基于生命周期分析信息安全管理体系

引言

　　随着信息技术的迅猛发展，为了确保企业经营战略的实现和满足业务快速发展的需要，越来越多的企业在运行各个环节中运用了信息技术。信息技术确实加速了企业的发展，同时这些企业也面临着来自各个方面的信息安全威胁，包括系统安全漏洞、DDoS(Distributed Denial of Service分布式拒绝服务)攻击、非法入侵、病毒感染、通信故障等，保护客户和企业自身信息资产的保密性、完整性和可用性对提升服务水平和竞争力具有重要作用，因此建立全面可靠的信息安全管理体系是非常有必要的。

1 信息安全管理现状

　　随着信息化社会的来临，信息资源对社会发展的重要程度越来越大。从人们日常生活、组织运作到国家管理，信息资源都是必不可少的重要资源，现代社会的生存和发展，都需要各种信息的支持。但是信息在社会中发挥越来越重要的作用的同时，与之而来的信息安全问题也变得日益突出，需要加以安全保护。

　　目前，许多标准化组织都提出了各自的信息安全管理的体系标准和控制模型，这些基于业务、技术与管理层面的标准在某些行业得到了很好的应用，并且信息安全管理工作也逐步纳入公司的日程中，但是这项工作目前仍存在不少的问题，信息安全管理现状依旧比较混乱，主要表现为以下几方面：

　　由于缺乏权威、统一、专门的立法管理机构对国内信息安全管理进行组织、规划、管理和实施协调，导致我国现有的一些信息安全管理没有来自法律的推动力和约束；

　　在IT系统建设过程中信息安全管理并没有得到充分考虑，导致后期管理工作和安全建设比较被动，同时造成信息安全管理建设与业务的发展及IT的建设不对称；

　　安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的方法，缺乏科学的、全面的、动态的安全管理方法；

　　重视安全技术，忽略安全管理。企业多在防火墙、网路、主机及应用系统开发等安全技术上投资，而相应的管理水平、手段没有体现；

　　在安全管理中不够重视人的因素，缺乏懂得管理的信息安全技术人员；

　　企业安全意识薄弱，因为信息安全管理不仅仅需要CIO或CFO的参与，企业各层领导和员工的重视与参与也是必不可少的。

2 各项威胁对企业信息安全的影响

　　企业信息安全有太多的因素需要关心：自然灾害、黑客攻击、计算机病毒以及企业内部信息泄露。2011年大量信息安全事件中，索尼的数据泄漏是其中备受瞩目的一个，索尼的PlayStation网络于4月20日关闭，同时取证组开始调查索尼数据泄漏的范围。截止到5月2日，该泄漏事件影响了大约1亿人，索尼公司已经花费1.71亿美元处理其数据泄漏所带来的后果。一项调查显示，中国内地企业在改善信息安全机制上仍有待努力，从近年安全事件结果看，中国每年大约98万美元的财务损失，此外，42％的中国内地受访企业经历了应用软件、系统和网络的安全事件，信息安全给企业造成了巨大的损失。而目前企业面临的主要威胁有以下几种。

　　2.1 自然灾害

　　由于近年来自然灾害的多发，给计算机系统造成了一些不可挽回的破坏而引发了许多信息安全问题，但相对于其他因素来说，自然灾害对信息安全的威胁算最小的，并且自然灾害的威胁只可尽量减小而不可避免。

　　2.2 黑客与病毒

　　随着计算机技术的发展，黑客的破坏力也日益扩大化，黑客傻瓜式工具的大量出现和黑客组织的形成导致的直接后果就是黑客技术的普及，网络上随便搜索一下，就能找到一大堆黑客技术交流网站。这些黑客站点提供黑客工具、公布系统漏洞、公开传授黑客技术、进行黑客教学，甚至还有黑客组织通过论坛形式相互交流黑客技术经验、协调黑客行动等。黑客事件的剧增、黑客组织规模的扩大、黑客站点的大量涌现，说明了黑客技术开始普及，同时黑客攻击对于信息安全的威胁也越来越大。仅在美国，黑客攻击每年造成的经济损失就超过100亿美元，可想而知，对于安全刚起步的中国破坏的影响程度有多大了。

