3.1 信息安全管理概述
随着以计算机和网络通信为代表的信息技术的迅猛发展,现代政府部门、金融机构、企事业单位和商业组织对信息系统的依赖日益加重,由于管理不善、操作失误等原因导致的信息安全事件数量不断攀升,没有适当的信息安全管理,组织若想实现其信息安全目标,几乎是不可能的。
3.1.1 信息安全管理基本概念
若要开展信息安全管理工作,必须理解以下基本概念。
管理,是管理者为了达到特定目的而对管理对象进行计划、组织、指挥、协调和控制的一系列活动。
信息安全管理(Information Security Management,ISM),是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续性)而进行计划、组织、指挥、协调和控制的一系列活动。
信息安全管理的主要对象是组织的信息及相关资产,包括信息、人员和软件等,同时还包括信息安全目标、信息安全组织架构和信息安全策略规则等。
信息安全管理要求识别资产并进行分类、识别威胁、识别脆弱性,并以分级方式实施安全控制。同其他管理问题一样,信息安全管理也要解决组织、制度和人员这3方面的问题,要建立信息安全管理组织机构并明确责任,制定健全的信息安全管理制度体系,加强人员的安全意识并进行安全培训和教育,这样才能实现包括信息安全规划、风险管理、应急计划、意识培训、安全评估和安全认证等多方面内容的信息安全目标。由于信息安全的攻击和防护严重不对称,相对来说攻击成功很容易,防护成功却极为困难。这就导致信息安全水平的高低遵循木桶原理:一个组织的信息安全水平有多高,取决于防护最薄弱的环节。因此,必须以建立信息安全管理体系的方式对安全涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低。
体系是相互关联和作用的一组要素,例如,资产、使用资产的人、人制定并遵守的制度等要素既相互关联,又相互影响。体系有很多种,如技术体系、管理体系和思想体系等。
管理体系是为达到组织目标的策略、程序、指南和相关资源的框架。管理体系包括质量管理体系、环境管理体系和信息安全管理体系等。
信息安全管理体系,有狭义和广义之分。狭义的信息安全管理体系(Information Security Management Systems,ISMS),指按照ISO 27001标准定义的ISMS,使用基于业务风险的方法,建立、实施并保持改进的信息安全体系,它是一个组织整体管理体系的组成部分。信息安全管理体系,包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责,以及信息安全相关的实践、规程、过程和资源等要素,这些要素既相互关联又相互作用。广义的信息安全管理体系泛指任何一种有关信息安全的管理体系。
3.1.2 信息安全管理作用
首先,信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障。在信息时代,信息安全问题已经成为组织业务正常运营和持续发展的最大威胁,组织需要信息安全管理,更有其必然性。一些信息安全问题本质上是人的问题,单凭技术无法实现从“最大威胁”到“最可靠防线”的转变,实现信息安全是一个多层面、多因素的过程,也取决于制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性努力,如果组织凭着一时的需要,想当然地制定一些技术控制措施或使用某些技术产品,难免存在顾此失彼的问题,使得信息安全这只“木桶”出现若干“短板”,信息安全水平实际无法得到提升。理解并重视管理对于信息安全的关键作用,制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要。组织若能建立一个管理框架,让好的安全策略在这个框架内实施,并不断得到修正,才可能为业务的正常持续运作提供可靠的信息安全保障。
其次,信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用。解决信息安全问题,成败通常取决于两个因素,一个是技术,另一个是管理。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序,否则,安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,信息安全管理就是黏合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。产品和技术,要通过管理的组织职能才能发挥最佳作用,技术不高但管理良好的系统远比技术高超但管理混乱的系统安全。只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证。因此,从根本上说,信息安全是个管理过程,而不是技术过程。我们常说,信息安全是三分技术七分管理,可见管理对于信息安全的重要性。
