1 信息安全管理的重要意义 在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。 但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。 目前业界普遍认为,信息安全是政府和企业必须携手面对的问题。政府和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境,而且,政府部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。 中国工程院院长徐匡迪曾指出:“没有安全的工程就是豆腐渣工程”。今年我国接连不断地出现程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。 我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。 我们回头来看,政府和各行各业对信息安全的重要性有了认识,相关的标准规范正在形成,投资力度在加大,安全技术、产品、市场在发展,多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。那么,我们为什么依然没有安全感呢?!到底需要什么样的方法或机制来管理或治理信息安全呢?经过近一年对国内外信息安全和最佳实务的研究,我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括治理机制和治理结构,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。从后面的分析阐述中,我们可以看到有效的信息安全治理是非常必要的。 BS 7799作为信息安全管理领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架,这正是管理层能够接受并理解的,而此前与之对应的情形是:一旦出现信息安全事件,IT部门负责人就想到要采用最先进的信息安全技术,如购买先进的防火墙等等,客观上让人感觉到IT部门总是在花钱,这是管理层难以理解和不接受的。BS 7799 管理体系将IT策略和企业发展方向统一起来,确保IT资源用得其所,使与IT相关的风险受到适当的控制。该标准通过保证信息的机密性,完整性和可用性来管理和保护组织的所有信息资产,通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这套标准管理信息安全风险,可持续提高管理的有效性和不断提高自身的信息安全管理水平,降低信息安全对持续发展造成的风险,最终保障组织的特定安全目标得以实现,进而利用信息技术为组织创造新的战略竞争机遇。 2 信息安全标准简介与适用范围 BS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为公司发展、实施和估量有效的安全管理实践提供参考依据。该标准是由英国标准协会(BSI)制定,是目前英国最畅销的标准。在此,我们顺便介绍一下英国标准协会,英国标准协会是全球领先的国际标准、产品测试、体系认证机构。我们所熟知的ISO 9000(质量管理体系)、ISO 14001(环境管理体系)、OHSAS 18001(职业健康与安全管理体系)、QS-9000 / ISO/TS 16949(汽车供应行业的质量管理体系)以及TL 9000(电信供应行业的质量管理体系)均是由英国标准协会发起制定的,因此,如果企业已经实施了ISO 9000,就很容易整合实施其它的管理标准,当然也包括BS 7799。 BS 7799-1于1995年首次出版,标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件,包括网络和沟通中使用的信息处理技术,并提供了一套综合的信息安全实施规则,作为工商业组织的信息系统在大多数情况下所遵循的唯一参考基准,标准的内容定期进行评定。BS 7799:1999是1995版本的一个修订和扩展版本,它充分考虑了信息处理技术,尤其是网络和通信领域应用的最新发展,同时还强调了涉及商务的信息安全责任,扩展了新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。 2000年12月,BS 7799-1通过国际化标准组织认可,正式成为国际标准ISO 17799,这是通过ISO 表决最快的一个标准,足见世界各国对该标准的关注和接受程度。目前,已有二十多个国家引用BS 7799-2作为国标,BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS 7799 作指导为客户提供信息安全咨询服务。由此可见,BS 7799是国际上当之无愧的信息安全管理标准。 在该标准中,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。信息安全的涵义主要体现在以下三个方面: BS 7799信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想,指导组织建立信息安全管理体系ISMS。ISMS是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。 3 BS 7799的主要内容 下面主要以BS 7799:1999为例介绍标准的主要内容。该标准主要由两大部分组成:BS 7799-1:1999,以及BS 7799-2:1999。 3.1 第一部分(BS 7799-1)简介 信息安全管理实施规则,是作为国际信息安全指导标准ISO/IEC 17799基础的指导性文件,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。这一部分包括十大管理要项,三十六个执行目标,一百二十七种控制方法,如图一所示。其详细内容如表1所示: 3.2 第二部分(BS 7799-2)简介 信息安全管理系统的规范,详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系的步骤,如图1所示: (1)定义信息安全策略 信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。 (2)定义ISMS的范围 ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。 (3)进行信息安全风险评估 信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。 (4)信息安全风险管理 根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施: 降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险; 避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等; 转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。 接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。 管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。 (6)准备信息安全适用性声明。 信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。 