博士公司信息安全管理体系研究
本文关键词:信息系统信息安全风险管理方法研究,由笔耕文化传播整理发布。
从人类社会诞生开始,信息的传递始终是彼此相互交流的一个重要的途径,下面是小编搜集整理的一篇探究博士公司信息安全管理体系的论文范文,欢迎阅读查看。
摘要:信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息,尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到重视和保护。
本文首先对信息安全的基本概念、国际上公认最佳信息安全管理ISO27001模型体系进行了综合描述。然后以博士公司①这家国内领先的第三方理财机构为例,通过与各业务职能部门的访谈,并结合ISO27001模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外,根据原因诊断结果并结合博士公司自身业务发展需求,制定了一系列的解决方案。
最后,本文希望通过国际上通用的ISO27001安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析,找出若干风险控制节点,并结合组织的自身情况,针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。
关键词:信息安全;信息安全诊断;ISO27001模型;信息安全治理;PDCA
第1章绪论
从人类社会诞生开始,信息的传递始终是彼此相互交流的一个重要的途径。先前,由于信息技术欠发达,人们主要依靠口述、书写、电话等的方式来进行彼此之间的交流,但进入21世纪后,随着信息技术的高速发展,微博、微信、办公软件、社交平台等一大批先进的电子化工具走进了人们的日常工作和。另外,信息安全与组织业务效率的平衡关系在今后的发展中免不了成为天平的两端,如何平衡好两者之间目前ISO27001体系并没有做出相应的解决方案,这将是今后相关领域研究所要解决的一个课题,对于如何减少组织对于信息安全建设的成本或更有效率地进行信息安全建设本文也做了相应展望。
第2章相关理论综述
在信息安全管理研究领域,国内外有很多成熟的体系模型和研究成果,这些前期体系模型和研究的成果,为本文的撰写提供了丰富的理论基础和资料素材,在本章中将对部分理论研究成果和行业标准进行归纳和提炼。
2.1ISO27001简介
ISO27000是信息安全方面国际国内公认的最佳的管理体系集。目前ISO27000系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有ISO27002安全管理使用守则、IS027003实施指南这样的子标准还包括ISO27011、ISO27012这样的通信业和金融保险业的行业标准。然而在整个体系中,不管是子标准的建立还是行业标准的颁布,无一例外的都是参照整个ISO27000的主体系IS027001来制定,它的前生BS7799由英国标准化系协会BSI在1992首次在英国作为行业标准发布,经过数次修改在2005年正式更名为ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了ISO27001来制定。【1】
ISO27001是一套非常复杂的管理标准,其拥有11个控制领域:信息安全方针、组织构架、资产管理、人力资源安全管理、物理和环境安全管理、通信与操作管理、访问控制管理、系统的获取、开发和维护管理、信息安全事件管理、业务持续性管理和符合性。在这全部11个领域中控制深度也有所加强,达到39个控制目标和133个风险控制措施来保障企业的信息安全。【2】
国内相关研究人员把支撑信息安全体系建设和保障企业信息安全总结为3个要素:人员(组织)、技术以及管理。在控制维度上基本涵盖了ISO27001所涉及的11个安全控制领域。【3】
(1)人员(组织)
