在前面的文章中,我們明確了信息安全三大體系的重要作用,現在應該考慮,如何進行三大體系建設,建設過程中又需要注意哪些事項?
山東省軟件評測中心根據多年經驗,總結出在信息安全體系建設中需要注意的事項,希望能給大家帶來幫助。
在進行信息安全體系建設時,伴隨着建設過程中的信息安全項目的實施。信息安全項目需由專業的諮詢監理機構提供全程的項目管理與質量控制,確保信息安全項目不偏離目標,高效、穩定的解決信息安全問題。
信息安全項目的管理應遵循項目管理的九大領域:綜合管理、範圍管理、時間管理、成本管理、風險管理、人資管理、溝通管理、採購管理和質量管理。風險管理是項目管理的主要部分,其目的是追求積極活動的最大化和不利活動的最小化。在現代項目管理中,強調對項目目標的主動控制,以對項目實現過程中遭遇的風險和干擾因素可以預防作用,從而減少損失。由於信息安全項目一般會使目前的信息安全狀態發生變化,從而帶來新的威脅與風險,所以,如何降低信息安全項目引入的安全威脅,使風險達到企業可接受的程度,需要採取專業的信息安全風險管理。
信息安全項目風險管理主要是針對項目過程中的技術風險、業務風險和管理風險、環境風險和流程風險等方面,在項目過程中進行充分的進行風險識別。
信息安全項目的風險管理的內容包括在項目過程中的對象確立、風險評估、風險預案、審覈實施、實施監控和溝通諮詢六個方面的內容。對象確立、風險評估、風險預案和審覈實施是信息安全風險管理的四個基本步驟,實施監控和溝通與諮詢則貫穿於這四個基本步驟中,如圖所示。
圖 風險管理內容和流程
第一步驟是對象確立,根據項目中要保護系統的業務目標和特性,確定風險管理對象。第二步驟是風險評估,針對確立的風險管理對象所面臨的風險進行識別、分析和評價。第三步驟是風險預案制定,依據風險分析的結果,制定項目過程中存在的風險,及風險的對策;依據風險評估的結果,選擇和實施合適的安全措施。第四步驟是審覈實施,包括審覈和實施兩部分:審覈是指通過審查、測試、評審等手段,檢驗風險評估和風險預案是否滿足信息系統的安全要求;實施是指機構的決策層依據審覈的結果,做出實施決定,按照預案進行風險處置。當項目過程中系統的業務目標和特性發生變化或面臨新的風險時,需要再次進入上述四個步驟,形成新的一次循環。因此,對象確立、風險評估、風險預案和審覈實施構成了一個螺旋式上升的循環,使得項目中受保護系統在自身和環境的變化中能夠不斷應對新的安全需求和風險。
監控與審查對上述四個步驟進行監控和審查。監控是監視和控制,一是監視和控制風險管理過程,即過程質量管理,以保證上述四個步驟的過程有效性;二是分析和平衡成本效益,即成本效益管理,以保證上述四個步驟的成本有效性。審查是跟蹤受保護系統自身或所處環境的變化,以保證上述四個步驟的結果有效性。監控與審查依據對當前步驟的監控和審查結果,控制上述四個步驟的主循環,形成許多局部循環。也就是說,在當前步驟的監控和審查結果通過時,進入下一個步驟;否則,繼續當前步驟或退到前面的適當步驟。由此,保證主循環中各步驟的有效性。
溝通與諮詢爲上述四個步驟的相關人員提供溝通和諮詢。溝通是爲上述過程參與人員提供交流途徑,以保持他們之間的協調一致,共同實現安全目標。諮詢是爲上述過程所有相關人員提供學習途徑,以提高他們的風險意識和知識,配合實現安全目標。
在信息安全項目中採用諮詢式項目管理,可以保障信息安全項目按照既定目標實施,達到企業預期效果;可以降低信息安全項目實施過程給企業信息化帶來的安全風險;可以有效解決項目拖期、溝通不暢、目標偏離、質量不可控和超預算等項目管理問題;確保使企業通過實施信息安全項目,切實提高信息安全防禦水平。
在進行信息安全體系建設時需定期的對信息安全狀況進行安全檢測與風險評估,識別當前面臨的威脅與風險,指導下一步建設的注意事項。
信息安全風險評估、信息安全等級保護測評和信息安全分級保護測評是項目交付檢測階段常見的風險識別手段。
單位建立信息系統的目的在於信息系統能夠爲企業提供價值,大大提高企業的執行效率。然而,信息系統的引進帶來了價值,也帶來了信息安全風險。因此,爲了做好信息安全治理,企業需要了解自身的信息安全風險等級,從而有針對性地採取防護措施。
信息安全風險評估是對企業的信息安全現狀進行理性分析的定製服務,包括資產識別、威脅識別、脆弱性識別、安全措施識別與確認、風險分析、風險處理等過程。在風險評估實施過程中,企業應根據自身安全需要,按照風險評估流程定義劃分信息安全風險等級,有重點的對信息資產和威脅脆弱性進行差異化保護,從而進行風險處理,使企業信息安全風險等級降低到可接受水平,提高信息化建設投資效益比。