　　而计算机病毒(恶意软件)的使用是黑客攻击常用的手段之一，计算机病毒的传播不仅可以破坏计算机信息系统，还可以盗取各种秘密信息，严重危害着当今社会的信息安全。根据安全供营商McAfee(迈克菲)新发布的数据显示，2010年前半年是McAfee进行恶意软件保护更新的最活跃的六个月，在第二季度报告中，恶意软件数目达到了最高，发现了一千多万个新的恶意软件，而第一季度发现的恶意软件数只有一百万。如果企业对自己的信息进行严密的监控，恶意软件可能会悄悄地潜伏进企业核心计算机，直到儿周或几个月后才发现企业的信息已经被盗走了，企业的损失将是无法估量的。

　　2.3 移动设备的漏洞

　　据3M委托进行的《2010年可视数据泄漏风险评估研究》报告指出，多于70％的公司仍然没有制定明确的政策来控制员工在公共场所工作时可以使用哪些设备连接网络。而经常出差的员工需要通过公司外部设备能够随时随地的通过Internet接入公司的网络，从而对公司的信息安全提出了一系列的挑战，员工的笔记本电脑和U盘需要使用2种以上的安全控制手段来实现综合加密，同时企业需要部署和强制执行严格的移动办公安全策略。

　　另外，硬件技术的发展使得移动介质有能力将海量数据存储到一个便携设备中，并且这些移动设备时常被带出公司。所以IT安全策略应当要求任何通过USB接口移动的数据或使用类似方式来建立连接的介质都必须在加密的基础上进行。而且这些介质类型绝不可以被用来做任何数据的单独拷贝，特别是重要任务或者企业机密，并严格限制它们用于临时性的数据传输。

　　2.4 对科技过于依赖

　　许多领导认为装好了顶级杀毒软件或者最新的防火墙，他们的系统安全就有保障了。但实际上，如果防火墙没有正确配置，防病毒软件也没有进行更新和升级，有跟没有是一样。

　　在特定环境下正确设置防火墙需要很高的技巧。它不是一项设置完就可以丢到脑后的工作，它要比安装杀病毒软件清除恶意软件复杂得多。防火墙需要经常调整以满足最新的要求，当一个新的端口扫描攻击出现时，必须在几周内阻断会受其影响的那些端口，了解最容易被攻击的10个端口，把计算机安全组织SANS的网页加入收藏夹。对于防病毒程序，不仅仅要及时升级，还必须要留意最新的弥补反病毒软件自身缺陷的补丁。

　　反间谍软件要比反病毒软件简单得多，所以很少需要打补丁。尽管如此，它们也要和反病毒软件一样要注意经常下载最新的数据库文件。最后，如果忽视安全检测程序发出的报告，所有的安全装置都会失去意义。

　　2.5 内部威胁

　　前面所谈论的威胁和危险均来自于外部网络，但正如许多企业所了解的那样，最难以防范的安全威胁来自于组织内部。

　　将公司的整个内部网络按域划分，实现部门级别的权限管理。每个部门内的每个员工在文件服务器上都有互相独立的存储空间。但是如果部门内的员工可以读、更改、删除另一个业务员在文件服务器中文件夹里面的资料，那么威胁同样存在。所以访问权限的设置应该体现实际的安全需求：部门之间禁止互相访问，同时对访问权限加以严格控制，每个访问者进行的操作及其操作对象都应该记录下来。

3 基于生命周期分析信息安全管理体系

　　为了保障企业的信息安全，就需要建立可靠的信息安全管理体系。而技术是不断发展的，并且机构的业务也经常会发生变化，因此为保障信息安全所使用的管理制度和技术措施也必须发生相应的调整和变化。现在关于信息安全建设已经达成一个共识：它是一个动态的、整体的、持续性的过程，企业不仅要进行安全建设，而且要根据技术的发展和业务的变更不断地进行评估，并在此基础上对已有的安全措施和设施进行调整、完善。

　　根据对目前信息安全管理体系的调查研究，一般信息安全建设和管理的生命周期分为四个阶段：调研策划，风险评估，设计实施，运行改进。因此，将企业的业务特点与信息安全建设管理的生命周期中的每个环节紧密结合起来，才能构建适合企业的信息安全管理体系。