在整个ISO27001体系中人员定义和组织管理是最重要的领域之一,在建设企业信息安全框架和制定信息安全方针时必须明确定义了企业内部的人员的组织架构、职责权利。特别是在企业中与各信息系统和业务系统有关的资产和安全程序(流程)要加以明确辨别和定义,此外负责上述各资产和安全程序(流程)的责任人的任命要经过批准,其权责要记录在案,授权级别和权限范围也要清晰定义并记录在案以便日常审计符合并在出现信息安全事件后能快速定位到责任人并追溯具体原因。同时,在信息安全管理体系中必须首先必须要建立信息安全管理委员会,其成员至少需要包含一名企业高管,以便体现企业对信息安全的重视程度并把信息安全建设作为企业整体战略的一部分。信息安全管理委员会定期对信息安全政策进行审批,对安全权力与职责进行分配,并协调企业内部各部门对安全策略和流程规章的实施。另外,在企业内部必须设立专职的信息安全顾问,信息安全顾问的编制和组织结构隶属必须是非信息技术部人员,建议隶属于CFO所管辖的管理部门,以便保证对整个企业的业务发展有第一时间的了解和对信息技术部门(信息安全管理体系中涉及最重要的部门之一)的工作有一个客观的审计和判断。在企业外部最好也应设置信息安全顾问,可以是“外脑”(信息安全方面的独立董事)、咨询机构(麦肯锡)、或是专业提供风险控制和外部审计服务商(四大会计事务所),以便及时跟踪行业的最新走向,为企业的管理层解读最新的行业信息安全监管标准和相应的评估手段,并在发生信息安全事故时建立适当的联络渠道,协调外部的有效资源来帮助企业来平息和处理信息安全事故。
(2)技术
随着信息技术的发展,企业的日常办公逐步走入了电子化时代,今日企业的ERP、财务、CRM等核心的业务系统无一不是依托信息技术来实现的。但新兴技术发展的背后,伴随着的安全问题却不能忽视。有这么些人,他们利用自身所具备的技术能力来破坏或盗取这些核心业务系统中的敏感信息。我们称之这类特殊群体的人为黑客。今天,黑客已经发展成的一个独特的群体,一些“志同道合”的人在网络上建立了黑客组织。为了谋取巨额利益甚至形成了黑客的地下产业链,他们受托使目标系统瘫痪、感染病毒、恶意修改网页,甚至通过自己的技术手段入侵企业内部的系统,盗取企业内部重要资料,变卖给企业的竞争对手。诚然道高一尺魔高一丈,进攻永远是有主动权的。由于信息技术的不断发展,未来的手机移动领域的安全技术、以云计算为基础结构的核心业务系统、物联网安全等都将面临巨大的信息安全挑战。企业的在面对黑客以及一些其他恶意破坏者的时候必须具有与之抗衡的防御技术,这需要企业不断加强在信息安全防御技上的投入和重视以及提高对新的未知威胁的抵御能力。
(3)管理
①资产管理:明确定义所保护信息资产和用户存放信息资产的物理资产在整个ISO27001体系建设中是一个必须的前提。只有明确所保护的对象,才能开始制定相关确实有效的安全策略、管理流程和规章制度。信息资产的定义一般通过两种方式,第一种方式是把企业信息资产统一转换为物理形式,如存储数据的服务器,承载数据传输的网络,甚至员工也包含在这个“资产”的范畴中,并对每项资产定义明确的所有人或责任人。另一种定义方式为按照企业的日常业务流转来定义信息资产,通过梳理企业各部门的日常业务流程的分析,可以把一类涉及到此业务的物理资产(计算机、人员、服务器、纸质文档等)归为一类资产。但无论哪种分类方式都必须给信息资产定义一系列的最终价值。一般按照数据信息的三个属性,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)这个三个指标来衡量信息资产的重要度,每个属性根据安全等级也有相应赋值标准。资产的最终价值可按照之前所定义的赋值标准进行加权求和,根据所得出的结果区分企业的一般资产和重要资产。其中重要资产无疑是要被企业管理层所重点关注的,安全防护或信息安全体系建设也理应围绕企业的重要资产展开。
