前言
我做爲一個IT技術人員已經很多年了,剛開始時對什麼信息安全和數據安全沒啥概念,只知道數據丟失就去找唄,找不回來就算了。系統中毒了,那就殺唄,殺不掉就算了。沒有從源頭上去杜絕出現這些情況的發生,後來有了一些安全設備,於是我們就是簡單加上防火牆、IDS、IPS、WAF等,以期待能杜絕此類事情的發生。可事於願違,還是會頻繁的發生此類情況的發生,爲什麼呢?關鍵就是沒有一套信息安全防範體系和制度。
國家還專門爲信息安全成立了中央網絡安全和信息化領導小組由習大大領導,可見因爲現在大數據時代對網絡信息安全上重視程度,後來此小組改爲中國中央網絡安全和信息化委員會。
那麼我們該怎樣建立自己的信息安全體系呢?這裏我從一家信息系統集成公司的角度來講解,首先我們瞭解國家信息安全體系認證機構是什麼,這樣企業才能得到正規的安全認證。
中國信息安全認證中心是經中央編制委員會批准成立,由信息化工作辦公室、國家認證認可監督管理委員會等八部委授權,依據國家有關強制性產品認證、信息安全管理的法律法規,負責實施信息安全認證的專門機構。中國信息安全認證中心爲國家質檢總局直屬事業單位。中心簡稱爲信息認證中心;英文全稱:China Information Security Certification Center;英文縮寫:ISCCC。
在中心它可以對產品、體系、服務、人員進行不同的認證,以得到我們各自所需的認證結果。這裏我只介紹信息安全管理、信息技術-服務管理體系,信息安全服務資質認證(信息系統安全集成服務、安全運維服務資質、信息安全風險評估、信息安全應急處理服務),信息安全人員認證。
我們做爲一個信息系統集成企業要做哪些認證好呢?我覺得應該做好下面的認證(標黑部分),信息安全認證架構圖:
一、信息安全管理體系
(InformationSecurityManagementSystems,ISMS)是組織整體管理體系的一個部分,是基於風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動,是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用的方法的體系。
GB/T22080/ISO/IEC27001是建立和維護信息安全管理體系的標準,它要求組織通過一系列的過程,如確定信息安全管理體系範圍,制定信息安全方針和策略,明確管理職責,以風險評估爲基礎選擇控制目標和控制措施等,是組織達到動態的、系統的、全員參與的、制度化的,以預防爲主的信息安全管理方式。
(證書模板)
二、信息技術—服務管理體系
(InformationTechnologyServiceManagementSystems,ITSMS)的目標是以合適的成本提供滿足客戶質量要求的IT服務,從流程、人員和技術三方面提升IT的效率和效用,強調將企業的運營目標、業務需求與IT服務提供相協調一致。
GB/T24405.1/ISO/IEC20000-1是建立和維護信息技術服務管理體系的標準,規定了IT組織在向其內外部客戶提供IT服務和支持過程中所需完成的工作。通過這些規定,信息技術服務管理體系展示了一套完整的IT服務管理流程,旨在幫助IT組織識別並管理IT服務的關鍵流程,保證向業務和客戶有效地提供高質量的IT服務。
(證書模板)
信息技術運維服務管理制度:
第一節 總則
1、爲加強公司信息技術運維服務的安全管理,保證公司信息系統運行環境的穩定,特制定本制度。
2、本制度所稱信息技術運維服務,是指公司以簽訂合同的方式,到委託客戶單位承擔信息技術服務,主要包括信息技術諮詢服務、運行維護服務、技術培訓及其它相關信息化建設服務等。
3、安全管理是以安全爲目的,進行有關安全工作的方針,決策、計劃、組織、指揮、協調、控制等職能,合理有效地使用人力、財力、物力、時間和信息,爲達到預定的安全防範而進行的各種活動的總和,稱爲安全管理。
4、運維服務安全管理遵循關於安全的所有商業準則及適當的外部法律、法規。
第二節 運維服務範圍
5、運維服務包括信息技術諮詢服務、運行維護服務、技術培訓等。
6、諮詢服務:
6.1根據客戶的信息化建設總體部署,協助客戶制定切實可行的技術實施方案。
