首页
手机版
当前位置:首页 > 文章教程 > 新闻资讯 > 信息安全体系什么时候能普及,企业信息安全管理从无到有

信息安全体系什么时候能普及,企业信息安全管理从无到有

2022-04-19 06:51:50 来源:天空软件网 我要评论()

用手机看

扫描二维码查看并分享给您的朋友

企业信息安全管理从无到有

信息安全体系什么时候能普及,企业信息安全管理从无到有

朱圣哲

信息安全体系什么时候能普及,企业信息安全管理从无到有

信息安全体系什么时候能普及,企业信息安全管理从无到有

随着信息技术在企业生产经营管理过程中的普及应用信息安全体系什么时候能普及,企业信息数据作为企业重要核心资产,它的完整性、保密性、及时性决定着企业是否能够正常开展生产经营活动,是企业经营的重大风险所在,因此,信息安全管理工作迫切重要。那么作为大多数信息化建设刚刚起步的企业,应该如何考虑开展企业信息安全管理工作呢?下面我将详细介绍企业信息安全管理的工作步骤及实施内容。

信息安全体系什么时候能普及,企业信息安全管理从无到有

一、企业信息安全规划

信息安全体系什么时候能普及,企业信息安全管理从无到有

企业信息安全管理是企业整体信息化建设的一项重要内容,应该从企业整体信息化战略规划开始,规划企业整体信息安全体系。

企业整体信息化蓝图规划(例)

企业整体信息化战略规划需根据企业整体发展战略目标,分解到各个业务职能板块,再根据各个职能板块的业务发展战略目标的要求,按照目标分解的计划实施阶段,汇总成企业整体信息化战略规划目标,有了信息化战略目标后,就要规划达成目标所要完成的各项“信息化”工作计划。各项工作包括企业信息化应用蓝图、IT治理架构、IT管理标准体系、IT制度与流程、IT预算、IT组织、数据架构、IT网络基础架构、信息安全管理体系。本文重点介绍信息安全管理体系建设内容。

二、信息安全管理

信息安全管理主要包含两部分内容,一是信息安全管理体系,即可以理解为信息安全管理的要求,按照ISO27001的体系概念,信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。采取PDCA的过程控制模式。二是信息安全管理技术,即PC、服务器、网络、应用系统、数据库、物理场所的信息安全技术控制手段。信息安全管理体系、信息安全技术关联关系如下图:

三、实施过程

3.1 现状评估

对公司信息安全管理现状进行评估,按照“安全管理”与“安全技术”两大方面所包含的内容进行现状调研与梳理,例如“安全管理”中的安全制度内容,遵循现状收集、发现问题、改进方案三部分内容进行整理。其他版块依次执行。

3.2 信息安全管理框架规划

按公司实际情况制定信息安全管理框架规划,根据企业现状,适当裁剪相关具体内容。信息安全管理不直接创造效益,只是控制风险,投入资金没上线。因此要量力而行,循序渐进,不能盲目投资。

3.3 建立信息安全组织

有好的规划,更需要好的人员组织去执行。

通常企业信息安全管理组织会设立两个组织层级,一是信息安全领导小组,二是信息安全工作小组。

l 信息安全领导小组主要工作职责:

ü 负责研究重大安全事件,制定、落实、贯彻安全管理整体规划及实施策略。

ü 确定公司信息安全管理各相关部门职责,指导、监督整体信息安全工作。

l 信息安全工作小组职责:

ü 贯彻执行公司信息安全领导小组决议,协调和规范公司信息安全工作;

ü 根据领导小组工作部署,进行具体工作安排与落实;

ü 编制公司信息安全管理规划,分解成预算,监督预算执行;

ü 编制、完善公司信息安全管理制度、工作流程;

ü 组织协调公司全体人员参与公司信息安全管理工作;

ü 负责紧急安全事件处理;

ü 向公司信息安全领导小组定期汇报工作;

l 执行小组关键岗位:

ü 系统管理员、网络管理员、应用开发人员、安全经理、安全审计员、安全管理员、项目经理等。

3.4 编写信息安全管理制度

信息安全管理制度通常包含公司信息安全管理标准与信息安全技术两部分要求,它相当于公司内部信息安全管理法规,明确要求公司全体人员及外来人员信息安全行为,会涉信息安全管理框架全部,其中具体行为明确按照相应的具体IT流程执行。因此,在制定信息安全管理制度前,根据企业实际,应优先适当优化完善相关IT流程。