②流程制度管理:目前外部整个信息安全的大环境呈现日益恶化之虞,外部的攻击成本越来越小,内部的防御成本反而越来越大。企业的任何一个员工的个人疏漏或者管理漏洞,都会给企业安全带来威胁,而企业安全防御水平往往取决于最弱或者说是最容易忽视的一环(人员的安全意识、规范的流程制度),而不是最强的地方(部署对应的信息安全设备,采取相应的防御技术手段)。因此规范化的流程和规章制度建设是整个ISO27001信息安全管理体系的根本。它是指通过对企业的核心业务、商业模式、以及日常运营的系统性梳理,在企业内部形成一系列围绕信息安全的每个人都必须遵守的规章制度和流程。但是,在一些特殊行业(特别是金融行业),其业务开展和日常运营很大程度上要依赖于企业自身的信息系统。因此,在制定过程中除了考虑日常的流程制度(企业的信息安全方针、IT终端设备使用管理规范、移动办公守则、信息保密管理办法等)以外,还应该重点考虑其企业的业务连续性计划(BusinessContinuityPlan),从流程和制度层面保证和防止业务活动的终端,以及使在进行关键业务过程中免受信息系统重大失误或灾难的影响,并保证他们的及时恢复。另外,定期对企业员工信息安全意识的培训和内部相关安全制度的宣导也是必不可少的,根据国内着名的信息安全咨询机构谷安天下的一项调查研究表面,现在企业所面临的70-80%的安全威胁都是来自于企业内部员工的有意识或者无意识的行为。在走访一些责任人时,绝大多数人并不没有意识到自己已经违反了企业内的相应信息安全制度,甚至已经触犯到了法律。因此,制度和流程的建立不能简单的停留在“纸”上,企业需要不断根据外部和内部环境定期修订相应的信息安全制度,并把这些制度和流程清晰的传达到每位员工,甚至可以考虑将企业员工信息安全意识纳入到企业文化中。
2.2PDCA简介
由于信息安全管理体系是在不断发展变化中逐步完善的,因此需要一套制度和标准来使信息安全管理体系自身变的可学习化,通过不断的完善自身来达到企业对于信息安全管理的要求。1950年W.EdwardsDeming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-改进(Act)过程,意在说明流程和控制应当是不断改进的,该方法使得管理者可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,通过不断地PDCA,使组织的信息安全水平以一个螺旋型的方式上升的,最终达到我们的既定目标。【4】
国内专家杨辉在2006年《中国公共安全(学术版)》中发表的《运用PDCA循环法完善信息安全管理体系》文章中对PDCA的各个阶段有了更加细化的定义,他指出在P(计划)阶段应该建立信息安全管理体系换进和对风险进行评估,其主要工作包括确定建设和管理的范围和大致的信息安全管理方针、定义风险评估的系统性方法论、识别可预见的各类系统性和非系统性的风险,对所预见的风险进行评估以及确立评价风险的处理方法,以及为风险的处理选择控制目标与控制的方式,并将这些工作成果汇报给最高管理层并取授权批准。在D阶段主要强调的是在实施和运行信息安全管理体系,这个阶段的任务是以适当的优先权进行管理运作,对于那些被评估认为是可接受的风险,不需要采取进一步的措施。对于不可接受风险,需要实施所选择的控制。本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。此外,还应该实施并保持策划了的探测和响应机制。C(检查)阶段又称为学习阶段,其目的是监视并评审信息安全管理体系,是PDCA循环的关键阶段,即信息安全管理体系要分析运行效果改进机会的阶段。
①它是由一系列管理过程所组成,如执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验;常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。评审剩余风险和可以接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可以接受风险等级的合理性。
②审核执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。为确保范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审。最后记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。经过了策划、实施、检查之后,组织在A阶段必须对所策划的方案给以结论,是应该继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,从而开始了新一轮的PDCA循环。③【5】