6.2對客戶現有的信息技術基礎架構、設備運行狀態和應用情況進行診斷和評估,提出合理化的解決方案。
6.3根據客戶的實際情況提出備份方案和應急方案。
6.4其他信息技術諮詢服務。
7、運行維護服務:
7.1軟硬件設備安裝、升級服務。
7.2硬件的設備維修和保養。
7.3根據客戶業務變化,提供應用系統功能性的需求解決方案及執行服務。
7.4系統定期巡檢和整體性能評估。
7.5日常業務數據問題的處理服務。
7.6其他運行維護服務。
8、技術培訓:根據客戶的實際情況,提供相關的技術培訓。
第三節 運維服務安全管理
9、運維服務安全管理應按照“安全第一、預防爲主”的原則,採取科學有效的安全管理措施,應用確保信息安全的技術手段,建立權責明確、覆蓋信息化全過程的崗位責任制,對信息化全過程實行嚴格監督和管理,確保信息安全。
10、成立由分管領導同志信息化外包管理組織,明確信息化管理的部門、人員及職責。
11、建立信息建設安全保密制度,與客戶方簽訂安全保密協議或合同,明確符合安全管理及其它相關制度的要求。並對服務人員進行安全保密教育。
12、制定信息化加工過程管理、信息化成果驗收與交接、存儲介質管理等操作規程或規章制度。
13、運維服務方的人員素質、技術與管理水平能夠滿足擬承擔項目的要求,進行相應的安全資質管理。
14、運維服務方配備專人負責安全保密工作,負責日常信息安全監督、檢查、指導工作。對服務方提供的服務進行安全性監督與評估,採取安全措施對訪問實施控制,出現問題應遵照合同規定及時處理和報告,確保其提供的服務符合客戶內部控制要求。
15、對運維服務的業務應用系統運行的安全狀況應定期進行評估,當出現重大安全問題或隱患時應進行重新評估,提出改進意見,直至停止運維服務。
16、使用運維服務方設備的,對其進行必要的安全檢查。
17、在重要安全區域,對外部人員的每次訪問進行風險控制;必要時應外部人員的訪問進行限制。
第四節 附則
18、本制度由我公司負責解釋
19、本制度自發布之日起生效執行。
三、信息安全服務資質認證簡介
隨着我國信息化和信息安全保障工作的不斷深入推進,以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全諮詢等爲主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規範信息安全服務資質管理已成爲信息安全管理的重要基礎性工作。
我中心是經國家認證認可監督管理委員會批准,可以從事信息安全服務資質認證的機構(《認證機構批准書》CNCA-R-2007-138),並獲得了中國合格評定國家認可委員會的認可(證書編號:No. CNAS CO66-V)。服務資質認證工作是我中心的核心業務之一。
按照分類分級的工作思路,目前我中心已經開展了信息安全應急處理和風險評估兩類服務資質工作。
對服務資質認證工作具體介紹如下:
一、基本概念
信息安全服務資質是信息安全服務機構提供安全服務的一種資格,包括法律地位、資源狀況、管理水平、 技術能力等方面的要求。信息安全服務資質認證是依據國家法律法規、國家標準、行業標準和技術規範,按照認證基本規範及認證規則,對提供信息安全服務機構的信息安全服務資質進行評價。
應急處理服務是對影響計算機系統和網絡安全的不當行爲(事件)進行標識、記錄、分類和處理,直到受影響的業務恢復正常運行的過程。(用1799概述裏面一段一句的內容)
風險評估服務是從風險管理角度,運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵禦威脅的防護對策和整改措施,以求防範和化解信息安全風險,或將風險控制在可接受的水平。
通過對信息安全服務分類分級的資質認證,可以對信息安全服務提供商的基本資格、管理能力、技術能力和服務過程能力等方面進行權威、客觀、公正的評價,證明其服務能力,滿足社會對服務的選擇需求。同時,認證過程也將有效促進服務提供方完善自身管理體系,提高服務質量和水平,引導行業健康規範發展。
二、關於認證申請:
認證的基本環節:
認證申請與受理;
文檔審覈;
現場審覈;
認證決定;
