ISO27001信息安全管理體系如何落到實(shí)處
各行業(yè)許多企業(yè)都根據(jù)業(yè)務(wù)所需選擇不同的國際、國內(nèi)標(biāo)準(zhǔn)搭建了信息安全管理體系(ISMS),無論是基于國際信息標(biāo)準(zhǔn)ISO27000,還是基于國家標(biāo)準(zhǔn)國家等級保護(hù)測評準(zhǔn)則的要求,信息安全管理體系(ISMS)的建立并不是一蹴而就的。在建立信息安全管理體系(ISMS)過程中企業(yè)會投入很多資源進(jìn)行資產(chǎn)收集、風(fēng)險評估、采取種種控制措施降低風(fēng)險、且制定相關(guān)的管理制度規(guī)范以降低企業(yè)風(fēng)險,提升員工信息安全意識,從而達(dá)到提升企業(yè)整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實(shí)處,而不僅僅停留在一年一到兩次的風(fēng)險評估、突擊性的控制措施實(shí)施和一套看似完備的信息安全管理制度,這可能是許多信息安全管理體系管理者經(jīng)常思考且關(guān)注的話題。就此話題,我想簡單總結(jié)一下在這方面的經(jīng)驗(yàn),希望籍此能啟發(fā)您的更多靈感。
通知公告
通過信息安全相關(guān)公告通知發(fā)放的方式,在企業(yè)中滲透信息安全各方面的和知識,逐漸形成信息安全無處不在的工作氛圍,提升全員信息安全意識。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布;近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定,通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺、電子郵件、電子期刊等形式均可。
帳號管理
建議企業(yè)對各類帳號進(jìn)行嚴(yán)格管理,包括基本帳號(員工入職后默認(rèn)都需開通的帳號,例如郵箱帳號,OA帳號,所在部門的公共文件夾等)、工作所需的各類應(yīng)用系統(tǒng)帳號(通常根據(jù)崗位職責(zé)所需開通的帳號)、特殊權(quán)限的帳號(例如應(yīng)用系統(tǒng)管理員的帳號,數(shù)據(jù)庫管理員的帳號,域管理員的帳號等),VPN等特殊應(yīng)用的帳號。從管理角度,不同類別的帳號申請需要不同級別的管理人員授權(quán),一方面企業(yè)需清晰識別各類賬號并定義申請流程和授權(quán)方式;同時也需要保留必要的申請記錄以便查證,及測量體系實(shí)施的有效性。從使用角度,需要加強(qiáng)對員工的培訓(xùn)并制定必要的規(guī)范(例如不允許帳號共享,密碼定期修改等策略),以確保帳號不被濫用誤用,從而降低信息安全事件的發(fā)生。
人員安全
員工作為企業(yè)信息使用和傳遞的重要載體,員工變動可能會給企業(yè)的信息安全帶來很大影響。在員工發(fā)生變動,即員工入職、轉(zhuǎn)崗和離職幾個關(guān)鍵點(diǎn)進(jìn)行控制,可大大降低其對企業(yè)信息安全的影響。因此在入職前,許多企業(yè)會對關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄,簽訂保密協(xié)議等;發(fā)生內(nèi)部職責(zé)變動時,要求員工填寫工作交接單,刪除其原有崗位賬號等措;離職時,要求員工填寫離職交接單,清理,歸還物品。同樣,在這些關(guān)鍵點(diǎn),企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。
設(shè)備安全
通常企業(yè)在資產(chǎn)管理方面相對完善,但對設(shè)備自身的信息安全管理相對弱很多,IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù),在維護(hù)過程中無論是對設(shè)備自身進(jìn)行的更換、更新,還是對其承造的系統(tǒng)、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整、結(jié)構(gòu)調(diào)整等變更均有可能對其中的信息數(shù)據(jù)造成不利影響,甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作。因?yàn)閷T設(shè)備變更進(jìn)行控制是至關(guān)重要的,在實(shí)施變更前,須根據(jù)變更的緊急程度和可能帶來的影響程度進(jìn)行變更分類和風(fēng)險評估,制定詳細(xì)的變更計劃并得到相應(yīng)級別的授權(quán);變更實(shí)施后須對變更結(jié)果進(jìn)行記錄且進(jìn)行回顧,以確保變更實(shí)施的成功和經(jīng)驗(yàn)總結(jié),具體實(shí)施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國際標(biāo)準(zhǔn)。
軟件安全
