BS7799:政策先行
簡介:BS7799覆蓋了10大管理領(lǐng)域,為了全面介紹這十個方面的內(nèi)容���,從本期起����,我刊將連續(xù)刊載信息安全管理BS7799十大領(lǐng)域方面的文章���。我們將結(jié)合實際的應(yīng)用案例,系統(tǒng)地闡述十大領(lǐng)域的知識�,并給出具體的應(yīng)用指導(dǎo)方案�����。敬請關(guān)注。
2004年春節(jié)后上班的第一天��,某集團公司北京信息中心的網(wǎng)絡(luò)管理員,打開了節(jié)日期間關(guān)閉的郵件服務(wù)器�,剛上班的員工們都忙著下載和瀏覽積壓的郵件�����,他們沒有想到一場災(zāi)難正慢慢逼近:由于剛打開的郵件服務(wù)器的防病毒軟件沒有即時更新病毒庫���,郵件中夾帶的病毒迅速泛濫��,很快就使網(wǎng)絡(luò)及服務(wù)器無法正常工作�����。
信息中心主任帶領(lǐng)手下5、6名管理員進行了為期一周的殺毒拉鋸戰(zhàn)����,最終還是成為了病毒的手下敗將��,在沒有辦法的情況下,只好把所有的服務(wù)器格式化����,重新安裝服務(wù)器操作系統(tǒng)與應(yīng)用軟件�����。信息中心主任感慨地說“要是早制定了即時更新的防病毒策略,并嚴格遵守�,就不會吃這么大的苦頭了……”
這位信息中心主任所說的防病毒策略就是信息安全政策的一種��。安全政策的制定與正確實施對組織的安全有著非常重要的作用,不僅能促進全體員工參與到保障組織信息安全的行動中來�,而且能有效地降低由于人為因素所造成的對安全的損害����。
BS7799覆蓋了10大管理領(lǐng)域,提供了36個管理目標,127種安全控制指南供用戶選擇和使用�。如表一所示:
在所有這些領(lǐng)域中��,信息安全政策是BS7799中最重要的控制目標�。
什么是信息安全政策?
信息安全政策從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)���,并說明這些信息資產(chǎn)如何被保護的一個計劃�,其目的就是對組織中成員闡明如何使用組織中的信息系統(tǒng)資源,如何處理敏感信息�,如何采用安全技術(shù)產(chǎn)品,用戶在使用信息時應(yīng)當承擔什么樣的責任�����,詳細描述對員工的安全意識與技能要求�,列出被組織禁止的行為。
BS7799明確提出:管理層應(yīng)當提出一套清晰的政策來指導(dǎo)信息安全實踐����,并且通過在組織內(nèi)發(fā)布和維護信息安全政策來表明對信息安全的支持和承諾。
BS7799標準中的英文“Policy”一詞可以有兩種解釋:一個是信息安全方針���,另一個是具體的信息安全策略。
所謂信息安全方針�����,就是組織的信息安全委員會或管理當局制定的一個高層文件����,用于指導(dǎo)組織如何對資產(chǎn),包括敏感性信息進行管理��、保護和分配的規(guī)則和指示。信息安全方針應(yīng)當闡明管理層的承諾�����,提出組織管理信息安全的方法��,并由管理層批準����,采用適當?shù)姆椒▽⒎结槀鬟_給每一個員工。
具體的信息安全策略是在信息安全方針的框架內(nèi)�����,根據(jù)風險評估的結(jié)果而制定的明確具體管理風險的信息安全實施規(guī)則��。表二列出了有關(guān)BS7799控制與信息安全策略的對應(yīng)關(guān)系����。
安全政策的內(nèi)容與格式
信息安全政策通過為組織的每一個人提供基本的規(guī)則、指南����、定義,從而在組織中建立一套信息資源保護標準����,防止員工的不安全行為引入風險�。信息安全政策是進一步制定控制規(guī)則����、安全程序的必要基礎(chǔ)。安全政策應(yīng)當目的明確��、內(nèi)容清楚�,能廣泛地被組織成員接受與遵守,而且要有足夠的靈活性��、適應(yīng)性����,能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動和資源�。建立了信息安全政策����,就設(shè)置了組織的信息安全基礎(chǔ),可以使員工了解與自己相關(guān)的信息安全保護責任���,強調(diào)信息系統(tǒng)安全對組織業(yè)務(wù)目標的實現(xiàn)���、業(yè)務(wù)活動持續(xù)運營的重要性����。