另外,信息安全管理能预防、阻止或减少信息安全事件的发生。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题。信息安全问题大约70%以上是由管理原因造成的。在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄露造成的。从这些统计结果来看,现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术原因,不如说是管理不善造成的。因此,防止发生信息安全事件不应仅从技术着手,更应加强信息安全管理。
信息安全涉及的范畴广,它不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,组织的相关人员要正确理解信息安全管理的关键作用,以便更好地开展安全管理工作。强调信息安全管理,并不是要削弱信息安全技术的作用,开展信息安全管理要处理好管理和技术的关系,坚持管理与技术并重的原则,这也是我国加强信息安全保障工作的主要原则之一。
如今,组织实施信息安全管理的紧迫性越来越强,信息安全的关键作用得到进一步凸显。组织实施信息安全管理是生存和发展的必然需要。
组织建立信息安全管理体系并持续运行,比起简单地实施信息安全管理,有更大的作用。
对内而言,建立信息安全管理体系,可以使组织按照风险管理的思想建立自我持续改进和发展的信息安全管理机制,使信息安全的角色和职责清晰地落实到人,使组织实现动态系统的、制度化的、以预防为主的信息安全管理方式,持续满足组织的安全要求,提高组织的安全能力,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性;建立信息安全管理体系,还可以使组织形成对关键信息资产的全面系统保护能力以及知识产权保护能力,维持和提高市场竞争力;在组织的信息系统受到侵害时,能够确保组织的业务持续开展并将损失降低到最低程度;能够为组织建立信息系统审计/信息安全审计框架,实施监督检查;能够为组织建立文档化的信息安全管理规范,让所有人员做事有“法”可依,有章可循,有据可查;能够强化员工的信息安全意识,建立良好的安全作业习惯,形成具有组织自己特点的信息安全企业文化。
对外而言,组织建立信息安全管理体系,能够使客户、业务伙伴、投资人对组织保障其业务平台和数据信息的安全充满信心,使组织的业务合作及运营进入良性循环,进而使组织的赢利能力不断提升;能够帮助界定外包时双方的信息安全责任,使组织在自我责任实现基础上向委托方/承包方提出合理要求和建议;可以使组织更好地满足客户或其他组织的审计要求;可以使组织更好地符合法律法规的要求。若组织的信息安全管理体系通过了第三方的ISO 27001认证,表明组织的信息安全管理体系符合国际标准,证明组织有能力保障重要资产的信息安全,能够提高组织的公信度,有利于组织进一步拓展国际国内业务;组织可以明确要求其他供应商提高相应的信息安全水平,保证数据交换中的信息安全。
因此,组织以建立信息安全管理体系的方式实施信息安全管理是必要的,才能使组织的信息安全维持在一定水平之上。
3.1.3 信息安全管理关键成功因素
经验显示,组织成功实施信息安全管理的关键因素通常包括以下内容。
组织的信息安全方针和活动能够反映组织的业务目标。如果组织制定的信息安全方针、目标和活动不考虑业务目标,只是单纯地为了安全而安全,那就会造成信息安全工作和组织业务的脱节,信息安全无法为业务运营服务,这样的信息安全是没有意义的,甚至会造成巨大的浪费,无法成功实施。
组织实施信息安全的方法和框架与组织的文化相一致。获得员工普遍认同的组织文化是一种凝聚力。若组织实施信息安全的方法和框架与组织文化不相符,必定不会获得员工的理解和认同,甚至会招致员工的反对。
组织所有级别的管理者能够给予信息安全实质性的、可见的支持和承诺。信息安全问题,首先是管理者的问题。如果管理者对信息安全不重视、不支持,普通员工也不会重视,这种情况不利于信息安全管理的实施。
组织的管理者对信息安全需求、信息安全风险、风险评估及风险管理有正确深入的理解。若管理者不理解信息安全需求与信息安全风险的关系,不理解控制信息安全风险对于业务安全运营的意义,不理解风险管理是信息安全管理的基本方法,组织实施的信息安全管理就抓不住主要矛盾。
向所有管理者、员工和其他相关方提供有效的信息安全宣传以提升信息安全意识。一切行动均源于意识,缺乏信息安全意识,就无法养成良好的安全作业习惯,也难以理解并遵守安全要求,容易导致操作失误和安全违规行为,进而引发安全事件。
向所有管理者、员工和其他相关方分发并宣贯信息安全方针、策略和标准。使全员都对组织的信息安全方针、策略和标准的要求有深入的理解,是成功实施信息安全管理的重要基础。
管理者为信息安全建设提供足够的资金,这是信息安全管理成功实施的必要保障。
向全员提供适当的信息安全培训和教育。每个岗位的员工具有其岗位需要的信息安全知识和技能,也是成功实施信息安全管理的保障之一。
建立有效的信息安全事件管理过程。虽然组织已经部署了各种预防性控制措施,避免发生信息安全事件,但不可能避免所有安全事件。若有一次严重的信息安全事件处理不好,就有可能使组织遭受严重损失而倒闭,所以事先制定事件管理程序十分必要。
建立有效的信息安全测量体系。信息安全是可度量的,组织建立测量体系,可以度量出组织的信息安全水平有多高,与设定的信息安全目标差距有多大,据此可以发现不足,制定并实施改进措施,使信息安全管理进入良性循环。没有测量体系,就无法确定信息安全管理实施的效果,无法确定信息安全水平,信息安全管理的有效性将受到影响。