在前面的文章中,我們瞭解了信息安全策略的重要性以及如何做好信息安全策略,本文我們介紹信息安全建設過程中另外一項重要工作——三大體系:組織管控體系、技術管控體系和運營管控體系。
山東省軟件評測中心根據多年信息安全建設經驗,簡單總結以上三大體系,希望能給大家帶來幫助。下圖爲信息安全體系框架總體結構圖。
從上圖可以看出,信息安全體系主要是由安全技術體系、安全組織與管理體系以及運行保障體系三部分共同構成的。
在前面的文章中我們瞭解到,安全策略是指導。安全策略與安全技術體系、安全組織和管理體系以及運行保障體系這三大體系之間的關係也是相互作用的。三大體系是在安全策略的指導下構建的,主要是要將安全策略中制定的各個要素轉化成爲可行的技術實現方法和管理、運行保障手段,全面實現安全策略中所制定的目標。
(一)組織管控體系
組織管控體系是安全技術體系真正有效發揮保護作用的重要保障,組織管控體系的設計立足於總體安全策略,並與安全技術體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷。
技術和管理是相互結合的,一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執行的監督手段。
組織管控體系由若干信息安全管理類組成,每項信息安全管理類可分解爲多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應,這些安全控制是爲了達成相應安全目標的管理工作和要求。信息安全管理體系一共包括了12項管理類:安全策略與制度、安全風險管理、人員和組織安全管理、環境和設備安全管理、網絡和通信安全管理、主機和系統安全管理、應用和業務安全管理、數據安全和加密管理、項目工程安全管理、運行和維護安全管理、業務連續性管理管理、合規性(符合性)管理。
技術管控體系是整個信息安全體系框架的基礎,包括了安全基礎設施平臺、安全應用系統平臺和安全綜合管理平臺這三個部分,以統一的信息安全基礎設施平臺爲支撐,以統一的安全系統應用平臺爲輔助,在統一的綜合安全管理平臺管理下的技術保障體系框架。
安全基礎設施平臺是以安全策略爲指導,從物理和通信安全防護、網絡安全防護、主機系統安全防護、應用安全防護等多個層次出發,立足於現有的成熟安全技術和安全機制,建立起的一個各個部分相互協同的完整的安全技術防護體系。
安全應用系統平臺處理安全基礎設施與應用信息系統之間的關聯和集成問題,應用信息系統通過使用安全基礎設施平臺所提供的各類安全服務,提升自身的安全等級,以更加安全的方式,提供業務服務和內部信息管理服務。
安全綜合管理平臺的管理範圍儘可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備,對這些安全機制和安全設備進行統一的管理和控制,負責管理和維護安全策略,配置管理相應的安全機制,確保這些安全技術與設施能夠按照設計的要求協同運作,可靠運行。它在傳統的信息系統應用體系與各類安全技術、安全產品、安全防禦措施等安全手段之間搭起橋樑,使得各類安全手段能與現有的信息系統應用體系緊密的結合實現無縫連接,促成信息系統安全與信息系統應用的真正的一體化,使得傳統的信息系統應用體系逐步過渡到安全的信息系統應用體系。
統一的安全管理平臺有助於各種安全管理技術手段的相互補充和有效發揮,也便於從系統整體的角度來進行安全的監控和管理,從而提高安全管理工作的效率,使人爲的安全管理活動參與量大幅下降。
技術和管理是相互結合的,一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執行的監督手段。
運營管控體系由安全技術和安全管理緊密結合的內容所組成,包括了系統可靠性設計、系統數據的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等,運行保障體系對於組織信息化的可持續性運營提供了重要的保障手段。