凡事預則立,不預則廢。對于ISO27001信息安全管理建設的工作也(ye)先(xian)由計(ji)劃開(kai)始。ISO27001信(xin)息安(an)全(quan)(quan)管(guan)理(li)(li)體系(x���i)(xi)(xi)(xi)建設分為(wei)四(si)個階段(duan):實������(shi)施安(an)全(quan)(quan)風(feng)險評估、規(gui)劃體系(xi)(xi)(xi)(xi)建設方案、建立信(xin)息安(an)全(quan)(quan)管(guan)理(li)(li)體系(xi)(xi)(xi)(xi)、體系(xi)(xi)(xi)(xi)運行及改進。也(ye)符合信(xin)息安(an)全(quan)(quan)管(guan)理(li)(li)循(xun)環PDCA(Plan-Do-Check-Action)模型及ISO27001要求(qiu),即有效地保護企業信(xin)息系(xi)(xi)(xi)(xi)統(tong)的安(an)全(quan)(quan),確保信(xin)息安(an)全(quan)(quan)的持續發展。本文結合作者(zhe)經驗,重點(dian)論(lun)述上述幾個方面(mian)的內容。
ISO27001信息安全管理體系建設流程——確立范圍
首先是確立項目范(fan)(fan)圍,從(cong)機(ji)構層次(ci)及(ji)(ji)系統層次(ci)兩個(ge)維度(du)進(jin)行(xing)范(fan)(fan)圍的劃分。從(cong)機(ji)構層次(ci)上,可以考慮內部(bu)機(ji)構:需(xu)要(yao)覆(fu)蓋公司的各個(ge)部(bu)門,其包(bao)(bao)括(kuo)總(zong)部(bu)、事業部(bu)、制(zhi)造本部(bu)、技術本部(bu)等(deng);外部(bu)機(ji)構:則包(bao)(ba�����o)括(kuo)公司信息系統相連的外部(bu)機(ji)構,包(bao)(bao)括(kuo)供應商、中間業務(wu)合作伙伴、及(ji)(ji)其他(ta)合作伙伴等(deng)。
從系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)層次(ci)上,可(ke)按照物理(li)(li)環(huan)境:即支(zhi)(zhi)撐信(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)的(de)(de)場所、所處的(de)(de)周邊(bian)環(huan)境以及場所內(nei)保障計算機系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)正常運(yun)行的(de)(de)設(she)施(shi)。包(bao)括機房環(huan)境、門(men)禁、監控等;網(wang)(wang)(wang)絡系(xi)(xi)(xi)統(tong)(tong)(tong)(tong):構成信(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)網(wang)(wang)(wang)絡傳輸環(huan)境的(de)(de)線路(lu)介質,設(she)備和(he)軟件;服務(wu)器平臺系(xi)(xi)(xi)統(tong)(tong)(tong)(tong):支(zhi)(zhi)撐所有信(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)的(de)(de)服務(wu)器、網(wang)(wang)(wang)絡設(she)備、客戶機及其操作系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)、數(shu)�������(shu)據(ju)庫、中(zhong)間件和(he)Web系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)等軟件平臺系(xi)(xi)(xi)統(tong)(tong)(tong)(tong);應(ying)用(yong)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong):支(zhi)(zhi)撐業(ye)務(wu)、辦公(gong)和(he)管(guan)(guan)(guan)理(������li)(li)應(ying)用(yong)的(de)(de)應(ying)用(yong)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong);數(shu)(shu)據(ju):整個信(xin)息(xi)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)中(zhong)傳輸以及存(cun)儲的(de)(de)數(shu)(shu)據(ju);安(an)全(quan)(quan)管(guan)(guan)(guan)理(li)(li):包(bao)括安(an)全(quan)(quan)策(ce)略、規章制(zhi)度(du)、人(ren)員組織(zhi)、開發安(an)全(quan)(quan)、項目(mu)安(an)全(quan)(quan)管(guan)(guan)(guan)理(li)(li)和(he)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)管(guan)(guan)(guan)理(li)(li)人(ren)員在日常運(yun)維過程中(zhong)的(de)(de)安(an)全(quan)(quan)合規、安(an)全(quan)(quan)審計等。