　　3.1 调研策划

　　对企业所处的环境进行调研是建设信息安全管理体系必不可少的工作，它是策划的依据。在这部分工作中，需要深入调查分析企业所处的国内外宏观环境、行业环境、企业所具有的优势与劣势、面临的发展机遇与威胁等。同时分析企业战略目标，理解企业发展战略在产业结构、核心竞争力、产品结构、组织结构、市场和企业文化等方面的定位。在此基础上，通过分析明确上述各要素与信息技术特点之间的潜在关系，从而确定信息技术应用的驱动因素，使信息安全管理与企业战略目标实现融合。

　　由于安全是相对的，安全技术也是不断发展进步的，因此企业应有一个合理和明确的安全要求使得公司有章可循，而且这些要求最终要体现在安全策略当中。衡量一个信息安全策略的首要标准就是现实可行性。因此信息安全策略与现实业务状态的关系是：信息安全策略既要符合现实的业务状态，又要能满足未来一段时间的业务发展要求。因此，企业根据自己的安全要求和实际情况，合理地制定安全策略是信息安全管理建设的基础。

　　3.2 风险评估

　　根据有关信息安全技术与管理标准，对企业内以信息资产进行资产识别，其中信息资产包括：信息、人员、软件和硬件以及系统的运行状况与安全措施。

　　针对各个资产，对其进行重要性评估时，将考虑资产在失去机密性、完整性和可用性等安全属性对企业造成的危害，并评估该信息资产所面临的威胁及其发生安全事件的可能性，并结合如果发生安全事件后所涉及的各方面损失来判断安全事件可能对企业造成的影响。简而言之，就是风险计算，计算公式如下：

　　风险级别(R)=资产重要性(V)*风险发生可能性(L)

　　目前，实际工作中常使用的风险评估途径包括基线评估、详细评估和组合评估三种。而在风险评估过程中又有许多操作方法，如基于知识的分析方法、基于模型的分析方法、定性分析和定量分析等。无论采用哪种途径和操作方法，共同的目的都是得到三个最主要的分析结果：资产保护等级分类、安全事件防护等级分类以及目前安全水平与企业安全需求间的差距。

　　3.3 设计实施

　　在完成风险评估后，要在第一阶段制定的安全策略的指导下，并根据风险评估的结果设计详细的信息安全保护实施方案。

　　首先，从整体和全局的角度规划和建立一个合理的信息安全管理框架。从企业信息系统本身出发，对企业信息安全的不同层面进行整体安全分析，根据企业业务特征、组织形式、信息资产状况和技术条件，建立信息资产清单，进行安全需求分析和需要的安全控制级别，从而提出相应的安全解决方案。

　　安全解决方案的提出过程就是编写一套信息安全管理体系文件，应包含以下文档：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档等。这些文件的编写是建立信息安全管理体系的重要基础，也是一个企业实现风险控制和持续改进管理体系必不可少的依据。

　　3.4 运行改进

　　企业应按照编制的信息安全管理体系文件要求进行审核和批准并发布实施后，至此信息安全管理体系进入运行阶段。在此期间，企业应充分发挥管理体系本身的各项功能，及时找出管理体系中存在的问题，并采取纠正措施，按照更改要求对管理体系加以更改，以达到持续完善信息安全管理体系的目的。

　　信息安全管理体系的建立与实施，能从根本上强化员工的安全意识，规范信息安全行为，可以有效的降低和避免企业的信息资产安全风险，增强了企业的竞争优势。而且管理体系是在动态的技术环境中进行的，以预防为主的方式使企业以最低的成本支出达到可接受的信息安全水平。因此，建立完整的信息安全管理体系是为企业发展提供可靠的保障。

4 结束语

　　企业应以战略目标为指导，以风险管理为核心，以技术手段为支撑，严格按照以上四个阶段构建一套完善的信息安全管理体系，保障企业信息资产的安全。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：基于生命周期分析信息安全管理体系

本文网址：http://www.toberp.com/html/consultation/1083953768.html