第2章 相关理论综述
在信息安全管理研究领域,国内外有很多成熟的体系模型和研究成果,这些前期体系模型和研究的成果,为本文的撰写提供了丰富的理论基础和资料素材,在本章中将对部分理论研究成果和行业标准进行归纳和提炼。
2.1 ISO27001 简介
ISO27000 是信息安全方面国际国内公认的最佳的管理体系集。目前 ISO27000 系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有 ISO27002 安全管理使用守则、IS027003 实施指南这样的子标准还包括 ISO27011、ISO27012 这样的通信业和金融保险业的行业标准。然而在整个体系中,不管是子标准的建立还是行业标准的颁布,无一例外的都是参照整个 ISO27000 的主体系 IS027001 来制定,它的前生BS7799 由英国标准化系协会 BSI 在 1992 首次在英国作为行业标准发布,经过数次修改在 2005 年正式更名为 ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了 ISO27001 来制定。【1】
ISO27001 是一套非常复杂的管理标准,其拥有 11 个控制领域:信息安全方针、组织构架、资产管理、人力资源安全管理、物理和环境安全管理、通信与操作管理、访问控制管理、系统的获取、开发和维护管理、信息安全事件管理、业务持续性管理和符合性。在这全部 11 个领域中控制深度也有所加强,达到 39 个控制目标和 133个风险控制措施来保障企业的信息安全。【2】
国内相关研究人员把支撑信息安全体系建设和保障企业信息安全总结为 3 个要素:人员(组织)、技术以及管理。 在控制维度上基本涵盖了 ISO27001 所涉及的 11个安全控制领域。【3】
(1)人员(组织)
在整个 ISO27001 体系中人员定义和组织管理是最重要的领域之一,在建设企业信息安全框架和制定信息安全方针时必须明确定义了企业内部的人员的组织架构、职责权利。特别是在企业中与各信息系统和业务系统有关的资产和安全程序(流程)要加以明确辨别和定义,此外负责上述各资产和安全程序(流程)的责任人的任命要经过批准,其权责要记录在案,授权级别和权限范围也要清晰定义并记录在案以便日常审计符合并在出现信息安全事件后能快速定位到责任人并追溯具体原因。同时,在信息安全管理体系中必须首先必须要建立信息安全管理委员会,其成员至少需要包含一名企业高管,以便体现企业对信息安全的重视程度并把信息安全建设作为企业整体战略的一部分。信息安全管理委员会定期对信息安全政策进行审批,对安全权力与职责进行分配,并协调企业内部各部门对安全策略和流程规章的实施。另外,在企业内部必须设立专职的信息安全顾问,信息安全顾问的编制和组织结构隶属必须是非信息技术部人员,建议隶属于 CFO 所管辖的管理部门,以便保证对整个企业的业务发展有第一时间的了解和对信息技术部门(信息安全管理体系中涉及最重要的部门之一)的工作有一个客观的审计和判断。在企业外部最好也应设置信息安全顾问,可以是“外脑”(信息安全方面的独立董事)、咨询机构(麦肯锡)、或是专业提供风险控制和外部审计服务商(四大会计事务所),以便及时跟踪行业的最新走向,为企业的管理层解读最新的行业信息安全监管标准和相应的评估手段,并在发生信息安全事故时建立适当的联络渠道,协调外部的有效资源来帮助企业来平息和处理信息安全事故。
(2)技术
随着信息技术的发展,企业的日常办公逐步走入了电子化时代,今日企业的 ERP、财务、CRM 等核心的业务系统无一不是依托信息技术来实现的。但新兴技术发展的背后,伴随着的安全问题却不能忽视。有这么些人,他们利用自身所具备的技术能力来破坏或盗取这些核心业务系统中的敏感信息。我们称之这类特殊群体的人为黑客。今天,黑客已经发展成的一个独特的群体,一些“志同道合”的人在网络上建立了黑客组织。为了谋取巨额利益甚至形成了黑客的地下产业链,他们受托使目标系统瘫痪、感染病毒、恶意修改网页,甚至通过自己的技术手段入侵企业内部的系统,盗取企业内部重要资料,变卖给企业的竞争对手。诚然道高一尺魔高一丈,进攻永远是有主动权的。由于信息技术的不断发展,未来的手机移动领域的安全技术、以云计算为基础结构的核心业务系统、物联网安全等都将面临巨大的信息安全挑战。企业的在面对黑客以及一些其他恶意破坏者的时候必须具有与之抗衡的防御技术,这需要企业不断加强在信息安全防御技上的投入和重视以及提高对新的未知威胁的抵御能力。
(3)管理
①资产管理:明确定义所保护信息资产和用户存放信息资产的物理资产在整个ISO27001 体系建设中是一个必须的前提。只有明确所保护的对象,才能开始制定相关确实有效的安全策略、管理流程和规章制度。信息资产的定义一般通过两种方式,第一种方式是把企业信息资产统一转换为物理形式,如存储数据的服务器,承载数据传输的网络,甚至员工也包含在这个“资产”的范畴中,并对每项资产定义明确的所有人或责任人。另一种定义方式为按照企业的日常业务流转来定义信息资产,通过梳理企业各部门的日常业务流程的分析,可以把一类涉及到此业务的物理资产(计算机、人员、服务器、纸质文档等)归为一类资产。但无论哪种分类方式都必须给信息资产定 义 一 系 列 的 最 终 价 值 。 一 般 按 照 数 据 信 息 的 三 个 属 性 , 即 保 密 性(Confidentiality)、完整性(Integrity)、可用性(Availability)这个三个指标来衡量信息资产的重要度,每个属性根据安全等级也有相应赋值标准。资产的最终价值可按照之前所定义的赋值标准进行加权求和,根据所得出的结果区分企业的一般资产和重要资产。其中重要资产无疑是要被企业管理层所重点关注的,安全防护或信息安全体系建设也理应围绕企业的重要资产展开。