2.3信息系统审计简介
随着信息技术在企业业务领域和日常运营中广泛的应用,给企业带来效率和高收益的。但同时也产生了利用信息系统进行信息泄露、舞弊、隐瞒甚至欺诈的事件发生。
早在上个世纪中期,美国已经在研究关于信息安全审计领域的相关课题,1967年国际信息系统审计协会(ISACA)正式在美国成立,国际信息系统审计协会(ISACA)明确定义信息系统审计主要内容:
(1)信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;(2)信息技术治理。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对信息系统方面的要求;(3)系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;(4)IT服务的交付与支持。IT服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;(5)信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;(6)灾难恢复和业务连续性计划。一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT服务。
为了及时动态跟踪企业信息系统的稳定性和安全性,信息系统审计在企业的日常运营工作中必不可少,对于企业来说甚至其重要性已经和传统的财务审计相当。相比传统的财务审计,两者既有一定联系又有一定差别。两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不仅是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
第3章博士公司问题现状
目前,第三方理财行业在国内正处于发展萌芽阶段,其本身目前没有明确的监管机构来规范和约束对企业的内部控制管理。由于业务性质,第三方理财企业中收集并保存了大量的高净值客户的敏感信息,如姓名、电话号码、住址甚至是家庭存款和理财规模。这些信息的泄露轻则可能会被竞争对手利用来骚扰和推销产品给博士公司客户,重则这些信息如果落入了别有用心的人或犯罪分子手中,可能会用来在客户面前诋毁博士公司甚至是造成绑架、勒索、恐吓客户的恶意刑事案件。因此对于博士公司而言保护客户的隐私和敏感的客户信息显得尤为重要。
3.1博士公司简介
3.1.1公司历史
博士公司于2005年成立于上海,其前身是某知名证券服务公司私人银行部门,由于原公司业务结构化调整而导致私人银行部被迫从主要业务体系中剥离,后独立出来成立如今的博士公司。短短三年时间,博士公司由最初的仅有1家分公司930名客户发展为拥有16家分公司10000名高净值客户以及200名专业的理财服务顾问。博士公司2010年11月登陆美国纽约交易所顺利进行了IPO,成为在美上市的首家(目前为止也是唯一一家)国内第三方理财机构。上市后的博士公司,凭借着“成熟的品牌”、“客观的产品筛选体系”、“个性化的客户服务”、“全国网络和优秀的理财师队伍”、“卓越的客户管理系统”为其核心价值。迅速成为国内第三方理财行业的绝对却权威。目前博士公司在坐拥数万名高净值客户的基础上,博士公司开始强势介入产品设计,包括自身成立投资银行部门自行寻找项目和标的物、成立以资产管理为导向以及利用小信托公司为“过道”等一系列措施,介入整个业务价值链的上下游,不断提升自身的核心价值。【1】
博士公司自成立至今,总共抓住了三次重大的机会,从而奠定了在国内第三方理财行业中的龙头老大地位,现有的规模和实力积
3.1.2博士公司经营状况
博士公司从2010年上市以来,其营业收入持续攀升,2011年全年的净收益相较2010年上市初有超过90%的增长,净利润更是同比超过了100%。如图3.1所示:【2】
除了专注于主业(为国内高净值客户提供财富管理和理财服务)之外,2012年开始,博士公司积极拓展产业链的上下游,分别成立了多个全资子公司,业务覆盖金融保险、小额信用贷款、二级市场融资、TOP50地产母基金等领域。博士公司管理层通过多元化的业务发展使博士公司从单一的财富管理机构向着多元化业务的金融集团迈进。