3.5 规划安全管理技术方案

信息安全技术主要包括: 物理安全; 数据通讯安全; 网络安全; 应用系统安全; 密钥管理; 客户信息认证与保密; 入侵监测机制和报告反应机制。一般说7分管理3分技术,技术和管理应该相辅相成,避免走入只重技术,不重管理,拼命加大技术资金投入,管理缺失造成重大信息安全事故。

3.6 数据分级

3.6.1信息安全定义要素及要素识别

管理信息资产,首先要对信息数据进行分级、分类。按照不同的数据类型和数据重要保密级别进行管理。首先要制定企业数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。再次强调根据企业实际情况,优先考虑对企业重要、保密、需要业务及时获取的业务数据进行重点管理。参考数据安全性三要素即保密性、完整性、可用性三个重要属性,从数据信息影响对象与影响程度两个维度来确定数据安全级别。

数据安全性级别判断的两项重要参考因素是影响对象与影响程度。

ü 影响对象通常分为国家级(国家法律、法规)、企业级(企业整体业务或核心业务)、组织级(部门业务)和个人级(个人工作)四个级别。

ü 影响程度可分为严重损害、一般损害、轻微损害和无损害四个级别。具体影响程度说明根据企业实际情况确定。

安全影响评估评估应综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素,对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。评估过程中,可根据实际情况识别各项安全性在影响评定中的优先级,综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。

ü 安全影响评估,参考数据保密性评估:通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据保密性评估。

ü 参考数据完整性评估:通过评价数据遭受未经授权的修改或损毁所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据完整性评估。

ü 参考数据数据可用性评估:通过评价数据及其组合/融合后形成的各类数据出现访问或使用中断所造成的影响,以及机构无法正常使用这些数据可能产生的影响,进行数据可用性评估。

3.6.2定级规则

通常将数据安全级别从高到低划分为5级、4级、3级、2级、1级。可参照国家或行业相关标准。

3.6.3定级过程

3.7 灾备方案

灾备方案也是管理与技术的融合。管理方面根据企业实际情况,制定数据存储、加密、备份的制度、流程、职责分工与检查内容、检查周期,数据恢复测试,灾难发生演练。EFO环境准备与测试。技术方面要有基础的数据存储设备,备份系统。

在管理上首先对数据中心灾难备份进行分类

3.7.1 灾难备份的分类

灾难备份分类

l 数据级别

ü 关注点在于数据,即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。数据级别灾备是保障数据可用的最低底线,当数据丢失后能够保证应用系统可以重新得到所有数据。

ü 这种方案的优点是投入低,构建简单。

l 应用级别

ü 应用级备份是要求在备份站点同样构建一套应用系统。应用级灾备系统能够提供不间断的应用服务,使用户的服务请求透明地继续运行,保证信息系统提供的服务完整、可靠和安全,完全不受灾难的影响。应用级灾备系统需要通过更多的软件来实现,它可以使企业的多种应用在灾难时进行迅速切换,确保业务的连续性。

l 业务级别

ü 即使构建了数据级灾备和应用级灾备,也都还是在IT范畴之内,对于正常的业务而言,仅有IT系统的保障还是不够的。除了需要原有的数据和原有的应用系统,还需要备份一个能够开展业务的工作场所。因此用户需要构建最高级别的业务级别灾备,这一级别灾备的大部分是非IT系统。

3.7.2灾难备份的等级划分

参考与国标GB20988-2007-T《信息安全技术信息系统灾难恢复规范》

3.7.3灾难恢复能力评价指标

ü RTO(恢复时间目标):从灾难发生造成的业务中断,直到通过各种方法恢复业务所需要的时间。RTO越短,意味着越高的容灾能力。

ü RPO(恢复点目标):宕机之后数据开始恢复的时间点称之为恢复点。当业务恢复后,可以达到与灾难发生前那个时间点相同的工作状态。RPO对应着灾难造成的数据丢失程度,如果RPO为0,就相当于没丢失任何数据。