ISO27001信息安全管理體系建設流程——安全風險評估
企(qi)業(ye)信(xin)息安全(quan)是指保(bao)障企(��������qi)業(ye)業(ye)務系統不被非(fei)法訪(fang)問、利用和篡改(gai),為(wei)企(qi)業(ye)員工(gong)提供安全(quan)、可(ke)信(xin)的服務,保(bao)證(zheng)信(xin��������)息系統的可(ke)用性、完整性和保(bao)密性。
本次進行的(de)安全評估,主要包(bao)括兩方面的(de)內容(rong):
ISO27001信息安全管理體系建設流程——企業安全管理類的評估
通過企(qi)業(ye)的(de)安全(quan)控(kong)制現狀調查(cha)(cha)、訪談、文(we����n)檔研讀(du)和ISO27001的(de)最佳實踐比對,以及在(zai)行業(ye)的(de)經驗上������進行“差距分析”,檢查(cha)(cha)企(qi)業(ye)在(zai)安全(quan)控(kong)制層面(mian)上存在(zai)的(de)弱點,從而為安全(quan)措(cuo)施(shi)的(de)選擇提(ti)供依(yi)據。
評估內容(rong)包括(kuo)ISO27001所涵蓋(gai)的與(yu)信息(xi)安(an)全管(guan)理(li)體系相關的11個方面,包括(kuo)信息(xi)安(an)全策略、安(an)全組織、資產分類與(yu)控(kong)制、人員安(an)全、物(wu)理(li)和環(huan)������境安(an)全、通信和操(cao)作管(guan)理(li)、訪問控(kong)制、系統開發與(yu)維(wei)護、安(an)全事件(jian)管(guan)理(li)、業(ye)務連續性(xing)管(guan)理(li)、符合性(xing)。
�������� 基于(yu)資產(chan)安全等級(ji)的(de)分(fen)類,通過對信(xin)息設備進行的(de)安全掃描(miao)、安全設備的(de)配(pei)置,檢(jian)查分(fen)析現(xian)有網絡設備、服(fu)務器系統、終端(duan)、網絡安全架構的(de)安全現(xian)狀和存在的(de)弱點,為安全加固提供依據(j�������u)。
������針對(dui)企業具有(you)代表(biao)性(xing)的關鍵應(ying)用(yong)進(jin)(jin)行(xing)(xing)安全評(ping)估(gu)(gu)(gu)。關鍵應(ying)用(yong)的評(ping)估(gu)(gu)(gu)方(fang)式采用(yong)滲透(tou)測試(shi)的方(fang)法,在應(ying)用(yong)評(ping)估(gu)(gu)(gu)中將對(dui)應(ying)用(yong)系統(tong)的威脅、弱點進(jin)(jin)行(xin������g)(xing)識別,分析(xi)其和應(ying)用(yong)系統(tong)的安全目標之間的差距,為后期(qi)改造提供依(yi)據(ju)。
提到安全評估,一(yi)定要有方法(fa)論。我們(men)以(yi)ISO27001為(wei)核心,并借鑒國際常用(yong)的(de)(de)幾(j��������i)種(zhong)評估模(mo)型的(de)(de)優點,同(tong)時結(jie)合企(qi)業自身的(de)(de)特點,建立風(feng)險評估模(mo)型:
在風(feng)險(xian)評(ping)(ping)估模(mo)型中,主要包含信(xin)(xin)息(xi)資產(chan)(chan)、弱點、威(wei)(wei)脅和風(feng)險(xian)四個要素(su)。每個要素(su)有各(ge)自的(de)(de)屬(shu)(shu)性,信(xin)(xin)息(xi)資產(chan)(chan)的(de)(de)屬(shu)(shu)性是(shi)(shi)資產(chan)(chan)價(jia)值,弱點的(de)(de)屬(shu)(shu)性是(shi)(shi)弱點在現(xian)有控制(zhi)措施的(de)(de)保(bao)護下,被威(wei)(wei)脅利(li)用的(de)(de)可能(neng)性以及(ji)被威(wei)(wei)脅利(li)用后對(dui)資產(chan)(chan)帶(dai)來影響的(de)(de)嚴重(zhong)程度(du),威(wei)(wei)脅的(de)(de)屬(shu)(shu)性是(shi)(shi)威(wei)(wei)脅發(fa)生的(de)(de)可能(neng)性及(ji)其危害的(de)(de)嚴重(zhong)程度(du),風(feng)險(xian)的(de)(de)屬(shu)(shu)性是(shi)(shi)風(feng)險(xian)級別(bie������)的(de)(de)高(gao)低。