安全方針屬于高層管理文件��,簡要陳述信息安全宏觀需求及管理承諾��,應(yīng)該篇幅短小���,內(nèi)容明確���。信息安全方針應(yīng)當簡明、扼要�����,便于理解���,至少應(yīng)包括以下內(nèi)容:
◆信息安全的定義���,總體目標、范圍����,安全對信息共享的重要性���。
◆管理層意圖、支持目標和信息安全原則的闡述�����。
◆信息安全控制的簡要說明�,以及依從法律、法規(guī)要求對組織的重要性�����。
◆信息安全管理的一般和具體責任定義����,包括報告安全事故。
信息安全策略的主要功能就是要建立一套安全需求���、控制措施及執(zhí)行程序�,定義安全角色賦予管理職責����,陳述組織的安全目標,為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)����。安全策略的內(nèi)容包括:
目標:建立信息系統(tǒng)安全的總體目標,定義信息安全的管理結(jié)構(gòu)和提出對組織成員的安全要求�。信息安全策略必須有一定的透明度并得到高層管理層的支持,這種透明度和高層支持必須在安全策略中有明確和積極的反映�����。信息安全策略要對所有員工強調(diào)“信息安全��,人人有責”的原則�����,使員工了解自己的安全責任與義務(wù)��。
范圍:信息安全策略應(yīng)當有足夠的范圍廣度���,包括組織的所有信息資源���、設(shè)施、硬件����、軟件��、信息����、人員����。在某些場合下,安全可以定義特殊的資產(chǎn)��,比如:組織的主站點��、各種重要裝置和大型系統(tǒng)�。此外,還應(yīng)包括組織所有信息資源類型的綜述�����,例如��,工作站���、局域網(wǎng)��、單機等��。
策略內(nèi)容:根據(jù)BSS7799中定義�,對信息安全策略的描述應(yīng)該集中在三個方面:機密性��、完整性和可用性�。這三種特性是組織建立信息安全策略的出發(fā)點。機密性是指信息只能由授權(quán)用戶訪問�����,其他非授權(quán)用戶�����、或非授權(quán)方式不能訪問�����。完整性就是保證信息必須是完整無缺的��,信息不能被丟失��、損壞����,只能在授權(quán)方式下修改�����??捎眯允侵甘跈?quán)用戶在任何時候都可以訪問其需要的信息�����,信息系統(tǒng)在各種意外事故�、有意破壞的安全事件中能保持正常運行�����。
根據(jù)給定的環(huán)境��,應(yīng)當給員工明確描述與這些特性相關(guān)的信息安全要求�����,組織的信息安全策略應(yīng)當以員工熟悉的活動、信息、術(shù)語等方式來反映特定環(huán)境下的安全目標�����。例如��,組織在維護大型但機密性要求并不高的數(shù)據(jù)庫時��,其安全目標主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞�;如果組織對數(shù)據(jù)的機密性要求高時���,安全目標的重點就會轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露。
角色責任:信息安全策略除了要建立安全程序及程序管理職責外��,還需要在組織中定義各種角色并分配責任����,明確要求���。比如:部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者����、數(shù)據(jù)用戶�、計算機系統(tǒng)安全小組等����。
在某些情況下����,信息安全策略中要理順組織中的各種個體與團體的關(guān)系��,以避免在履行各自的責任與義務(wù)時發(fā)生沖突。例如�����,要明確規(guī)定誰應(yīng)該負責批準新系統(tǒng)所使用的安全措施�,是相關(guān)業(yè)務(wù)部門的負責人��,還是內(nèi)部專職信息系統(tǒng)人員����。如果可能的話��,還應(yīng)該由安全程序的負責人簽署授權(quán)書����。