②流程制度管理:目前外部整个信息安全的大环境呈现日益恶化之虞,外部的攻击成本越来越小,内部的防御成本反而越来越大。企业的任何一个员工的个人疏漏或者管理漏洞,都会给企业安全带来威胁,而企业安全防御水平往往取决于最弱或者说是最容易忽视的一环(人员的安全意识、规范的流程制度),而不是最强的地方(部署对应的信息安全设备,采取相应的防御技术手段)。因此规范化的流程和规章制度建设是整个 ISO27001 信息安全管理体系的根本。它是指通过对企业的核心业务、商业模式、以及日常运营的系统性梳理,在企业内部形成一系列围绕信息安全的每个人都必须遵守的规章制度和流程。但是,在一些特殊行业(特别是金融行业),其业务开展和日常运营很大程度上要依赖于企业自身的信息系统。因此,在制定过程中除了考虑日常的流程制度(企业的信息安全方针、IT 终端设备使用管理规范、移动办公守则、信息保密管理办法等)以外,还应该重点考虑其企业的业务连续性计划(Business Continuity Plan),从流程和制度层面保证和防止业务活动的终端,以及使在进行关键业务过程中免受信息系统重大失误或灾难的影响,并保证他们的及时恢复。另外,定期对企业员工信息安全意识的培训和内部相关安全制度的宣导也是必不可少的,根据国内着名的信息安全咨询机构谷安天下的一项调查研究表面,现在企业所面临的 70-80%的安全威胁都是来自于企业内部员工的有意识或者无意识的行为。在走访一些责任人时,绝大多数人并不没有意识到自己已经违反了企业内的相应信息安全制度,甚至已经触犯到了法律。因此,制度和流程的建立不能简单的停留在“纸”上,企业需要不断根据外部和内部环境定期修订相应的信息安全制度,并把这些制度和流程清晰的传达到每位员工,甚至可以考虑将企业员工信息安全意识纳入到企业文化中。
2.2 PDCA 简介
由于信息安全管理体系是在不断发展变化中逐步完善的,因此需要一套制度和标准来使信息安全管理体系自身变的可学习化,通过不断的完善自身来达到企业对于信息安全管理的要求。1950 年 W. Edwards Deming 提出 PDCA 流程,即计划(Plan)-执行(Do)-检查(Check)-改进(Act)过程,意在说明流程和控制应当是不断改进的,该方法使得管理者可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,通过不断地 PDCA,使组织的信息安全水平以一个螺旋型的方式上升的,最终达到我们的既定目标。【4】
国内专家杨辉在 2006 年《中国公共安全(学术版)》中发表的《运用 PDCA 循环法完善信息安全管理体系》文章中对 PDCA 的各个阶段有了更加细化的定义,他指出在P(计划)阶段应该建立信息安全管理体系换进和对风险进行评估,其主要工作包括确定建设和管理的范围和大致的信息安全管理方针、定义风险评估的系统性方法论、识别可预见的各类系统性和非系统性的风险,对所预见的风险进行评估以及确立评价风险的处理方法,以及为风险的处理选择控制目标与控制的方式,并将这些工作成果汇报给最高管理层并取授权批准。在 D 阶段主要强调的是在实施和运行信息安全管理体系,这个阶段的任务是以适当的优先权进行管理运作,对于那些被评估认为是可接受的风险,不需要采取进一步的措施。对于不可接受风险,需要实施所选择的控制。本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。此外,还应该实施并保持策划了的探测和响应机制。C(检查)阶段又称为学习阶段,其目的是监视并评审信息安全管理体系,是 P D C A 循环的关键阶段,即信息安全管理体系要分析运行效果改进机会的阶段。
①它是由一系列管理过程所组成,如执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验;常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。评审剩余风险和可以接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可以接受风险等级的合理性。
②审核执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。为确保范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审。最后记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。经过了策划、实施、检查之后,组织在 A 阶段必须对所策划的方案给以结论,是应该继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,从而开始了新一轮的 PDCA 循环。③【5】
2.3 信息系统审计简介
随着信息技术在企业业务领域和日常运营中广泛的应用,给企业带来效率和高收益的。但同时也产生了利用信息系统进行信息泄露、舞弊、隐瞒甚至欺诈的事件发生。
早在上个世纪中期,美国已经在研究关于信息安全审计领域的相关课题,1967 年国际信息系统审计协会(ISACA)正式在美国成立,国际信息系统审计协会(ISACA)明确定义信息系统审计主要内容:
(1)信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;(2)信息技术治理。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对信息系统方面的要求;(3)系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;(4)IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;(5)信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;(6)灾难恢复和业务连续性计划。一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT 服务。
为了及时动态跟踪企业信息系统的稳定性和安全性,信息系统审计在企业的日常运营工作中必不可少,对于企业来说甚至其重要性已经和传统的财务审计相当。相比传统的财务审计,两者既有一定联系又有一定差别。两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不仅是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
