1、引论
1.1 信息安全治理及信息安全管理的含义
信息安全治理是指最高管理层(董事会)用来监督管理层在信息安全战略上的过程、架构及与业务的关系,以确保信息安全战略与组织的业务目标一致。它不同于信息安管理。
信息安全管理提供管理程序、技术及保证措施,使业务管理者确信业务交易的可信性;确保信息技术服务的可用性,能适当地防御不正当操作、蓄意攻击或者自然灾害,并从这些故障中尽快恢复;确保拒绝未经授权的访问。信息安全管理是公司的信息及信息系统的安全运营,确定IT目标以及实现此目标所采取的行动。
1.2 信息安全治理及信息安全管理的关系
信息安全治理是一种基础制度安排,如果缺乏健全的制度安排,不可能有很好的信息安全管理;同样,没有有效的信息安全管理,单纯的治理机制也只能是一个美好的蓝图,而缺乏实际的内容。
1.3 良好的信息安全治理的特点
(1)安全战略与业务战略的一致
l 业务需求驱动安全需求;
l 安全架构适应业务流程;
l 信息安全投资与企业战略和最大风险状况密切相关。
(2)交付价值
l 一系列安全实务标准,如最佳安全实务基准;
l 正确排序,将资源优先分配给具有大影响和商业利益的地方;
l 规范的、商业化解决方案;
l 完整的解决方案,包括组织、流程和技术等;
l 持续改进的文化。
(3)风险管理
l 资产识别与估价
l 脆弱性、威胁的识别与评价
l 风险评估
l 风险控制与管理
(4)绩效评估
l 定义评估准则;
l 反馈评估程序的进展;
l 保证独立性。
1.4 实现良好信息安全治理的方法
(1)清晰的职责分工
l 最高管理层(董事会)层职责
l 执行管理层职责
(2)分析关键成功因素
l 认识到好的安全方案需要持续完善;
l 组织安全责任人直接向高层领导报告并负责安全方案的执行
l 管理层和员工共同理解安全的重要性、必要性、弱点和威胁,理解并接受他们自己的安全责任
l 定期由第三方来评估安全策略和安全体系结构
l 安全负责人有管理安全的方法和能力,特别是通过采取入侵测试和主动监控措施时,将发生事故的可能性降至最低,但事故不可避免发生时,应具备对事故侦查、记录,分析其严重性,编写报告和采取行动的能力;
l 清楚定义风险管理责任人的任务和职责及管理层的责任;
l 定义可接受风险的界限和风险转移、减少的策略;
l 定义风险管理改善行动的职责和程序
l 每隔一段时期由第三方进行更客观的安全战略审查;
l 识别并持续监控关键的基础设施
l 使用服务水平协议,增加和安全服务商、业务持续计划服务商直接的合作;
l 在制定策略时要考虑和确定策略的执行强度;
l 对员工进行策略认识、程序理解、是否遵循方面的测试;
l 保证部署前的应用软件的安全;
l 信息安全控制策略与业务整体战略规划相一致;
l 管理层确信和认可信息安全、控制策略,强调沟通、理解和遵循这些策略的必要性;
l 采用一致的策略制定框架,指导策略的构思、制定、实施和遵循;
l 意识到虽然“内部人”是绝大部分安全风险的根源,但有组织犯罪的攻击和其他没有专业知识人员的攻击也不容忽视;
l 适当关注数据机密性、版权及其他相关法律的遵循;
l 确保员工以符合道德、安全的方式履行责任;
l 榜样的力量是无穷的。管理层必须明白信息安全对于组织成功 的关键意义,带头遵守有关规章制度,为所有员工树立起安全意识的榜样。
(3)绩效评估标准
从以下方面判断信息安全是否成功
l 没有引起公众不满的事故;
l 减少因为安全问题而推迟新行动计划的数量;
l 有没有基于信息技术的业务持续性计划;
l 是否对重要的信息基础设施进行自动监控;
l 对员工从信息安全意识程度与信息安全操作实务两方面进行检查评估。
确定信息安全治理是否成功的指标
l 全面遵循最低安全要求,或者激烈违背最低安全要求的行为;
l 制定和确认与IT有关的规划和策略,其内容包括信息安全的任务、远景、目标、价值和行为准则;
l 所以相关方都了解信息安全战略规划和策略。
1.5 信息安全治理成熟度模型
(1)模型的意义
l 一种自我评估等级的方法,确定组织处于哪个级别;
l 一种使用自我评估结果设定将来发展目标的方法,这个目标是根据组织希望处于等级表的那个级别;
l 一种打动项目目标的计划方法。这个计划是通过对当前状况和目标差距分析来实施的;
l 一种确定项目优先次序的方法。这种次序确定的依据是项目类比及其投资收益率。
(2)模型等级划分
信息安全成熟度模型
(3)成熟度模型的作用
l 信息安全治理成熟度模型涉及信息安全和组织业务的各个方面,是一种进行实用性比较大等级制,能以简单方式测定差异,有助于确定有关信息技术管理安全性方面的相对水平;
l 使安全管理部门相对容易地依据等级制对自己定位,并找出需要改善安全管理的地方。组织对自身进行差距分析已确定需要哪些工作来达到所选级别。0~5等级是基于一个简单的成熟性量度,体现出一个处理如何从不存在级发展到优先级的管理过程,增加成熟度意味着增强风险管理与提高管理效率。
