資源描述:
《企業(yè)實施信息安全保障體系的探索和實踐》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1�、企業(yè)實施信息安全保障體系的探索和實踐現(xiàn)代企業(yè)的生存與發(fā)展高度依賴X絡(luò)信息系統(tǒng)支持,確保X絡(luò)的通暢�����、信息系統(tǒng)安全可靠就顯得尤其重要��。本文從信息安全綜合治理戰(zhàn)略理念出發(fā)���,結(jié)合當前企業(yè)IT運維管理現(xiàn)狀和安全風險防范的新思路�����、新方法��,從組織體系����、制度體系和技術(shù)體系三個層面論述建立和實施信息系統(tǒng)安全運行治理防控保障體系,實現(xiàn)信息系統(tǒng)可持續(xù)改進運行���。1綜合治理信息安全的戰(zhàn)略背景IT管理技術(shù)發(fā)展歷程���,從被動管理轉(zhuǎn)向主動管理,從服務(wù)導向轉(zhuǎn)向業(yè)務(wù)價值�。在科學的IT管理方法論方面形成了一系列標準:諸如ITIL/ITSM以流程為中心的IT管
2、理行業(yè)標準;ISO20000ITIL的國際標準;COBIT面向IT審計的IT管理標準;COSO企業(yè)內(nèi)部控制框架���,面向內(nèi)部控制;ISO17799:信息安全管理國際標準���。當前有很多非常好的綜合性標準與規(guī)范可以參考,其中非常有名的就是ISO/IEC27000系列標準�����。ISO/IEC27001通過PDCA過程����,指導企業(yè)如何建立可持續(xù)改進的體系��。目前企業(yè)IT運維管理現(xiàn)狀����。需求變化:IT本身快速變更;管理目標多角度變換并存���。資源不足:IT復雜性成長快于人員成長;IT人員持續(xù)流動��。業(yè)務(wù)影響:難以判斷事件對業(yè)務(wù)的影響和處理事件的優(yōu)先級
3����、���。信息孤島:IT資源多樣性的,不能進行事件的關(guān)聯(lián)分析����,缺少統(tǒng)一的健康視圖。ITX絡(luò)與信息系統(tǒng)運維存在監(jiān)測盲點��,缺少主動預警和事件分析機制���。如何把此項復雜的工程進行細化與落地���,建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員��、系統(tǒng)等)等的前提下����,IT運營面臨嚴峻的挑戰(zhàn)��,企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開發(fā)能力�,在很大程度上依賴于產(chǎn)品開發(fā)商的支持,為此�,要想實現(xiàn)從混亂到清晰、從被動到主動�、從應(yīng)付到實現(xiàn)價值取向的服務(wù)思想,自主加外包的混合運維方式無疑是一種好的服務(wù)方式�����。2建立和實施信息安全保障體系思路和方法針對IT管理問題和價值
4�����、取向的服務(wù)方式�,借鑒PDCA工作循環(huán)原理和標準化體系建設(shè)方法,從建立安全目標和組織體系�、制度體系和技術(shù)體系等三個主要層面構(gòu)建實施信息安全保障體系�����,以規(guī)范引導人�、以標準流程引導人����,以業(yè)績激勵人,從而促被動變主動�,堅持持續(xù)改善,促進工作效率����,促進安全保障。2.1建立和推行目標管理體系建設(shè)應(yīng)以目標管理為先導��、循序漸進�,按頂層布局��、中層發(fā)力�、底層推動內(nèi)容設(shè)計與構(gòu)建,為此��,借鑒當前IT運維管理目標演進方式��,確立各階段建設(shè)目標?���;A(chǔ)架構(gòu)建設(shè)階段(SMB),手工維護階段����。主要實現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。X絡(luò)和系統(tǒng)監(jiān)控(NSM)階段�����,重視自
5��、動化監(jiān)控階段�。主要實現(xiàn)IT設(shè)備維護和管理。IT服務(wù)管理(ITSM)階段�����,重視流程管理階段�。主要實現(xiàn)IT服務(wù)流程管理。業(yè)務(wù)服務(wù)管理(BSM)階段�����,重視用戶服務(wù)質(zhì)量與滿意度。主要實現(xiàn)IT與業(yè)務(wù)融合管理���。從IT投入和業(yè)務(wù)價值來看���,前三個階段是間接業(yè)務(wù)價值,第四階段才是直接業(yè)務(wù)價值�。根據(jù)ITIL這個IT服務(wù)管理的方法論,先是搭建一個框架�����,借用工具的配合促進落地�����。如圖1��、IT運維管理系統(tǒng)參考模型���。從安全目標出發(fā)�,結(jié)合IT運維管理系統(tǒng)參考模型�,每個階段的工作向著實現(xiàn)直接業(yè)務(wù)價值�����,不斷消除或減輕對性能的約束,促進IT產(chǎn)品或服務(wù)滿足確
6�、定的規(guī)范,實現(xiàn)企業(yè)效益最大化�。服務(wù)好用屬性通過最終的績效和檢驗結(jié)果監(jiān)視測量價值成分。如圖2�。2.2規(guī)劃融合信息安全保障體系通過從組織體系、制度體系�����、技術(shù)體系層面建立和實施縱深防御體系��,實現(xiàn)穩(wěn)健的信息安全保障狀態(tài)��。①組織體系:通過企業(yè)中高層的支持實現(xiàn)業(yè)務(wù)驅(qū)動和共同推動信息安全體系建設(shè)����。當然,需要提出的問題����,組織有可能要依賴長期可靠的合作伙伴:通過長期可靠的合作關(guān)系,快速引進外部專業(yè)資源和先進技術(shù),可以幫助企業(yè)推動信息安全建設(shè)工作�。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求,企業(yè)實施ITX絡(luò)與信息系統(tǒng)安全運維
7��、體系標準����,組織應(yīng)做到定期對全體員工進行信息安全相關(guān)教育,包括:技能�、職責和意識,通過相關(guān)審核�����,證明組織具備實施體系的意識和能力��。②制度體系:企業(yè)ITX絡(luò)與信息系統(tǒng)安全運維系統(tǒng)建設(shè)的范圍包括機房安全�、數(shù)據(jù)安全、X絡(luò)安全�����、服務(wù)器安全�����、業(yè)務(wù)應(yīng)用安全、終端安全等����。為此���,企業(yè)應(yīng)明確內(nèi)部運維和外部協(xié)同的內(nèi)容及其標準規(guī)范��,包括績效標準��。建立實施ITX絡(luò)與信息系統(tǒng)安全運維體系標準����,首先把高效的信息安全做法固化下來形成規(guī)則制度或標準����,成為組織中信息安全行為準則。保證事前預防���、事中監(jiān)控和事后審計等安全措施的得到有效執(zhí)行與落實�。③技術(shù)體系:
8���、一般來說�,X絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全��、終端安全��、應(yīng)用安全�、操作系統(tǒng)與數(shù)據(jù)庫安全、X絡(luò)安全����、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則�����,綜合采用各種安全工具進行組合���,形成企業(yè)“適用的”安全技術(shù)防線����。適時根據(jù)風險評估的結(jié)果�,采取相應(yīng)措施,降低風險��。其中�����,需要采用1~2種綜合
