(yīng)該讓相應(yīng)人員參與進(jìn)來��,企業(yè)安全計劃項目也不例外。
在企業(yè)內(nèi)部要成立兩支團(tuán)隊����,即經(jīng)理人團(tuán)隊和跨職能部門的信息安全團(tuán)隊。經(jīng)理人團(tuán)隊負(fù)責(zé)確定企業(yè)安全計劃的使命���、宏觀目標(biāo)和具體目標(biāo)��,這個團(tuán)隊的成員應(yīng)該包括企業(yè)的高層主管�����。此外���,這支團(tuán)隊還應(yīng)該負(fù)責(zé)制定重要的安全政策、設(shè)定組織風(fēng)險閾值����、獲得企業(yè)安全計劃所需的資金,并且成立跨職能部門的安全團(tuán)隊����。
跨職能部門的安全團(tuán)隊則最好由更小的團(tuán)隊組成���,負(fù)責(zé)日常的IT安全工作,包括管理IT資產(chǎn)�、評估威脅與漏洞���、管理風(fēng)險、制定策略���、制定規(guī)程和控制手段、進(jìn)行內(nèi)部審計以及提供培訓(xùn)服務(wù)��。
第二步: 理清信息資產(chǎn)�。
管理信息資產(chǎn)首先要從清點資產(chǎn)開始入手�,這個步驟應(yīng)當(dāng)記下硬件、應(yīng)用程序(包括內(nèi)部和第三方組織的應(yīng)用程序)���、數(shù)據(jù)庫及其他信息資產(chǎn)(如網(wǎng)絡(luò)共享文件夾和FTP網(wǎng)站等)�。一旦完成了清點資產(chǎn)的工作�,再為每項資產(chǎn)明確一個所有人及監(jiān)護(hù)人。所有人的職責(zé)是充當(dāng)被分配資產(chǎn)的聯(lián)系人���,而監(jiān)護(hù)人要負(fù)責(zé)保護(hù)已存儲的信息���。
然后����,根據(jù)信息資產(chǎn)里面所含信息對公司具有的價值���、以及一旦該資產(chǎn)受到危及��,公司可能遭受的成本損失進(jìn)行分析,根據(jù)結(jié)果把這些信息資產(chǎn)劃分成不同的重要等級�����。
第三步:明確法規(guī)要求及行業(yè)標(biāo)準(zhǔn)�。
法規(guī)就是命令,就是確保信息安全的強(qiáng)制性法律要求�����。例如醫(yī)療服務(wù)提供商及金融服務(wù)行業(yè)的大多數(shù)公司就都會遵守某些指導(dǎo)準(zhǔn)則�。支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)和ISO 27001等標(biāo)準(zhǔn)已經(jīng)成為行業(yè)內(nèi)的最佳實踐。
經(jīng)理人團(tuán)隊要確定必須遵守哪些法規(guī)和標(biāo)準(zhǔn)以保證信息安全���。
第四步:評估威脅��、漏洞和風(fēng)險��。
威脅是給信息資源帶來危險的來源��。列出所有相關(guān)威脅��、對它們進(jìn)行分類�����,并根據(jù)重要性進(jìn)行評定�����,這是一項重要工作����。
漏洞是系統(tǒng)當(dāng)中的薄弱環(huán)節(jié)或缺陷�����,有人可能無意或有意利用這些漏洞���,從而引發(fā)安全泄密事件����。漏洞多存在于人員、流程和技術(shù)當(dāng)中����。建議列出可能存在的種種漏洞,然后根據(jù)它們對組織的影響來進(jìn)行評定��。
風(fēng)險是指可能會給組織帶來不利結(jié)果的潛在事件或狀況�。在一般情況下,風(fēng)險由威脅和漏洞共同引發(fā)���。例如微軟Outlook中的技術(shù)漏洞以及打開未知附件導(dǎo)致的漏洞���,就有可能被Mydoom病毒加以利用,最終導(dǎo)致網(wǎng)絡(luò)帶寬損失�。
第五步: 有效管理風(fēng)險。