年度監督審覈。
初次申請服務資質認證時,申請單位應填寫認證申請書,並提交資格、能力方面的證明材料。申請材料通常包括:
服務資質認證申請書;
獨立法人資格證明材料;
從事信息安全服務的相關資質證明;
工作保密制度及相應組織監管體系的證明材料;
與信息安全風險評估服務人員簽訂的保密協議複印件;
人員構成與素質證明材料;
公司組織結構證明材料;
具備固定辦公場所的證明材料;
項目管理制度文檔;
信息安全服務質量管理文件;
項目案例及業績證明材料;
信息安全服務能力證明材料等。
三、關於認證依據:
對特定類別的信息安全服務,有具體的評價標準。例如,信息安全應急處理服務資質認證的依據是《網絡與信息安全應急處理服務資質評估方法》(YD/T 1799-2008),信息安全風險評估服務資質認證的依據是《信息安全技術 信息安全風險評估規範》(GB/T 20984-2007)與《信息安全風險評估服務資質認證實施規則》(ISCCC-SV-002)。
四、關於認證流程:
參見我中心網站上的《信息安全服務資質認證實施規則》(ISCCC-SV-001)及認證流程圖。認證週期一般是10周,包括自申請被正式受理之日起至頒發認證證書時止所實際發生的時間,不包括由於申請單位準備或補充材料的時間。
3.1 信息系統安全集成服務
是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。信息系統安全集成包括在新建信息系統的結構化設計中考慮信息安全保證因素,從而使建設完成後的信息系統滿足建設方或使用方的安全需求而開展的活動。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等,通常被稱爲安全優化或安全加固。
信息系統安全集成服務資質級別是衡量服務提供者服務能力的尺度。資質級別分爲一級、二級、三級共三個級別,其中一級最高,三級最低。安全集成服務提供方的服務能力主要從以下四個方面體現:基本資格、服務管理能力、服務技術能力和服務過程能力;服務人員的能力主要從掌握的知識、安全集成服務的經驗等綜合評定。
3.2 安全運維服務資質認證
通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維諮詢,協助組織的信息系統管理人員進行信息系統的安全運維工作,以發現並修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,並在安全隱患被利用後及時加以響應。
安全運維資質認證是對安全運維服務方的基本資格、管理能力、技術能力和安全運維過程能力等方面進行評價。安全運維服務資質級別是衡量服務提供方的安全運維服務資格和能力的尺度。
資質級別分爲一級、二級、三級共三個級別,其中一級最高,三級最低。
3.3 信息安全風險評估
是信息安全保障的基礎性工作和重要環節,貫穿於網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵禦威脅的防護對策和安全整改措施,防範和消除信息安全風險,或將風險控制在可接受的水平,爲網絡和信息安全保障提供科學依據。
信息安全風險評估服務資質級別是衡量服務提供者服務能力的尺度。風險評估服務提供方的服務能力主要從以下四個方面體現:基本資格、服務管理能力、服務技術能力和服務過程能力;服務人員的能力主要從掌握的知識、風險評估服務的經驗等綜合評定。對服務提供方的背景審查主要指客戶投訴、違法違紀行爲等;服務人員的背景審查主要指行業主管部門或使用單位對從事風險評估服務的人員進行必要的審查。
資質級別分爲一級、二級、三級共三個級別,其中一級最高,三級最低。
3.4 信息安全應急處理服務
是通過制定應急計劃使得影響網絡與信息系統安全的安全事件能夠得到及時響應,並在安全事件一旦發生後進行標識、記錄、分類和處理,直到受影響的業務恢復正常運行的過程。應急處理服務是保障業務連續性的重要手段之一,它涵蓋了在安全事件發生後爲了維持和恢復關鍵業務所進行的系列活動。