風(feng)險(xian)評(ping)(ping)估采用定性的(de)(de)風(feng)險(xian)評(ping)(ping)估方(fang)法,通過分(fen)級別(bie)的(de)(de)方(fang)式進(jin)行賦值。
ISO27001信息安全管理體系建設流程——規劃體系建設方案
企業(ye)信息安全(quan)問(we�����n)題根源分布在技(ji)術、人員(yuan)和管理(li)等多個層面,須統一規(gui)劃并(bing)建(jian)立企業(ye)信息安全(quan)體系,并(bing)最(zui)終落(luo)實到管理(li)措(cuo)施和技(ji)術措(cuo)施,才能確保信息安全(quan)。
規劃體系建設方(fang)案(an)是在(zai)風險評(ping)估的基礎(chu)上,對企業(ye)中存在(zai)的安全風險提出安全建議(������yi),增(zeng)強系統的安全性和抗攻擊性。
在未來(lai)(lai)1-2年內通過信(xin)息安全(quan)(quan)體(ti)系制的(de)建(jian)(jian)立(li)與實施,建(jian)(jian)立(li)安全(quan)(quan)組織,技術上進行安全(quan)(quan)審(shen)計、內外網隔離的(de)改造、安全(quan)(quan)產品的(de)部署,實現以流程為導向的(de)轉型。在未來(lai)(lai)的(de) 3-5 年內,通過完善的(de)信(xin)息安全(quan)(quan)體(ti)系和(he)相應(yi�����ng)的(de)物理(li)環境(jing)改造和(he)業(ye)務連(lian)續性項(xiang)目的(de)建(jian)(jian)設(she),將企(qi)業(ye)建(jian)(jian)設(she)成(cheng)為一個注重管(guan)理(li),預防(fang)為主,防(fang)治結(jie)合的(de)先進型企(qi)業(ye)。
ISO27001信息安全管理體系建設流程——企業信息安全體系建設
企(qi)業信息安全(quan)體系(xi)(xi)建(jian)(jian)立在信息安全(quan)模型與企(qi)業信息化的基(ji)礎上(shang),建(jia�������n)(jian)立信息安全(quan)管理體系(xi)(xi)核(he)心可以更好的發揮六(liu)方面的能力:即預(yu)警(Warn)、保(bao)護(Protect)、檢(jian)測(Detect)、反(fan)應(ying)(Response)、恢(hui)復(Recover)和反(fan)擊(Counter-attack),體系(xi)(xi)應(ying)該兼(jian)顧攘外和������安內的功能。
安(an)(an)(an)(an)(an)全(quan)(quan)(quan)體系(xi)的(de)建設(she)一是涉(she)(she)及安(an)(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理制度建設(she)完(wan)善;二是涉(she)(she)及到信息安(an)(an)(an)(an)(an)全(quan)(quan)(quan)技術。首先,針對安(an)(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理制度涉(she)(she)及的(de)主要內容包括企業信息系(xi)統的(de)總體安(an)(an)(an)(an)(an)全(quan)(quan)(quan)方(fang)針、安(an)(an)(an)(an)(a������n)全(quan)(quan)(quan)技術策略(lve)和安(an)(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理策略(lve)等。安(an)(an)(an)(an)(an)全(quan)(quan)(quan)總體方(fang)針涉(she)(she)及安(an)(an)(an)(an)(an)全(quan)(quan)(quan)組織機構、安(an)(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理制度、人員安(an)(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理、安(an)(an)(an)(an)(an)全(quan)(quan)(quan)運(yun)行維護(hu)等方(fang)面的�������(de)安(an)(an)(an)(an)(an)全(quan)(quan)(quan)制度。安(an)(an)(an)(an)(an)全(quan)(quan)(quan)技術策略(lve)涉(she)(she)及信息域的(de)劃分、業務應用的(de)安(an)(an)(an)(an)(an)全(quan)(quan)(quan)等級(ji)、安(an)(an)(an)(an)(an)全(quan)(quan)(quan)保(bao)護(hu)思(si)路、說以及進一步(bu)的(de)統一管(guan)(guan)理、系(xi)統分級(ji)、網絡互聯(lian)、容災備(bei)份、集中監控(kong)等方(fang)面的(de)要求。