3.7.4备份方式

l 冷备份

ü 备份系统未安装或未配置成与当前使用的系统相同或相似的运行环境,应用系统数据没有及时装入备份系统。缺点:恢复时间较长,数天至一周,数据完整性与一致性较差。

l 温备份

ü 将备份系统与已安装配置成与当前使用的系统相同或相似的系统和网络运行环境,安装了应用系统业务定期备份数据。一旦灾难发生,直接使用定期备份数据,手工或自动批量追补鼓励数据或将终端用户通过通讯线路切换到备份系统,恢复业务运行。恢复时间一般要十几个小时或数天。

l 热备份

ü 备份处于联机状态,当前应用系统通过高速通信线路将数据实时传送到备份系统,保持备份系统与当前应用系统数据的同步;也可定时在备份系统上恢复应用系统的数据。一旦发生灾难,不用追补或只需追补很少的孤立数据,备份系统可快速接替生产系统运行,恢复营业。缺点:设备投资大,通信费用高,通信环境要求高,平时运行管理较复杂。

3.7.5灾难恢复中心规划思路

灾备的应用对于企业来说是一项重要的技术应用,对于企业数据安全起到了很大的作用。谈到灾备这个话题,很多CIO就会把异地应用级灾备放在首位,还特别强调建设一个数据零丢失、应用自动切换的最高级别的一定灾备系统。这其实是一个认识上的误区。灾备的重要性是毋庸置疑的。但并不是说灾备就一定要建应用级别的。从实际需求出发,“选择适合自己的”才最重要。

异地灾备应对的是小概率事件,需考虑投入产出比,灾难的范畴很广,可能导致数据遭到破坏的计划外事件都属于灾难的范畴,其中包括自然灾害、IT硬件故障、人员操作失误、恶意攻击以及恐怖袭击。

灾备的投入产出比是建设首要考虑的因素之一,一般而言,应用级灾备的投入会是数据级别投入的2-3倍,甚至更高,而且每一次从生产中心切换到一定灾备中心都需要耗费大量人力、物力和时间,回切过程同样复杂而耗费精力巨大。与其建设昂贵的一定应用级灾备,不如做好本地的数据中心保护,再配合远程的数据级灾备。

灾备建设需要考虑循序渐进,分级建设。灾备的建设投入很大,不能一蹴而就一步到位,需要的是一个循序渐进的过程。数据级灾备和应用级灾备并不冲突,数据级灾备是应用级灾备的基础,异地灾备可以先做数据级的。后续再扩展成应用级灾备。这么做的原因是多方面的。

ü 原因一:与异地应用级的灾备相比,一定数据级灾备的投入比较小,却可以在极端情况发生时起到作用。而不至于彻底瘫痪。

ü 原因二:灾难备份建设不是一个简单的技术方案,而是一项工程,灾备中心的基础建设、IT系统需要一个逐步建设的过程,运行维护团队、技术支持力量需要长期培养锻炼才能具备理想的应急能力。因此先做数据级灾备,积累建设经验,培养灾备队伍,具备相当的能力之后,再建设应用级灾备系统就会容易很多。

此外,在从数据级灾备向应用级灾备过渡的过程中,还有根据业务系统按需划分灾备等级,不能一刀切。即使在同一个单位或者部门内,也存在多个应用系统。这些信息系统的重要性、复杂度都各不相同,对应的灾备等级也不相同。因此我们需要根据业务系统的实际需求来逐个确定灾备等级,一般而言,“2/8”原则时比较常见的,也就是20%的应用系统时关键和核心的,需要应用级灾备,而80%的应用时非关键的,需要只是数据级灾备。在实际的异地灾备中心建设中,这种应用级和数据级混合的建设模式是最典型的。

3.8 应急措施

在管理上首先有应急方案,技术上要参考灾难备份方案中的各项条件来制定应急措施。企业根据数据安全的不同灾难备份的分类,灾难备份的等级划分,备份方式和资金实力来统筹应急措施。简单来说要有事故发生后的应急处理流程,先做什么,后做什么,同时做好应急事故演练。

应急方案包含:应急组织(岗位、职责、联系方式),事故处理流程程序(发现、上报、存档、处理),应急响应工具(技术文档、备份软件、恢复工具),应急预案(网络中断应急处理、黑客攻击应急处理、病毒入侵应急处理、数据库故障应急处理、设备硬件故障应急处理、其他事故应急处理等),后期处理(善后处理、调查和评估、应急方案更新)

热门软件

  • 电脑软件
  • 手机软件
  • 手机游戏
更多>

用户评论

[!--temp.www_96kaifa_com_cy--]
返回顶部