信息安全應急處理服務資質認證是對應急處理服務提供方的基本資格、管理能力、技術能力和應急處理服務過程能力等方面進行評價。信息安全應急處理服務資質級別是衡量服務提供方應急處理服務資格和能力的尺度,應急處理服務資質分爲三級,其中一級最高,三級最低。
四、信息安全人員認證與培訓簡介
中國信息安全認證中心(ISCCC)是國家批准的信息安全專業認證與培訓機構。ISCCC的服務宗旨是保障國家信息安全,促進各類組織信息安全技術水平和管理水平的提高,提升信息安全的社會認知度及從業人員的專業水平。目前開展的人員認證與培訓業務包括:信息安全從業人員資格認證、信息安全認證從業人員培訓和信息安全技術與意識培訓。
ISCCC推出了“信息安全保障從業人員認證(CISAW)”和 “信息安全保障預備從業人員認證(CISAC)”,以期推動我國信息安全保障的人才隊伍建設,提高從業人員的職業素養,加強後備人才培養。
ISCCC開展了面向信息安全產品認證工廠檢查員、信息安全服務資質認證評審員、信息安全管理體系(ISO/IEC27001)認證審覈員、IT 服務管理體系(ISO/IEC20000-1)認證審覈員、信息安全管理體系和IT服務管理諮詢師等信息安全認證從業人員的培訓工作,期望能夠進一步提高信息安全認證相關人員的執業水平,從而保障信息安全認證質量。
ISCCC專門開發了信息安全技術培訓和信息安全意識教育的系列基礎課程,並以此爲基礎,依據不同組織的實際需求,開展量身定製的個性化培訓服務,旨在提高各類組織的信息安全保障能力和全民信息安全意識。
人員的認證分爲9大類三級認證,預備認證、資格認證、專業認證。其中專業認證又分爲專業級和專業高級。如下圖:
其它就是關於國家對信息安全保護等級劃分和涉密分級保護的概念要做個初步的認識。
五、信息系統的安全保護等級分
總共分爲以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
5.1 等級保護的實施與管理
我這裏只摘錄其中主要條款:
第九條
信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。
第十條
信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審覈批准。
跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。
對擬確定爲第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十一條
信息系統的安全保護等級確定後,運營、使用單位應當按照國家信息安全等級保護管理規範和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。
第十二條
在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。
第十六條
辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審覈批准信息系統安全保護等級的意見。
5.2 涉密信息系統的分級保護管理
我這裏只摘錄其中主要條款:
第二十四條
涉密信息系統應當依據國家信息安全等級保護的基本要求,按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。
非涉密信息系統不得處理國家祕密信息等。
第二十五條
涉密信息系統按照所處理信息的最高密級,由低到高分爲祕密、機密、絕密三個等級。
涉密信息系統建設使用單位應當在信息規範定密的基礎上,依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家祕密的計算機信息系統分級保護技術要求》確定系統等級。對於包含多個安全域的涉密信息系統,各安全域可以分別確定保護等級。
保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。
第三十條
涉密信息系統建設使用單位在申請系統審批或者備案時,應當提交以下材料:
(一)系統設計、實施方案及審查論證意見;
(二)系統承建單位資質證明材料;
(三)系統建設和工程監理情況報告;
