信息安全管理體系審核案例分析
隨著信息技術(shù)、數(shù)字技術(shù)和互聯(lián)網(wǎng)通訊技術(shù)的快速應(yīng)用和推廣,社會發(fā)展對信息化的依賴程度越來越大。從人們?nèi)粘I睢⑵髽I(yè)組織運作到國家各方面的治理,信息資源都是不可或缺的資源和資產(chǎn),在政治、經(jīng)濟(jì)、軍事、教育、科技、生活等方面發(fā)揮著相當(dāng)重要的作用。
但是近年來,信息安全威脅事件頻發(fā),信息罪犯造成的經(jīng)濟(jì)損失快速增多,損失量位居全球第一。沒有網(wǎng)絡(luò)安全就沒有國家安全。2023年4月,國務(wù)院國資委修訂印發(fā)的《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》中將網(wǎng)絡(luò)安全作為央企負(fù)責(zé)人考核內(nèi)容的一部分。隨著《網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息管理辦法》和《信息安全等級保護(hù)管理辦法》等多部相關(guān)法律法規(guī)的頒布實施,信息安全已上升為國家戰(zhàn)略,作為國家安全的一部分,將其必要性和緊迫性排到了首位,既獨立又滲透于各行業(yè)領(lǐng)域當(dāng)中。
定義和范疇
信息安全是指對信息的保密性、完整性和可用性的保持。(注:另外,也可包括諸如真實性、可核查性、抗抵賴性和可靠性等其他特性)。
信息安全一般包括實體安全、運行安全、信息安全和管理安全等4個方面的內(nèi)容。實體安全是指保護(hù)計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通訊與存儲介質(zhì)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故(如電磁污染等) 破壞的措施;過程運行安全是指為保障系統(tǒng)功能的安全實現(xiàn),提供一套安全措施(如風(fēng)險分析、審計跟蹤、備份與恢復(fù)、應(yīng)急措施) 來保護(hù)信息處理過程的安全;信息安全是指防止信息資源的非授權(quán)泄露、更改、破壞,或使信息被非法系統(tǒng)辨識、控制和否認(rèn),即確保信息的完整性、機(jī)密性、可用性和可控性;管理安全是指通過信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段,確保系統(tǒng)安全生存和運營。
經(jīng)典案例回顧
管理,除了行業(yè)本身,還有第三方的監(jiān)管,為市場和政府提供采信。依據(jù)標(biāo)準(zhǔn)GB/T 22080-2016/ISO/IEC 27000:2013,對企業(yè)進(jìn)行認(rèn)證,在對企業(yè)的信息安全管理體系的審核過程中,我們非常關(guān)注企業(yè)實施的典型案例,積累了大量的優(yōu)秀實施案例,結(jié)合標(biāo)準(zhǔn)具體條款(部分) 要求,筆者回顧和梳理了以下幾方面產(chǎn)生的良好實踐案例與讀者分享:
1.理解相關(guān)方的需求和期望
標(biāo)準(zhǔn)條款4.2:
組織應(yīng)確定:信息安全管理體系相關(guān)方;這些相關(guān)方與信息安全相關(guān)的要求。
注:相關(guān)方的要求課包括法律、法規(guī)要求和合同義務(wù)。
案例分析:
在某企業(yè)的ISMS手冊中看到了類似這樣的文字:“首先要解決里子問題,其次要解決面子問題,再次是其他問題”。企業(yè)的首席信息安全官(CISO) 說這是首席執(zhí)行官(CEO) 在面試他的時候向他提出的要求,他是這樣解讀的:防止客戶信息泄露到競爭對手那里,造成業(yè)務(wù)的直接損失,這是里子問題;防止公司面向互聯(lián)網(wǎng)開放的各個系統(tǒng)被黑客篡改等,發(fā)生負(fù)面新聞,造成業(yè)務(wù)的間接損失,這是面子問題。不得不說,這位CEO雖然不懂信息安全的術(shù)語和細(xì)節(jié),也沒讀過ISO 27001標(biāo)準(zhǔn)原文,但這句話非常清晰明確地點出了包括股東在內(nèi)的各相關(guān)方的需求和期望。
