在前面的文章中,我们明确了信息安全三大体系的重要作用,现在应该考虑,如何进行三大体系建设,建设过程中又需要注意哪些事项?
山东省软件评测中心根据多年经验,总结出在信息安全体系建设中需要注意的事项,希望能给大家带来帮助。
在进行信息安全体系建设时,伴随着建设过程中的信息安全项目的实施。信息安全项目需由专业的咨询监理机构提供全程的项目管理与质量控制,确保信息安全项目不偏离目标,高效、稳定的解决信息安全问题。
信息安全项目的管理应遵循项目管理的九大领域:综合管理、范围管理、时间管理、成本管理、风险管理、人资管理、沟通管理、采购管理和质量管理。风险管理是项目管理的主要部分,其目的是追求积极活动的最大化和不利活动的最小化。在现代项目管理中,强调对项目目标的主动控制,以对项目实现过程中遭遇的风险和干扰因素可以预防作用,从而减少损失。由于信息安全项目一般会使目前的信息安全状态发生变化,从而带来新的威胁与风险,所以,如何降低信息安全项目引入的安全威胁,使风险达到企业可接受的程度,需要采取专业的信息安全风险管理。
信息安全项目风险管理主要是针对项目过程中的技术风险、业务风险和管理风险、环境风险和流程风险等方面,在项目过程中进行充分的进行风险识别。
信息安全项目的风险管理的内容包括在项目过程中的对象确立、风险评估、风险预案、审核实施、实施监控和沟通咨询六个方面的内容。对象确立、风险评估、风险预案和审核实施是信息安全风险管理的四个基本步骤,实施监控和沟通与咨询则贯穿于这四个基本步骤中,如图所示。
图 风险管理内容和流程
第一步骤是对象确立,根据项目中要保护系统的业务目标和特性,确定风险管理对象。第二步骤是风险评估,针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步骤是风险预案制定,依据风险分析的结果,制定项目过程中存在的风险,及风险的对策;依据风险评估的结果,选择和实施合适的安全措施。第四步骤是审核实施,包括审核和实施两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险预案是否满足信息系统的安全要求;实施是指机构的决策层依据审核的结果,做出实施决定,按照预案进行风险处置。当项目过程中系统的业务目标和特性发生变化或面临新的风险时,需要再次进入上述四个步骤,形成新的一次循环。因此,对象确立、风险评估、风险预案和审核实施构成了一个螺旋式上升的循环,使得项目中受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。
监控与审查对上述四个步骤进行监控和审查。监控是监视和控制,一是监视和控制风险管理过程,即过程质量管理,以保证上述四个步骤的过程有效性;二是分析和平衡成本效益,即成本效益管理,以保证上述四个步骤的成本有效性。审查是跟踪受保护系统自身或所处环境的变化,以保证上述四个步骤的结果有效性。监控与审查依据对当前步骤的监控和审查结果,控制上述四个步骤的主循环,形成许多局部循环。也就是说,在当前步骤的监控和审查结果通过时,进入下一个步骤;否则,继续当前步骤或退到前面的适当步骤。由此,保证主循环中各步骤的有效性。
沟通与咨询为上述四个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径,以提高他们的风险意识和知识,配合实现安全目标。
在信息安全项目中采用咨询式项目管理,可以保障信息安全项目按照既定目标实施,达到企业预期效果;可以降低信息安全项目实施过程给企业信息化带来的安全风险;可以有效解决项目拖期、沟通不畅、目标偏离、质量不可控和超预算等项目管理问题;确保使企业通过实施信息安全项目,切实提高信息安全防御水平。
在进行信息安全体系建设时需定期的对信息安全状况进行安全检测与风险评估,识别当前面临的威胁与风险,指导下一步建设的注意事项。
信息安全风险评估、信息安全等级保护测评和信息安全分级保护测评是项目交付检测阶段常见的风险识别手段。
单位建立信息系统的目的在于信息系统能够为企业提供价值,大大提高企业的执行效率。然而,信息系统的引进带来了价值,也带来了信息安全风险。因此,为了做好信息安全治理,企业需要了解自身的信息安全风险等级,从而有针对性地采取防护措施。
信息安全风险评估是对企业的信息安全现状进行理性分析的定制服务,包括资产识别、威胁识别、脆弱性识别、安全措施识别与确认、风险分析、风险处理等过程。在风险评估实施过程中,企业应根据自身安全需要,按照风险评估流程定义划分信息安全风险等级,有重点的对信息资产和威胁脆弱性进行差异化保护,从而进行风险处理,使企业信息安全风险等级降低到可接受水平,提高信息化建设投资效益比。