3.3 新版本BS 7799-2:2002的特点 新版本BS 7799-2:2002于2002年9月5日在英国发布。新版本同ISO 9001:2000(质量管理体系) 和ISO 14001:1996(环境管理体系)等国际知名管理体系标准采用相同的风格,使信息安全管理体系更容易和其它的管理体系相协调。新版标准的主要更新在于: 新版本在介绍信息安全管理体系的建立、实施和改进的过程中也引用了PDCA模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程,特别介绍了基于PDCA模型的过程管理方法,并在附录中为解释或采用新版标准提供了指南,如图2所示。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下: 1. 计划(PLAN):定义信息安全管理体系的范围,鉴别和评估业务风险 新版标准较BS7799-2:1999没有引入任何新的审核和认证要求,新标准完全兼容依据BS 7799-2:1999建立、实施和保持的信息安全管理体系(ISMS)。新版标准没有增加任何控制目标和控制方式,所有的控制目标和控制方式都是来自ISO/IEC 17799:2000。只是新版标准将原来BS7799-2:1999的第四部分作为附件A放在了标准后面,而且采用了不同的编号方式,将BS7799-2:1999和ISO/IEC 17799:2000结合起来了。 4 BS 7799的简单评价 BS 7799提供了一个组织进行有效安全管理的公共基础,反映了信息安全的“三分技术,七分管理”的原则。它全面涵盖了信息系统日常安全管理方面的内容,提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解,一般的单位都可以制定,具有可操作性,推广信息安全管理标准的关键在于重视程度和制度落实方面。 BS 7799是对一个组织进行全面信息安全评估的基础,可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档,以及如何根据组织的需要进行安全控制,可以作为一个非正式认证方案的基础。 然而,BS 7799仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的ISMS,才是真正具有挑战性的工作。BS 7799在标准里描述的所有控制方式并非都适合于每种情况,它不可能将当地系统、环境和技术限制考虑在内,也不可能适合一个组织中的每个潜在的用户,因此,这个标准还需结合实际情况进一步加以补充。 此外,信息安全管理建立在风险评估的基础上,而风险评估本身是一个复杂的过程,不同组织面临不同程度和不同类型的风险,风险的测度需要有效的方法支持,因此按照该标准衡量一个系统还需要一些相关技术的配合。 5 信息安全管理体系的实施 实施管理体系需要切实可行的计划以及管理高层的支持。对于所有的管理体系,在实施的过程中都是运用相近的工具和相同的方法来完成。因此,以下内容同样适用于其它管理体系的实施。 5.1 了解BS7799管理体系及其要求 管理层支持 所有员工都与决定实施BS7799管理体系有关,并要求对体系所包括的内容有一定的了解。典型的例子是:当第一次实施BS7799管理体系时,管理高层决定实施,但实际实施的职责将落在实施经理的身上,如信息中心主任。理想的情况是,实施BS7799管理体系应由见多识广的管理高层来决定,他们的支持须贯穿于整个实施管理体系的长期过程中。 提升对管理体系的理解 所有实施体系的人员应了解标准并熟练掌握,因此需要将BS7799印刷多份并分发给参与体系实施的每一个人员,所有人员从仔细阅读BS7799标准,通过召开例会学习BS7799的总体内容,并藉此进行安全意识训练。在这个阶段,还可以通过专家讲座的形式,如管理高层亲自参加一天的介绍性的培训课程,这对体系的建立是有很大的好处,同时实施经理也会受益非浅,但如果能够参加更详细培训,毫无疑问这将更有利于BS7799标准的实施。 5.2 实施体系 选择性的支持服务和书籍 当真正决定开始实施信息安全管理体系时,参与培训课程和购买书籍是必不可少的。不过目前有不少企业为了实施的有效性,会选择聘请顾问公司来帮助建立信息安全管理体系。顾问公司可以在实施的全过程和怎样建立一套最适合客户业务发展的管理体系中起到协助的作用,并为客户提供更多的增值服务。 员工对信息安全管理体系的培训和掌握 在实施的过程中,全体员工对信息安全管理体系的认识是非常重要的。如他们的日常工作是什么和对其有什么影响。故培训课程对这方面是很有帮助的,另外有不少企业还会要求开发一些符合其自己特殊需求的课程。 5.3 申请信息安全管理体系的认证 一量信息安全管理体系开始运行,为了确保其长期有效的运行,获得第三方认证机构的认证是必要的。 选择合适的认证机构 选择认证机构是一个综合考虑多种因素的复杂过程,选择一个最适合和最能满足自己需要的认证机构是非常重要的一步,通常需要考虑因素如下: 地域的覆盖----某些认证机构只是覆盖较小的地域,但其它的认证机构则是在全球开展其业务。 行业经验----一些认证机构在各行各业都有审核人员,但某些只是在少数行业内有审核人员。 获得认可机构的认可----某些认证机构是没有获得认可的,有些则获得少数认可机构的认可,有些则获得很多认可,当然获得更多认可对申请认证的企业非常重要。 价格的结成和比率----某些认证机构改变正常的费用,有些则不同。应着眼于多年的总计费用,而并不只是第一年的费用。 申请认证的过程 一旦选定适合您的认证机构后,认证的过程通常包括以下的步骤: 多数认证机构在第三年须要进行重新审核,但BSI不需要。 5.4 推广和维护既有的信息安全管理体系 经过努力的工作,获得管理体系的证书,并不只是企业内部受益,可以向客户或利益相关方提供己方符合信息安全管理国际标准的证据,使组织获得期望的信赖。为使信息安全管理体系保持有效,组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正、预防行动及管理评审信息来持续地维护和改善ISMS的有效性。另外,为了维持证书的有效性,维持和持续改善贯穿于整个监督审核的全过程。 结束语 安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上,其次要制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。相反,就不可能得到一个真正意义上的安全防护体系。这些单位可能安装了一些安全产品,但并没有一个安全的体系,因为没有建立它的基础。 (作者孙强,赛迪顾问业务拓展总监,中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师,国际信息系统审计与控制协会会员,中国信息系统审计与控制专业委员会(筹)发起人。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写,主编《IT审计:理论与实务》、《IT服务管理:发展、理解与实施》等。欢迎您与作者孙强探讨您的观点和看法,联系电话:010-88559017电子邮件:sun6869@tom.com )
(5)确定管制目标和选择管制措施。
2. 实施(DO ):实施同意的风险治理活动以及适当的控制
3. 检查(CHECK):监控控制的绩效,审查变化中环境的风险水平,执行内部信息安全管理体系审计
4. 改进(ACTION):在信息安全管理体系过程方面实行改进,并对控制进行必要的改进,以满足环境的变化。
图2 PDCA模型应用与信息安全管理体系过程