3.1.3公司组织构架
博士公司现有员工约1500人,现有的组织结构除了按照美国证监会要求的上市公司治理体系以外,在日常的运营过程中主要区分业务部门(前台)和运营管理部门(后台)。组织结构示意图见图3.2:【3】
如图3.2所示,博士公司的组织结构还是偏向于传统的职能型结构,其中区域、产品中心、业务资源中心、客户经营中心属于前台部门,主要负责公司业务上的相关事宜,目前博士公司前台部门约有900名左右的员工,制约比60%。其余职能部门都隶属于后台部门,主要负责公司的日常运作和管理,目前全国约有600名左右的员工,占约比40%,此次诊断的主要访谈对象大都为博士的后台部门员工。
3.2博士公司企业信息安全诊断工作过程描述
博士公司作为国内领先的第三方理财机构,自2003年成立以来一直高速发展,并在2010年11月成功在美国纽约交易所上市,迄今为止是国内唯一在海外上市的第三方理财机构。由于受到海外投资人的高度关注和青睐,近年来博士公司业务扩张过于快速,以至于带来了很多管理问题,其中信息安全问题更是成为严重阻碍公司发展的最大问题之一,受到了管理层的高度关注,管理层亦希望通过一次科学的全面诊断来揭示存在和潜在的信息安全风险,本次基于ISO27001的企业信息安全诊断也由此而产生,下面对本次的诊断过程做简要的回顾。
(1)初期对博士公司的内外部资料进行了收集,主要包括:
①了解支持业务运作的信息系统情况。②数据从产生、录入、交互、存储以及回收的过程排摸。
③掌握按照业务价值划分数据(信息)的安全等级和受众范围。
④了解是否存在体外(非常规)的业务流程。
(2)之后进行了大规模的访谈,涉及到公司的各个职能部门的绝大多数高层(各中心负责人以上级别)以及部分中层(部门经理和主管)和员工。访谈人数统计见表2(外部访谈未计入)。【4】
(3)根据对公司业务流程的梳理情况以及ISO27001信息安全体系构架的实践经验,进行了文件涉及和实地访谈。根据ISO27001的各项风险控制领域,对于五类不同的部门和访谈对象,分别设计了五种调查问卷。调查文件统计情况见表3:【5】
(4)对于回收的问卷数据进行数据录入,同类问卷根据不同层级进行比较。
(5)在上述基础上,补充了外部访谈和外部资料搜集工作。
(6)对于诊断情况和输出的诊断结果进行综合的汇总。
3.3博士公司信息安全的若干问题
经过实地走访各关键岗位的负责人和员工以及对回收的调查问卷进行整理分析(问卷中每一题根据轻重原则分为1-5分,分析的结果采用加权平均的方式统计),根据ISO27001安全体系模型所得出的信息安全风险雷达图见(图3.3)。【6】
目前博士公司在信息安全建设方面主要存在着9个比较严重的问题,他们分别为是企业整体缺乏体系化的安全管理机制、信息安全人力资源匮乏,信息安全组织架构不够完善、尚未建立信息资产清单、员工安全意识薄弱、未将信息安全有效融入第三方外包服务管理、系统开发和运维人员职责不明确、尚未对信息安全实施内部审计、访问控制机制尚不健全、业务连续性方面建设比较初级。在本节中将对这9个问题做详细阐述。
3.3.1企业整体缺乏体系化的安全管理机制
在与博士公司的管理层访谈中了解到,管理层没有把信息安全列入企业整体战略考虑,没有意识到信息安全对博士公司这样的第三方理财机构的重要性,普遍认为信息安全是IT部门所应该考虑的,和主营业务和业绩没有多大关系。但由于IT部门在企业中的影响力有限,实际上管理层对信息安全工作提供一个明确的指导方向,除了现有的IT部门,博士公司也没有在公司层面上明确各部门相关负责人员的职责以及投入必要的人力和物力资源。而在日常的实际工作中,管理层对信息安全的期望和目标比较抽象,没有明确的达成标准。同时也缺乏一套方法论来识别和确认信息安全建设效果。目前在信息安全方面博士公司从整体方针策略、组织结构、规章制度、管理过程以及投入资源方面缺少一套有效的管理框架和指引来规范和实施。因此,引入一套科学完善的信息安全管理体系是博士公司目前需要紧迫解决的问题。
3.3.2信息安全人力资源匮乏,信息安全组织架构不够完善