信息安全风险评估需要定期进行,并应做到常态化开展。
在用户知悉自身系统安全脆弱性的情况下,用户可以进行信息安全风险评估。然而,目前大部分企业或政府机关,他们并不了解如何衡量自身的信息安全风险等级。根据国家信息安全战略和规划思想,我国实习信息安全等级保护和分级保护制度,并督促各级单位开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查工作。其中,信息安全等级保护主要适用于非涉及国家秘密(简称“非密”)的信息系统安全防护建设要求,信息安全分级保护主要适用于涉及国家秘密(简称“涉密”)的信息系统安全防护建设要求。
信息系统安全等级保护测评是验证非密信息系统是否满足相应安全保护等级建设要求的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
根据等级保护测评要求,第三级信息系统每年至少进行一次等级测评,第四级信息系统每半年至少进行一次等级测评,第五级信息系统依据特殊安全需求进行等级测评。
信息系统安全分级保护测评是验证涉密信息系统是否满足相应分级保护建设要求的评估过程。因为涉及分级保护建设要求的规范和资料均为涉密资料,因此分级保护测评工作专业性更强,目前分级保护测评需要专业的测评机构给予技术支持。
根据分级保护测评要求,秘密级、机密级信息系统每两年至少进行一次分级保护测评,绝密级信息系统每年至少进行一次分级保护测评。
在进行信息安全体系建设时,需要将信息安全作为一个整体,需要把过程中的有关各层次的安全产品、分支机构、运营网络、管理维护制度等纳入一个紧密的统一信息安全运维体系中,才能有效地保障企业的网络和信息安全。
很多单位企业尝试通过部署“最佳”安全产品来保护自己,比如防病毒网关、防火墙、***防护系统、***、访问控制、身份认证等。在这种极度复杂的情况下,需要的是一个集成的解决方案,使得企业能够收集、关联和管理来自异类源的大量安全事件,实时监控和做出响应,需要的是能够轻松适应环境增长和变化的管理体系,需要的就是企业完整的信息安全运维体系。
信息安全运维体系的内容包括安全运维监控中心、安全运维告警中心、安全运维事件响应中心、安全运维审核评估中心、信息资产管理中心五个方面的内容。并且,这五个方面的内容也可以作为信息安全运维体系建立的五个步骤。同时,利用持续改进模型方法,把策划、实施、检查、改进(PDCA)贯穿于这五个基本步骤中。
第一步骤是建立安全运维监控中心,基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,帮助用户建立全面覆盖信息系统的监测中心,并对各类事件做出快速、准确的定位和展现。实现对信息系统运行动态的快速掌握,以及运行维护管理过程中的事前预警、事发时快速定位。
第二步骤是建立安全运维告警中心,基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别,并综合的展现信息系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。同时,告警中心提供多种告警响应方式,内置与事件响应中心的工单和预案处理接口,可依据事件关联和响应规则的定义,触发相应的预案处理,实现运维管理过程中突发事件和问题处理的自动化和智能化。
第三步骤是建立安全运维事件响应中心,借鉴并融合了ITIL(信息系统基础设施库)/ITSM(IT服务管理)的先进管理规范和最佳实践指南,借助工作流模型参考等标准,开发图形化、可配置的工作流程管理系统,将运维管理工作以任务和工作单传递的方式,通过科学的、符合用户运维管理规范的工作流程进行处置,在处理过程中实现电子化的自动流转,无需人工干预,缩短了流程周期,减少人工错误,并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。
第四步骤是建立安全运维审核评估中心,该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。
第五步骤以信息资产管理为核心,IT资产管理是全面实现信息系统运行维护管理的基础,提供的丰富的IT资产信息属性维护和备案管理,以及对业务应用系统的备案和配置管理。基于关键业务点配置关键业务的基础设施关联,通过资产对象信息配置丰富业务应用系统的运行维护内容,实现各类IT基础设施与用户关键业务的有机结合,以及全面的综合监控。