l 信息安全治理成熟度是策略信息安全管理等级的一种方法,这些等级是一个给定的信息安全管理处理的惯例,体现各个成熟层次的典型模式,有助于组织将主要精力投入到关键的管理方面;
l 信息安全治理成熟度模型等级有助于专业人员向管理层解释信息安全管理存在的缺陷,并把他们组织的控制管理与最佳惯例对照起来,从而确定组织的未来发展目标。
1.6 信息安全治理的规范
(1)经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。主旨:
l 提高信息系统风险意识和安全措施
l 提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作;
l 促进人们对信息系统的信息,促进人们应用和使用信息系统;
l 方便国家间和国际间信息系统的开发、使用和安全防护。
该框架包括法律、行政准则、技术评估、管理和用户实践,及公众教育或宣传活动。
该指南最终目的:作为政府、公众和私有部门的标杆,社会能通过此标杆测量进展。
(2) 国际会计师联合会,《信息安全管理》(1998)
信息安全的目标是“保护依靠信息、信息系统和传达信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足下面3条准则时可以认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性),数据和信息保护不受未经授权的修改(完整性),信息系统中需要时可用和有用(可用性)。
机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的 信息和使用信息的商业环境而不同。
(3)国际标准化组织,《ISO 17799国际标准》 (2000)
ISO/IEC17799(根据BS7799第一部分制定)作为确定控制范围的单一参考点。认为信息安全具有以下特征:
l 机密性——确保信息只被相应的授权用户访问;
l 完整性——确保信息和处理信息程序的准确性和完整性;
l 可用性——确保授权用户在需要时能够访问信息和相关资产。
信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
(4)美国注册会计师协会(加拿大特许会计师协会) 《SysTrustTM系统可靠性原理和准则 V20》(2001)
SysTrust服务是一种保证服务,用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担如下保证服务:注册会计师从可用性、安全性、完整性和可维护性4个方面评估和测试系统是否可靠。
l 可用性——系统在服务水平声明和协议规定的时间内可以运行和使用;
l 安全性——确保系统拒绝未经授权的物理的或逻辑的访问;
l 完整性——系统的数据处理是完整的、准确的、及时的和被授权的;
l 可维护性——必要时能够升级系统而不影响系统或者与系统的可用性、安全性和完整性相冲突。
SysTrust定义在特定环境下及特定时期内,没有重大错误、缺陷或故障地运行的系统为可靠系统。系统的界限由系统的所有者确定,但必须包括以下几个关键部分:基础设施、软件、人、程序和数据。
SysTrust的框架是可升级的。企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但这种判断仅仅对特定标准的可靠性作出判断,不是对系统整体可靠性的判断。
(5)信息系统审计和控制协会(IT治理研究院)《信息和相关技术的控制目标》(CoBIT)
CoBIT的第一版由信息系统审计和控制协会(ISACF)于1996年发行,在1998年,第二版在增加了控制目标和实施工具集后出版。第三版由IT治理研究院在2000年发行,增加了管理方针和其他详细的控制目标。
CoBIT中组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、可靠性和一致性。
CoBIT将IT分成4个领域(计划和组织、获取和实施、交付和支持、监控),共计36个业务流程,300多个详细控制目标以及建立在这些目标上的广泛的行动指南。详细控制目标用来评估和审计对IT流程控制和治理的程度。其中3个与信息安全直接密切相关的业务流程是:
l 计划和组织流程——评估风险;
l 交付和支持流程——确保持续的服务;
l 监控流程——保证系统安全;
每个流程定义了一个高级别的目标:
l 识别IT流程中最重要的信息准则;
l 列出需要经常调整的资源;
l 考虑控制IT流程的重要方面。
CoBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求,提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
本人blog:http://blog.unicoicn.com