如何建立信息安全保障框架?国内外有哪些标准或者指南可以参考?这是建立一个合理的信息安全保障体系框架的基础。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是iso/iec27000系列标准。iso/iec 27001通过pdca过程(即戴明环),指导企业如何建立可持续改进的体系。 其次, 美国国家安全局提出的信息保障技术框架(information assurance technical framework,iatf)是另一个可以参照的有效框架。iatf创造性地提出了信息保障依赖于人、技术和操作来共同实现组织职能和业务运作的思想,对技术和信息基础设施的管理也离不开这三个要素。iatf认为,稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。 此外,bs25999提出业务连续性是一个企业业务保障的重要方法,iscaca组织的信息系统审计师cisa教程认为it审计是保障组织建立有效控制的重要手段等等。 企业如何综合利用这么多的理论框架,建立适合于自身的信息安全保障体系?依据作者的多年经验,认为一个企业可以按照如图1“企业信息安全保障框架”所示的框架进行建设: 信息安全保障应当建立纵深防御体系,什么是纵?什么是深?如图1所示,纵的是有三个层面(事前、事中、事后)全面控制;深的是从五个方向(安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应急体系)进行深入防御。
制度
把信息安全好的做法固化下来形成规则,就是制度。因此,信息安全制度是组织中信息安全行为准则。信息安全保障体系只有做到制度化、规范化才能更好地保证事前预防、事中监控、和事后审计等安全措施的执行与落实。
纵
正如信息安全这四个字所表现一样,以保护信息为其最重要的目的。那么就应当对信息安全事件发生的之前、之中和之后进行有效控制。即以预防控制为主,但是也不能忽略操作性控制和恢复性控制。因此,应当从信息的事前预防、事中监控和事后恢复三个层面建设信息安全。
深
信息安全涉及的领域非常广,以人员、硬件、数据、软件等方面都会涉及。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面的深度进行概括。
组织
人是实施信息安全的最关键的因素,人控制好了,信息安全就控制 好了。因此成立一个合理和有效的安全组织架构,对于保证安全日常运行是最重要的。建立一个成功的信息安全组织体系有很多关键环节,但是组织高级管理层的参与、安全纳入绩效考核、人员信息安全意识与技能培训是必不可少的成功因素。
上一篇:揭开女性领导力的神秘面纱