執(zhí)行紀律:沒有一個正式的�、文件化的安全策略�,管理層不可能制定出懲戒執(zhí)行標準與機制,信息安全策略是組織制定和執(zhí)行紀律措施的基礎(chǔ)�����。信息安全策略中應(yīng)當描述與安全策略損害行為的類型與程度相對應(yīng)的懲戒辦法。
對于嚴重安全事件�����,例如:盜竊����、內(nèi)部破壞�����、密謀犯罪等行為,要執(zhí)行開除���、起訴等懲戒措施;對于一般安全事件����,例如:使用盜版軟件�,要執(zhí)行相應(yīng)的處罰條款��。
還要考慮到有時員工違反安全策略并非是有意的���,比如,由于缺乏必要的知識或訓(xùn)練����,員工可能會有違規(guī)行為��;有時也可能是對安全策略缺乏必要的了解造成的。對于這種情況��,信息安全策略要預(yù)先采取措施��,在合理的期限內(nèi)��,進行相關(guān)安全策略介紹和安全意識教育培訓(xùn)�����。
專業(yè)術(shù)語:對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述�����,使組織成員對策略的了解不會產(chǎn)生歧義。
版本歷史:對策略版本在各個階段的修訂情況作出說明
信息安全政策的制定過程
?����。?)理解組織業(yè)務(wù)特征和企業(yè)文化
充分了解組織業(yè)務(wù)特征是設(shè)計信息安全政策的前提�。
(2)得到管理層的明確支持與承諾
要制定一個好的信息安全政策��,必須與決策層進行有效溝通����,并得到組織高層領(lǐng)導(dǎo)的支持與承諾。這有三個作用����,一是制定的信息安全政策與組織的業(yè)務(wù)目標一致;二是制定的安全方針政策�����、控制措施可以在組織的上上下下得到有效的貫徹���;三是可以得到有效的資源保證����。
(3)組建一個安全政策制定小組
安全政策制定小組應(yīng)當由以下人員組成:
◆高級管理人員
◆信息安全管理人員
◆負責安全政策執(zhí)行的管理人員
◆熟悉法律事務(wù)的人員
◆用戶部門的人員
?�。?)確定信息安全整體目標
描述信息安全宏觀需求和要達到的目標��。一個典型的目標是:通過防止和最小化安全事故的影響���,保證業(yè)務(wù)持續(xù)性�,并最小化業(yè)務(wù)損失�,為企業(yè)實現(xiàn)業(yè)務(wù)目標提供保障。
?����。?)確定信息管理體系的范圍
確定信息管理體系的范圍后�����,組織需要根據(jù)自己的實際情況��,可以在整個組織范圍內(nèi)����、或者在個別部門或領(lǐng)域制定信息安全方針�,因為范圍不一樣���,方針的制定可能不一樣。
?�。?)風險評估與選擇安全控制
組織信息安全管理現(xiàn)狀調(diào)查與風險評估工作是建立具體的信息安全策略的基礎(chǔ)與關(guān)鍵���,在安全體系建立的整個過程中��,風險評估工作占了很大的比例���,風險評估的工作質(zhì)量直接影響安全控制的合理選擇和安全策略的完備制定。
?���。?)起草擬訂安全政策
根據(jù)前面風險評估與選擇安全控制的結(jié)果,起草擬訂安全政策�,安全政策要盡可能地涵蓋所有的風險和控制,沒有涉及的內(nèi)容要說明原因�。
(8)評估安全政策
安全政策被制訂出來后�����,要進行充分的專家評估和用戶測試,以評審安全政策的完備性�����、易用性��,確定安全政策能否達到組織所需的安全目標。
?��。?)安全政策的實施
安全政策通過測試評估后��,需要由管理層正式批準實施�����?��?梢园寻踩结樑c具體安全政策編制成組織信息安全政策手冊����,然后發(fā)布到組織中的每個員工與相關(guān)利益方�����,明確安全責任與義務(wù)�。
(10)政策的持續(xù)改進
安全政策制定實施后�����,并不能“高枕無憂”��,組織要定期評審安全政策�����,并進行持續(xù)改進���。
