浅析企业信息安全现状及构建ISMS提升信息安全管理水平

来源:用户上传      作者: 杨少武　胡海霞

　　【摘要】本文分析了企业信息安全面临的问题，并提出解决网络与信息安全不仅应从技术方面着手，更应加强网络信息安全的管理工作。为了提高企业信息安全管理水平，引入在企业构建信息安全管理体系（ISMS，Information Security Management S～tem）。并对ISMS体系建设运行的各个阶段的关键点进行扼要分析，供企业构建ISMS体系建设时参考。
　　【关键词】企业，信息，安全
　　【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158（2012）11-0130-02
　　一、企业信息安全现状
　　近年来，随着企业信息化进程的不断推进，许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统，内容覆盖了硬件网络平台建设、办公自动化（OA）、企业资源计划（ERP）、对基础网络、过程自动化进行升级改造等，企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。
　　当前企业信息可能面临的安全威胁、存在的安全隐患。
　　1.可能面临的安全威胁
　　物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁；网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪，内部攻击，冲突域造成网络风暴，黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。
　　数据安全威胁主要表现在：数据库数据丢失，财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。
　　内部网络之间、内外网络之间的连接安全——随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
　　2.可能存在的安全隐患
　　网络规划不完善。信息网络建设的初期，没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施，缺乏整体性和系统性。目前从便携设备到可移动存储，再到智能手机、PDA，以及无线网络等。每一项新技术，每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时，遭受的攻击次数也日益增多。
　　技术设计不完善。随着电脑技术的不断发展，一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。
　　安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够；员工的安全防范意识不强；构建安全体系的资金投入与运维现状需求存在矛盾等因素，导致安全管理层面的安全措施及安全技术难以有效实施。
　　为了防止信息安全事件的发生，通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而，此类技术手段，却无法阻止人为因素导致的破坏。
　　针对上述分析，笔者认为，构建一个规范的信息安全保障体系必须从管理、技术两方面着手，通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化，同时针对信息系统的“弱点”进行改进，以此降低潜在的安全危险。
　　二、加强信息安全工作的途径
　　1.建立安全体系结构框架
　　俗话说“三分技术，七分管理”，任何技术措施只能起到增强信息安全防范的作用。为此，管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度，建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训，提高员工的信息化应用水平。其次，技术部门要加强物理场所的安全管理，制定相应的访问控制策略规范网络应用安全，整合现有资源实现能够支撑边界安全和访问控制的要件，同时实现从终端行为一主机全过程的完整安全，实现公司业务正常有序的运行。
　　2.通过实施信息安全管理体系提升管理水平
　　信息安全管理体系是系统地对组织敏感信息进行管理，涉及到人、程序和信息技术系统，其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么，并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针，信息安全组织，资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护，信息安全事故管理、业务连续性，符合性（IS027002要求的各个控制域）11个方面的处置，来建立企业信息安全管理体系。ISMS建设分为五个阶段，有准备阶段、风险评估阶段、实施阶段，运行阶段和持续改进阶段。
　　2.1 准备现状调研阶段
　　现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查，以了解组织业务，挖掘组织中存在的安全问题，分析组织内可能存在的信息安全风险，参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。
　　2.2 风险评估阶段
　　在准备阶段工作的基础上，根据IS027001标准的要求，对企业目前的信息安全现状进行风险评估，通过风险评估确定风险管理计划以及需要采取的控制措施。此外，通过风险评估，还可以了解到目前企业信息安全管理的现状，为下一步编写ISMS文件准备基础资料。
　　2.3 架构设计阶段
　　架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。 　　2.4 实施阶段
　　实施阶段将进行ISMS文件体系的策划和编写，确定需要编写的文件数量以及各文件需要包括的控制措施。同时，将已有的操作规程、规范文件整理为具体操作手册，作为三级文件，以指导信息安全管理体系项目的后继实施，最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。
　　2.5 运行阶段
　　运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后，将通过内部审核的方式评审企业信息安全管理体系运行的符合性。
　　2.6 持续改进阶段
　　项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动，使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏，所以必须要有能够进行持续改善的绩效管理。
　　3.实施、运行ISMS需要注意的问题
　　4.1 提高风险意识，加强安全组织建设工作；以风险评估为基础，提高风险管理的有效性；队总体经营目标为核心，制定科学的安全管理策略；通过对企业安全管理流程及标准的建立，完善企业的安全运维体系及响应机制。
　　4.2 提高行业信息化管理水平，信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。
　　4.3 循序渐进，动态管理。信息安全体系建设并不是一蹴而就的，是分步实施、循序渐进的过程。定期进行相关的安全评估，注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。
　　三、结语
　　通过建立、实施、运行、监视、评审、保持和改进文件化的ISMS，对企业信息资产进行一次全面的摸底，对信息安全的重点关注对象有了清醒的认识，消除了主要的安全隐患，建立驾驭信息安全的长效机制。但安全是动态的，要基于PDCA持续改进ISMS，将信息安全等级保护纳入体系中，同时开展质量、环境、职业安全卫生、信息安全“四标”的整合认证工作，形成一套有效的一体化管理体系，为企业争取更大的管理效益与效率的提升。
转载注明来源:https://www.xzbu.com/8/view-5052381.htm