企業(yè)的CISO說他的一切工作的起點,就是這句話,這恰好也是2013版ISO 27001相較于2005版新增的這一HLS條款的原意。
2.組織的角色,責(zé)任和權(quán)限
標(biāo)準(zhǔn)條款5.3:
最高管理層應(yīng)確保與信息安全相關(guān)角色的責(zé)任和權(quán)限得到分配和溝通;
最高管理層應(yīng)分配責(zé)任和權(quán)限,以確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求;向最高管理者報告信息安全管理體系績效。
注:最高管理層也可為組織內(nèi)報告信息管理體系績效,分配責(zé)任和權(quán)限。
案例分析:
企業(yè)的CISO說他們公司原來把信息安全管理的職責(zé)放在了首席信息官(CIO) 分管IT部門下面的設(shè)備運行維護(hù)部門下,因為早些年的信息安全工作主要是一些服務(wù)請求,例如用戶口令重置和防火墻白名單設(shè)置相關(guān)的,后來發(fā)現(xiàn)很多安全事件是IT部門下的開發(fā)部門的代碼沒寫好導(dǎo)致的,而這樣的架構(gòu)和層級對等關(guān)系導(dǎo)致了與開發(fā)部門的溝通極其困難。再后來,CIO把信息安全工作從運維部分出來,專門設(shè)立了CISO崗位和部門,與開發(fā)部和運維部等部門平級。雖然現(xiàn)在還是每天都在打架,尤其是跟IT部門之外的部門打交道的時候,但信息安全管理工作的推進(jìn)還是順暢很多。
企業(yè)的CISO對現(xiàn)狀的認(rèn)識也比較深刻:打架的根源在于IT部門的性質(zhì)是服務(wù)部門,核心職責(zé)是支撐好業(yè)務(wù)的運行,而信息安全管理的性質(zhì)是踩剎車,是以平時給兄弟部門造成一系列小麻煩來防止突然有一天發(fā)生大麻煩。
3.規(guī)劃
標(biāo)準(zhǔn)條款6:
當(dāng)規(guī)劃信息安全管理體系時,組織應(yīng)考慮標(biāo)準(zhǔn)4.1中提到的事項和標(biāo)準(zhǔn)4.2中提到的要求,并確定需要應(yīng)對的風(fēng)險和機(jī)會,以:
確保信息安全管理體系可達(dá)到預(yù)期結(jié)果;
預(yù)防或減少不良影響;
達(dá)到持續(xù)改進(jìn)。
組織應(yīng)規(guī)劃:
應(yīng)對這些風(fēng)險和機(jī)會的措施;
如何將這些措施整合到信息安全管理體系過程中,并予以實現(xiàn);
評價這些措施的有效性。
案例分析:
企業(yè)的CISO說他們部門每年年初制定的年度工作計劃就是ISO 27001標(biāo)準(zhǔn)中要求的規(guī)劃,ISO 27001標(biāo)準(zhǔn)中要求的規(guī)劃也就是他們部門每年年初制定的年度工作計劃。
企業(yè)的CISO說ISO 27001標(biāo)準(zhǔn)的條款6給他最大的價值就是幫他建立了一套制定規(guī)劃的方法和框架。用科學(xué)的基于風(fēng)險評估和風(fēng)險處置的思路來寫,比之前簡單地說投入人力和資金做某項目更容易說服上司。企業(yè)的人才和資金永遠(yuǎn)都是稀缺資源,別人說服上司新建一條流水線都是用這樣的理由:投入1000萬,3年就能回本,再之后就是XXX利潤。信息安全管理工作是不能直接創(chuàng)造價值的,但可以通過減少損失的方式間接創(chuàng)造價值,比如CISO這樣說服他的上司:
安全創(chuàng)造的年度價值=ALE安全投入前-ALE安全投入后-安全的年度投入成本
注1:上述公式的4個參數(shù)的單位都是人民幣;