風(fēng)險管理側(cè)重于避免�、緩解或轉(zhuǎn)移風(fēng)險。風(fēng)險管理首先需要列出各種風(fēng)險���,根據(jù)發(fā)生的可能性以及對組織的影響大小對各種風(fēng)險進(jìn)行分類����。通過可能性和影響共同來劃分這些風(fēng)險的優(yōu)先級。對一家組織來說��,影響大��、發(fā)生可能性大的風(fēng)險就是“高優(yōu)先級對待的風(fēng)險”����。
一旦劃分了風(fēng)險的優(yōu)先級����,就可以確定采用何種方式來應(yīng)對風(fēng)險。比方說����,可以使用Lotus Notes替代Outlook來避免Mydoom病毒攻擊的風(fēng)險; 可以安裝最新的反病毒軟件、教育用戶不要打開可疑附件來緩解風(fēng)險; 也可以與第三方廠商簽訂合同��,讓對方滿足自己在電子郵件方面的所有要求來轉(zhuǎn)移風(fēng)險��。
第六步: 制定事件管理與災(zāi)難恢復(fù)方案�。
安全泄密事件、無意中丟失IT資產(chǎn)、不小心刪除了關(guān)鍵數(shù)據(jù)�、數(shù)據(jù)中心出現(xiàn)停電事故,這些事件在現(xiàn)實生活中并不少見�。良好的事件響應(yīng)方案可以清晰地列出針對最常見事件的應(yīng)對策略。事實證明����,“9·11”事件和“卡特里娜”颶風(fēng)之后,沒有制訂災(zāi)難恢復(fù)方案的公司都無法在短期內(nèi)重新恢復(fù)業(yè)務(wù)�����。
第七步:管理第三方組織���。
廠商��、供應(yīng)商和中間商��,這些第三方組織在復(fù)雜的信息生態(tài)系統(tǒng)中占據(jù)了重要的位置��。如果與企業(yè)有聯(lián)系的第三方組織存在不安全的網(wǎng)絡(luò)漏洞或不規(guī)范的行為規(guī)范����,那很有可能會帶來安全漏洞����,給不法分子以可趁之機(jī)�����,威脅企業(yè)的信息安全�����。
因此企業(yè)用戶要列出與自己有業(yè)務(wù)往來的所有第三方組織����,然后根據(jù)信息重疊或共享的程度以及信息所具有的重要性����,劃分這些第三方組織的優(yōu)先級��。然后�,繼續(xù)弄清楚第三方組織落實了哪些安全措施,同時要求對方必須實施有效的控制手段�。
第八步: 實施安全控制手段。
控制手段是為了緩解或消除風(fēng)險而落實的措施����。技術(shù)性控制手段是指可以集成到計算機(jī)硬件、軟件或固件當(dāng)中的防范措施(比如訪問控制機(jī)制、識別與驗證機(jī)制���、加密方法�、入侵檢測軟件)����。非技術(shù)性控制手段是指管理和操作控制措施,比如安全策略���、操作規(guī)程以及人員�、物理和環(huán)境安全�。
控制手段通常分成預(yù)防控制手段和檢測控制手段。預(yù)防控制手段旨在阻止企圖違反安全策略的任何行為�,檢測控制手段旨在警告違反或企圖違反安全策略的情況。
第九步:加強(qiáng)培訓(xùn)�����。
企業(yè)經(jīng)常忽視對員工開展安全培訓(xùn)����,但是培訓(xùn)對執(zhí)行企業(yè)安全計劃而言卻是關(guān)鍵所在。要是員工對筆記本電腦粗心大意��、連接到工作場所以外的不安全網(wǎng)絡(luò),或者不能識別哪些是可疑行為�����,那么各種技術(shù)防范和安全措施都會變得無濟(jì)于事���。
第十步:進(jìn)行內(nèi)外審計����。
內(nèi)部審計可確保各種策略和規(guī)程落實到位����,并且了解控制手段是否得到了執(zhí)行,需要遵守的法律法規(guī)和強(qiáng)制性要求是否得到了滿足�,風(fēng)險是否得到了管理,還可以明確各種安全方案是否得到更新��,以及培訓(xùn)工作的效果�����。
外部審計有時候是強(qiáng)制性的�。外部審計工作往往需要請中立的第三方組織來開展客觀公正的安全評估�,并且提出彌補(bǔ)安全漏洞方面的建議����。