其(qi)次(ci),信息安全(quan)技(ji)術(shu)(shu)按其(qi)所在的(de)(de)信息系統層(ceng)次(ci)可(ke)劃分(fen)為物理安全(quan)技(ji)術(shu)(shu)、網絡安全(quan)技(ji)術(shu)(shu)、系統安全(quan)技(ji)術(shu)(shu)、應用安全(quan)技(ji)術(shu)(shu),以及安全(quan)基礎設施平(ping)臺;同(tong)時按照安全(quan)技(ji)術(shu)(shu)所提供(gong)的(de)(de)功能又可(ke)劃分(fen)為預防保護類(lei)(lei)、檢測跟(gen)蹤(zong)類(lei)(lei)和響應恢復類(lei)(lei)三大類(lei)(lei)技(ji������)術(shu)(shu)。結合主流的(de)(de)安全(quan)技(ji)術(shu)(shu)以及未(wei)來信息系統發展(zhan)的(de)(de)要求,規(gui)劃信息安全(quan)技(ji)術(shu)(shu)包括:
| 預防保護類 |
檢測跟蹤類 |
響應恢復類 |
| 安全基礎設施 |
PKI |
審計系統 |
備份系統 |
| 防病毒 |
| 垃圾郵件防護系統 |
| 網絡 |
網絡域 |
網絡入侵檢測 |
冗余設計 |
| 邊界網絡包過濾技術 |
網絡安全掃描 |
| 防火墻 |
網絡安全審計系統 |
| 網絡設備安全強化 |
上網行為管理 |
| SSL VPN接入 |
|
| 集中式網絡設備訪問管理 |
|
| internet 內容過濾 |
|
| 系統 |
主機訪問控制 |
主機入侵檢測 |
冗余設計 |
| 主機安全強化 |
主機安全掃描 |
| |
桌面安全管理 |
| 應用 |
數據庫、應用安全強化 |
數據安全管理 |
|
| 用戶帳號統一管理 |
安全符合性檢查 |
| 單點登陸管理機制 |
網頁完整性檢查 |
ISO27001信息安全管理體系建設流程——體系運行及改進
信息(xi)安全管(guan)(guan)理(li)體系文(wen)(wen)件(jian)編制(zhi)完成以后,由公司企(qi)劃部門組織按照文(wen)(wen)件(jian)的(de)控制(zhi)要(yao)求進行審(shen)核。結合(he)公司實際,在(zai)體系文(wen)(wen)件(jian)編制(zhi)階(jie)段,將(jiang)該(gai)標(biao)準(zhun)與公司的(de)現有其他體系,如質(��������zhi)量、環境保護(hu)等體系文(wen)(wen)件(jian),改歸(gui)并(bing)的(de)歸(gui)并(bing)。該(gai)修訂(ding)(din��������g)審(shen)核的(de)再(zai)繼續修訂(ding)(ding)審(shen)核。最終歷經幾個月的(de)努力,批準(zhun)并(bing)發布實施了信息(xi)安全管(guan)(guan)理(li)系統的(de)文(wen)(wen)檔發布。至此,信息(xi)安全管(guan)(guan)理(li)體系將(jiang)進入運行階(jie)段。
有(you)人說,信息(xi)系(xi)統(tong)的(de)成功(gong)靠的(de)是(shi)&ld�����quo;三分(fen)(fen)(fen)技術(shu),七分(fen)(fen)(fen)管理,十�������二分(fen)(fen)(fen)執行(xing)”。“執行(xing)”是(shi)要(yao)需要(yao)在實(shi)踐中去體會(hui)、總結與提高。
對(dui)于信息系統安(an)全(quan)管(guan)理體(ti)系建設更是如(ru)此!在此期間,以(yi)IT部門牽頭,加強(qiang)宣傳(chuan)力度,組織(zhi)了若干次不同層面的(de)宣導培訓(xun),充分發揮(hui)體(ti)系本(ben)身的(de������)各項功能,及時發現存在的(de)問(wen)題,找出問(wen)題根源(yuan),采(cai)取糾正(zheng)措(cuo)施,并按照更改(gai)控制程(cheng)序要求對(dui)體(ti)系予以(yi)更改(gai),以(yi)達到進(ji��������n)一步完善信息安(an)全(quan)管(guan)理體(ti)系的(de)目的(de)。