注2:ALE是年度損失期望的英文縮寫,ALE=ARO× SLE;
注3:ALE的本質(zhì)就是風(fēng)險;
注4:ARO的本質(zhì)就是標(biāo)準(zhǔn)條款6.1.2d)2;
注5:SLE的本質(zhì)就是標(biāo)準(zhǔn)條款6.1.2d)1。
4.遠(yuǎn)程工作
標(biāo)準(zhǔn)條款A(yù).6.2.2:
控制措施:應(yīng)實現(xiàn)相應(yīng)的策略及其支持性的安全措施,以保護(hù)在遠(yuǎn)程工作地點上所訪問的、處理的或存儲的信息。
案例分析:
企業(yè)的CISO說,ISO 27002的6.2.2條款提到了“虛擬桌面”,我們認(rèn)為這是個非常好的信息安全控制措施,雖然價格較貴。封閉是最好的保護(hù)。在虛擬桌面的工作環(huán)境下,所有的員工物理上觸摸的桌面和虛擬桌面之間是隔離的:物理桌面只是輸入設(shè)備和輸出設(shè)備,虛擬桌面才是計算設(shè)備和存儲設(shè)備。
我們設(shè)置了禁止磁盤映射后,從虛擬桌面就無法把文件傳回到物理桌面了,這大大降低了泄密風(fēng)險。但虛擬桌面也有一些負(fù)面作用,例如確實工作上必要的文件傳輸,就要靠內(nèi)網(wǎng)和外網(wǎng)間的文件服務(wù)器中轉(zhuǎn)加審批和審計,效率較低;例如一旦斷電斷網(wǎng),就無法工作,所以我們加強(qiáng)了供電和網(wǎng)絡(luò)等的冗余。
5.資產(chǎn)清單
標(biāo)準(zhǔn)條款A(yù).8.1.1:
控制措施:應(yīng)識別信息以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn),并編制和維護(hù)這些資產(chǎn)的清單。
案例分析:
企業(yè)的CISO說,雖然ISO 27001的2013版相較于2005版放棄了基于資產(chǎn)、威脅和脆弱性的風(fēng)險評估方法,他們也不再使用那種微軟Excel表格制作的風(fēng)險評估報告,但他認(rèn)為實時地摸清自己的家底還是很重要的。該企業(yè)的資產(chǎn)沒有按照硬件、軟件、服務(wù)、人員和聲譽(yù)之類的涇渭分明的分類方法,而是類似于CMDB,更強(qiáng)調(diào)CI之間的關(guān)聯(lián)關(guān)系和依賴關(guān)系等,也更強(qiáng)調(diào)實時性和準(zhǔn)確性。
該企業(yè)的資產(chǎn)清單不是一個表格,而是一個可以在任意節(jié)點點擊鉆取的網(wǎng)狀結(jié)構(gòu)的系統(tǒng),該系統(tǒng)的數(shù)據(jù)主要來源于持續(xù)集成系統(tǒng)的各種發(fā)布,少量來源于本地掃描、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)流量抓包等技術(shù)手段,人工的增減刪改原則上是禁止的。該企業(yè)的資產(chǎn)屬性包括了:域名、IP、端口、接口、通用軟件包、責(zé)任人等。
企業(yè)的CISO說,假如fastjson的某個版本被曝出存在安全漏洞,可以在幾秒鐘內(nèi)列出受影響的業(yè)務(wù)、系統(tǒng)、域名、ip、磁盤文件路徑等。
結(jié)語
數(shù)字化、信息化和互聯(lián)網(wǎng)技術(shù)的技術(shù)應(yīng)用在快速發(fā)展,但凡涉及有數(shù)據(jù)、有信息化和有互聯(lián)網(wǎng)應(yīng)用的企業(yè)都會涉及信息安全的管理。實踐證明,單純采用技術(shù)手段來保護(hù)信息和信息系統(tǒng)安全的作用是有限的,在缺乏良好管理的支撐下,有些技術(shù)甚至是無效的。通過信息安全管理體系并結(jié)合各種適用的控制措施(包括管理、技術(shù)和運行三方面) 才是組織信息安全的真正保障。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