自主研發(fā)軟件的專利及外購軟件的許可證管理均已成為企業(yè)不得不重視的問題,一旦疏忽就有可能給企業(yè)帶來很大的經(jīng)濟(jì)和名譽(yù)損失。通過信息安全管理體系的建設(shè),許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專門部門管理,使用須進(jìn)行登記,采購須申請,到期須提醒。人員變動、業(yè)務(wù)變動都有可能導(dǎo)致軟件的變更,因此對軟件許可證的管理并不是采購后進(jìn)行登記一勞永逸的事情,在日常工作中需要保證一旦發(fā)生變化即更新許可證信息,且提前做好許可證過期的準(zhǔn)備工作。
數(shù)據(jù)安全
數(shù)據(jù)對于企業(yè)是至關(guān)重要的,對其進(jìn)行的安全管理措施更需加大力度。對存儲數(shù)據(jù)的移動介質(zhì)要做到登記并限制使用人群;對于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行;同時數(shù)據(jù)備份須落實(shí)到位,從業(yè)務(wù)角度識別數(shù)據(jù)備份需求,清晰定義數(shù)據(jù)備份策略(包括備份方式頻率等),的;數(shù)據(jù)備份需要進(jìn)行記錄,并定期進(jìn)行恢復(fù)性測試保留記錄,從而降低數(shù)據(jù)損失的風(fēng)險。
物理安全
大多數(shù)企業(yè)都設(shè)立了門衛(wèi)、保安、前臺等崗位,通過信息安全管理體系的建立,也采用了訪客登記,應(yīng)用門禁系統(tǒng)等措施,對于敏感區(qū)域(例如財務(wù)、機(jī)房、研發(fā)中心等)進(jìn)行了隔離或更高權(quán)限的物理訪問控制。但訪客登記進(jìn)入后是否可以到處參觀,是否有專人陪同并登記,進(jìn)入和離開的時間是否進(jìn)行了記錄,必要時是否提交參觀申請得到授權(quán);員工門禁卡和鑰匙的領(lǐng)取是否進(jìn)行了登記,敏感區(qū)的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點(diǎn)。
安全檢查
安全檢查與年度或半年度的內(nèi)審并不同,審核通常會基于行業(yè)要求、標(biāo)準(zhǔn)規(guī)定和內(nèi)部規(guī)范進(jìn)行能夠檢查,安全檢查目的是排查各方面的安全隱患,降低安全事件發(fā)生的風(fēng)險,可以是隨機(jī),也可是定期的。每次檢查結(jié)果可保存,可作為日后改進(jìn)和信息安全管理體系(ISMS)有效性測量的依據(jù)。
安全事件
信息安全事件一旦發(fā)生,就須快速響應(yīng)妥善處理,否則可能會給企業(yè)帶來更大損失。首先,企業(yè)須清晰定義什么是信息安全事件,使大家對信息安全事件形成相同的認(rèn)識;第二,可根據(jù)信息安全事件的嚴(yán)重程度進(jìn)行分級,定義不同級別的事件匯報途徑、升級時間和處理要求;且在整個公司公布相關(guān)要求,做到發(fā)生安全事件即報告記錄并快速響應(yīng)處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國際標(biāo)準(zhǔn)的事件管理章節(jié)。
安全培訓(xùn)
安全培訓(xùn)也是一項(xiàng)應(yīng)持續(xù)的長期活動,安全培訓(xùn)可針對不同對象分成不同的培訓(xùn),可以定期組織面向管理層的信息安全標(biāo)準(zhǔn)、法律法規(guī)解讀的管理培訓(xùn);面向全員的信息安全意識普及性培訓(xùn);針對IT相關(guān)技術(shù)人員的信息安全技術(shù)知識的專業(yè)培訓(xùn);面向信息安全運(yùn)維和管理人員提供的信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)(CISSP、CISP、ISO27001主任審核員等)。建議企業(yè)對培訓(xùn)過程、結(jié)果進(jìn)行記錄,可作為信息安全體系建設(shè)的記錄和有效性測量的依據(jù)。
由此可看出,信息安全管理體系的落地貌似簡單,并非易事,貴在堅(jiān)持,以上工作均需長期執(zhí)行,才可起到效果,逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個角落中形成安全的工作環(huán)境。
從上文中可看出,基本每塊內(nèi)容都提及了記錄保留相關(guān)信息等字眼,對這些長期工作的記錄保留目前各個企業(yè)采取不同的形式,有的領(lǐng)域采用紙張記錄,有些領(lǐng)域利用公司的一些操作平臺進(jìn)行記錄(例如OA、IT服務(wù)管理系統(tǒng)等),目前市面上協(xié)助信息安全管理體系落地的工具很稀缺,谷安天下數(shù)名信息安全領(lǐng)域的資深顧問共同總結(jié)多年信息安全管理方面經(jīng)驗(yàn)結(jié)合各行業(yè)特點(diǎn),開發(fā)了協(xié)助各行業(yè)企業(yè)建立并維護(hù)信息安全管理體系的一套工具(如下圖所示),涵蓋了上文提及到的各個領(lǐng)域的安全運(yùn)營管理。管理+工具的使用協(xié)助您將信息安全管理體系在貴企業(yè)中落地實(shí)施并持續(xù)改進(jìn)。