(四)系統安全保密檢測評估報告;
(五)系統安全保密組織機構和管理制度情況;
(六)其他有關材料。
5.3 等級保護所對應的輸出
整個等保跟市場需求之間的關係可以總結爲:新要求——新產品——滿足等級保護測評分數——備案成功。從下表中可以看到新增要求項集中在***防範、惡意代碼防範、集中管控、安全審計等方面。
安全威脅識別所採用的方法主要有:文檔查閱、問卷調查、人工覈查、工具檢測、***性測試等。
(1)安全技術威脅性覈查
物理環境安全 | (1)安全措施:機房選址、建築物的物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫溼度控制、電力供應、電磁防護等。 (2)覈查方法:現場查看、詢問物理環境現狀,驗證安全措施的有效性。 |
網絡安全 | (1)安全措施:網絡拓撲圖,vlan劃分,網絡訪問控制,網絡設備防護,安全審計,邊界完整性檢查,***防範,惡意代碼防範等。 |
主機系統安全 | (1)安全措施:身份鑑別、訪問控制、安全審計、剩餘信息保護、***防範、惡意代碼防範、資源控制等。 |
應用系統安全 | (1)安全措施:身份鑑別、訪問控制、安全審計、剩餘信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等。 |
數據安全 | (1)安全措施:數據完整性保護措施、數據保密性保護措施、備份和恢復等。 |
(2)安全管理威脅性覈查
安全管理覈查主要通過查閱文檔、抽樣調查和詢問等方法,並覈查信息安全規章制度的合理性、完整性、適用性等。
安全管理組織 | 覈查方法:查看安全管理機構設置、職能部門設置、崗位設置、人員配置等相關文件,以及安全管理組織相關活動記錄等文件。 |
安全管理策略 | 覈查方法:查看是否存在明確的安全管理策略文件,並就安全策略有關內容詢問相關人員,分析策略的有效性,識別安全管理策略存在的脆弱性。 |
安全管理制度 | 覈查方法:審查相關制度文件完備情況,查看制度落實的記錄,就制度有關內容詢問相關人員,瞭解制度的執行情況,綜合識別安全管理制度存在的脆弱性。 |
人員安全管理 | 覈查方法:查閱相關制度文件以及相關記錄,或要求相關人員現場執行某些任務,或以外來人員身份訪問等方式進行人員安全管理脆弱性的識別。 |
系統運維管理 | 覈查方法:審閱系統運維的相關制度文件、操作手冊、運維記錄等,現場查看運維情況,訪談運維人員,讓運維人員演示相關操作等方式進行系統運維管理脆弱性的識別。 |
等保安全項目結束時召開評審會,參與人員一般包括:被評估組織、評估機構及專家等。等保安全項目驗收文檔如下:
工作階段 | 輸出文檔 | 文檔內容 |
準備階段 | 《系統調研報告》 | 對被評估系統的調查瞭解情況,涉及網絡結構、系統情況、業務應用等內容。 |
《風險評估方案》 | 根據調研情況及評估目的,確定評估的目標、範圍、對象、工作計劃、主要技術路線、應急預案等。 | |
識別階段 | 《資產價值分析報告》 | 資產調查情況,分析資產價值,以及重要資產說明。 |
《威脅分析報告》 | 威脅調查情況,明確存在的威脅及其發生的可能性,以及嚴重威脅說明。 | |
《安全技術脆弱性分析報告》 | 物力、網絡、主機、應用、數據等方面的脆弱性說明。 | |
《安全管理脆弱性分析報告》 | 安全組織、安全策略、安全制度、人員安全、系統運維等方面的脆弱性說明。 | |
《已有安全措施分析報告》 | 分析組織或信息系統已部署安全措施的有效性,包括技術和管理兩方面的安全管控說明 | |
風險分析 | 《風險評估報告》 | 對資產、威脅、脆弱性等評估數據進行關聯計算、分析評價等,應說明風險分析模型、分析計算方法。 |
風險處置 | 《安全整改建議》 | 對評估中發現的安全問題給予有針對性的風險處置建議 |
說到這裏就籠統的說完了一個集成公司對於信息安全大概要了解的信息安全內容和需要做的安全管理和辦法,當然還有很多不完善的地方,但能做到或瞭解上面所說的所有內容也是很不容易的,萬事都是從零開始的。好吧,下次我打算有時間就做了安全***防禦的文章,大家耐心等待吧。