如何評估自有的安全管理狀況
安全管理是一個仍在繼續發展的領域,除了CC中的系統和產品標准、SSE-CMM中涉及到的系統運行安全管理和BS7799中的如風險管理和涉及安全方面的人員管理等外,企業還應該更加自己的需要制定了相應的安全政策並對此有效的執行。
安全管理的前提是制訂保證安全目標的政策。安全政策包括物理方面的政策如關鍵計算設備的安全政策、邏輯方面的政策如數據訪問、安全政策和行政制約方面的安全政策如人員安全管理政策。安全管理的一個重要組成部分是對安全政策實施過程與結果的審計並根據審計結論采取必要的行動,目前雖然對安全管理力度的級別定義在國內的信息系統的等級保護中有了要求,但具體的實施細則還沒有正式執行,目前還無法進行參照。不過有一個原則是在高密級要求環境下應采取比低密級更強的安全管理。
我們可以看看BS7799是如何建立一個企業(組織)的安全管理體系的,
BS 7799-2:2002 定義了九個實施步驟或階段:
第 1 步:定義信息安全管理體系的范圍
第 2 步:定義安全方針
第 3 步:確定系統化的風險評估方法
第 4 步:確定風險
第 5 步:評估風險
第 6 步:識別和評價供處理風險的可選措施
第 7 步:選擇控制目標和控制措施處理風險
第 8 步:准備適用性聲明
第 9 步:管理層批准殘余風險
另外也可以參考北京市委辦公廳、北京市人民政府辦公廳2001發布的《北京市黨政機關計算機網絡與信息信息安全管理辦法》中對信息安全管理的要求,該辦法對組織領導和責任制、安全方案審查、安全服務單位、產品資質准入、保密要求和管理制度、監控和應急處理、信息內容、人員上崗培訓、宣傳、教育、監督檢查、法律責任、實施時間等方面都作了不同的要求,應該說涉及面還是很廣的。
在進行自評估時,除了可以參照BS7799的控制項進行自我檢查外,還可以考慮采用外部的風險評估服務,其目的是通過系統的風險評估識別企業信息系統中的風險點,並區分出高低,例如哪些威脅才是需要關注的,定位出特地的安全需求。並且在一定條件下,指導企業進行最有效的降低總體風險和特定風險,監控不斷變化的安全狀況,最終指導進行安全風險管理,為企業的安全管理體系的建立提供原始信息。
如何針對安全管理的內容進行管理?
首先,需要根據企業的現實情況,明確大概的安全方針並制定相應的安全策略。在制定策略時需要注意不能脫離實際,很多安全策略和標准實際上是為 一種理想狀態下寫的,包括一些信息安全顧問偶然也會犯這種錯誤,並沒有真正了解到當前企業的安全需求和現狀的情況下制定的安全策略在企業的實際實施過程中必然會出現問題,管理層或使用者會發現策略的定制者們並未理解他們真正的需要。如果這些安全策略過於理論化或限制性太強,那麼企業組織就會漠視這這些策略。因此在安全策略定制必須遵循以下原則:越符合現狀越容易推行,越簡單越容易操作,改動越小越容易接受.同時,在制定信息安全管理制度時要注意考慮企業現有的文化。許多信息安全方面的規章制度都是參考制度模板或者以其他組織的規章制度為模板而制定出來的。與企業文化和業務活動不相適應的信息安全管理制度往往會導致發生大范圍的不遵守現象。另外,規章制度還必須包括適當的監督機制。
其次,要對現有信息系統進行安全評估。信息系統安全評估是指根據公認的標准和指導規范對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制的過程,以完成企業的安全目標,同時樹立風險管理意識並遵循這個進行相關的安全體系建立。
再次,要充分認識到信息安全管理是一個過程。信息安全是一個動態的過程,必須分階段的對安全策略進行調整,同時安全攻擊和防范技術都在高速的發展,而這一切是一個沒有終點的過程,必須建立在一套好的信息安全管理機制的基礎上。
總的來說,安全管理不是一種即買即用的東西。一購買就能提供足夠安全水平的安全管理體系是不存在的。建立一個有效的信息安全管理首先需要要在信息安全評估的基礎上,制定出相關的管理策略和規章制度後,才能通過配套選用相應的安全產品搭建起整個信息安全架構。現在有些企業通過安裝部分的安全產品或者制定了一些安全制度但沒有得到良好的執行,我們也不能認為這個企業就有了信息安全管理體系,因為安全管理體系的建立是一個管理系統的驗證規范, 需依循“PDCA”循環進行,包括持續改善,訂定政策、管理審查、文件管制、內部稽核等。而且信息安全管理與一般管理的不同在於信息安全管理著重在風險評
估及管理,並選擇適當控制措施,將組織損失降到最低。風險評估的過程不是一段時間的工作,而是需要隨著技術的發展及企業自身的變化持續改善的過程。企業實施了一套信息安全管理體系並不表示其自身信息安全受到絕對的保護,而是確保其本身的信息安全價值、風險等已確實評估,同時為當前信息系統的安全狀態提供了一個快照,並在此基礎上進行不斷的控制與管理。
需要說明的是,要遵循以上要求即使對最有安全意識和執行能力的企業來說也不是一件簡單的事,但總體來說提高信息安全管理水平已是一股不可違逆的潮流,所有的機構或企業已不是“做”與“不做”的問題,而是必須盡早實施的問題。