信息安全風險評估需要定期進行,並應做到常態化開展。
在用戶知悉自身系統安全脆弱性的情況下,用戶可以進行信息安全風險評估。然而,目前大部分企業或政府機關,他們並不瞭解如何衡量自身的信息安全風險等級。根據國家信息安全戰略和規劃思想,我國實習信息安全等級保護和分級保護制度,並督促各級單位開展相應等級的安全建設和管理,做好信息系統定級備案、整改和監督檢查工作。其中,信息安全等級保護主要適用於非涉及國家祕密(簡稱“非密”)的信息系統安全防護建設要求,信息安全分級保護主要適用於涉及國家祕密(簡稱“涉密”)的信息系統安全防護建設要求。
信息系統安全等級保護測評是驗證非密信息系統是否滿足相應安全保護等級建設要求的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分佈在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關係,共同作用於信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關係密切相關。
根據等級保護測評要求,第三級信息系統每年至少進行一次等級測評,第四級信息系統每半年至少進行一次等級測評,第五級信息系統依據特殊安全需求進行等級測評。
信息系統安全分級保護測評是驗證涉密信息系統是否滿足相應分級保護建設要求的評估過程。因爲涉及分級保護建設要求的規範和資料均爲涉密資料,因此分級保護測評工作專業性更強,目前分級保護測評需要專業的測評機構給予技術支持。
根據分級保護測評要求,祕密級、機密級信息系統每兩年至少進行一次分級保護測評,絕密級信息系統每年至少進行一次分級保護測評。
在進行信息安全體系建設時,需要將信息安全作爲一個整體,需要把過程中的有關各層次的安全產品、分支機構、運營網絡、管理維護制度等納入一個緊密的統一信息安全運維體系中,纔能有效地保障企業的網絡和信息安全。
很多單位企業嘗試通過部署“最佳”安全產品來保護自己,比如防病毒網關、防火牆、***防護系統、***、訪問控制、身份認證等。在這種極度複雜的情況下,需要的是一個集成的解決方案,使得企業能夠收集、關聯和管理來自異類源的大量安全事件,實時監控和做出響應,需要的是能夠輕鬆適應環境增長和變化的管理體系,需要的就是企業完整的信息安全運維體系。
信息安全運維體系的內容包括安全運維監控中心、安全運維告警中心、安全運維事件響應中心、安全運維審覈評估中心、信息資產管理中心五個方面的內容。並且,這五個方面的內容也可以作爲信息安全運維體系建立的五個步驟。同時,利用持續改進模型方法,把策劃、實施、檢查、改進(PDCA)貫穿於這五個基本步驟中。
第一步驟是建立安全運維監控中心,基於關鍵業務點面向業務系統可用性和業務連續性進行合理布控和監測,以關鍵績效指標指導和考覈信息系統運行質量和運維管理工作的實施和執行,幫助用戶建立全面覆蓋信息系統的監測中心,並對各類事件做出快速、準確的定位和展現。實現對信息系統運行動態的快速掌握,以及運行維護管理過程中的事前預警、事發時快速定位。
第二步驟是建立安全運維告警中心,基於規則配置和自動關聯,實現對監控採集、同構、歸併的信息的智能關聯判別,並綜合的展現信息系統中發生的預警和告警事件,幫助運維管理人員快速定位、排查問題所在。同時,告警中心提供多種告警響應方式,內置與事件響應中心的工單和預案處理接口,可依據事件關聯和響應規則的定義,觸發相應的預案處理,實現運維管理過程中突發事件和問題處理的自動化和智能化。
第三步驟是建立安全運維事件響應中心,借鑑並融合了ITIL(信息系統基礎設施庫)/ITSM(IT服務管理)的先進管理規範和最佳實踐指南,藉助工作流模型參考等標準,開發圖形化、可配置的工作流程管理系統,將運維管理工作以任務和工作單傳遞的方式,通過科學的、符合用戶運維管理規範的工作流程進行處置,在處理過程中實現電子化的自動流轉,無需人工干預,縮短了流程週期,減少人工錯誤,並實現對事件、問題處理過程中的各個環節的追蹤、監督和審計。
第四步驟是建立安全運維審覈評估中心,該中心提供對信息系統運行質量、服務水平、運維管理工作績效的綜合評估、考覈、審計管理功能。
第五步驟以信息資產管理爲核心,IT資產管理是全面實現信息系統運行維護管理的基礎,提供的豐富的IT資產信息屬性維護和備案管理,以及對業務應用系統的備案和配置管理。基於關鍵業務點配置關鍵業務的基礎設施關聯,通過資產對象信息配置豐富業務應用系統的運行維護內容,實現各類IT基礎設施與用戶關鍵業務的有機結合,以及全面的綜合監控。