在与博士公司COO的访谈中了解到,目前博士公司全职负责信息安全工作的人员只有一名,其隶属于信息技术中心负责人(CIO)领导,职位名称为信息安全专员,其主要工作为使用和维护系统中的各类信息安全设备,并没有实质上主持或执行信息公司安全管理和体系建设工作。由于,博士公司由于没有设立信息安全委员会,也没有设立专门的首席信息官(CISO),导致至今都没有出台如公司信息安全方针和一系列支撑信息安全方针的流程文档以及规章制度。信息安全专员由于职级较低,无法参与到公司层面规章制度的制定,同时无法直接将第一线的信息安全状况和现状传达到公司管理层。另外,各个业务部门中亦没有专人负责对接信息安全相关工作,即便颁布上述的方针政策以及一系列配套的流程制度,信息安全实施和建设依旧无法落实到具体的业务部门。因此,博士公司在信息安全方面的人力和物力投入不足以支撑整个公司对信息安全工作的期望。同时,在信息安全组织构架中也存在诸多问题。
3.3.3尚未建立信息资产清单
明确什么是对企业最重要的信息资产是企业信息安全建设的前提,在整个访谈中,博士公司的信息技术中心负责人给提供了一份信息资产清单,其内容主要是信息技术部所管辖的固定资产,包括服务器、路由器、交换机、防火墙等。但并为对一些如数据库帐号、系统的管理员权限、以及系统中所存储的业务数据等”软“资产来进行管理。而在受访的业务部门中几乎没有人能够清晰地把自己所管辖的这一领域中的信息资产以清单的方式展现,大都只是罗列大概的信息资产情况,也没有根据其每项资产对企业的重要性而进行分级保护并确定归属责任人。个别的受访对象甚至没有意识到自己每天在接触和处理的信息资产都是博士公司的核心业务数据。正是由于这样的情况,而导致博士公司目前无法对信息资产进行有效的管控。
3.3.4员工安全意识薄弱
博士公司作为国内领先的第三方理财机构,这些年来在企业信息化建设,以及利用信息化推动业务发展方面做出的成绩有目共睹。然而随着信息化意识的不断提高,信息安全意识并没有同步提高。上到企业的中、高级管理人员,下到普通的员工安全意识相当淡薄,在受到黑客攻击或发生信息泄露事件后,都表示不会对正常业务造成太大影响,并没有意识到其存在着潜在的巨大风险。整个博士公司随处可见人员离开后未锁屏的电脑,以及把自己系统的账户密码贴在显示器上的现象。后台业务部门,尤其是作业管理部,印有客户签章的合同文件,含有客户联系方式的快递单据,以及还未正式发布的产品资料随意堆放在公共的走道里,这些行为会导致很多的潜在内部风险。
博士公司在对员工的信息安全宣传方面也做的并不到位,目前只限于把信息安全的标语张贴在墙上,并没有定期对企业内部员工开展信息安全方面的教育和活动。同时,博士公司的企业文化也没有清晰准确的把信息安全的重要性传递给每一位员工,因此员工认识不到信息安全对博士公司的重要性。
3.3.5未将信息安全有效融入第三方外包服务管理
博士公司出于主营业务模式和人员成本考虑,信息技术部、作业管理、客户服务部等后台核心业务部门都雇佣了大量的第三方外包服务,从事基础性服务工作。在实际的工作中,这些第三方外包人员会接触到大量接触如客户信息、合同文档、暂未公开发行的产品资料等敏感的数据。博士公司在于第三方外包服务机构所签订的服务合同中有并没有关于对所接触到数据和信息的保密条款。在实际工作中,各部门并没有对所管理的第三方外包服务人员进行严格的管理,其信息系统权限、接触数据的范围目前都参照博士公司部门内部员工而定义。若外包服务公司发生经营上的困难或人才波动时,可能会导致服务质量的下降和信息泄露的风险。另外,外包服务人员一般从事基础工作,应聘门槛较低,外包服务商如招聘时把关不严,将职业素质较低的人员招入,后期的又没有经过系统性培训,会导致外包服务人员因责任心不强、工作不到位、操作不当甚至职业道德问题,从而产生各种有意无意的信息泄露行为。
3.3.6系统开发和运维人员职责不明确
经过对调查问卷的整理结果显示,,博士公司的IT系统建设和运维过程中存在着一个巨大的问题,系统的开发人员和维护人员的职责界定并不明确。由于博士公司IT部门缺少负责运营维护的运维人员。整个系统的建设从最初的需求整理、方案设计中期的实施开发、功能测试到后期的系统上线、运营维护基本都由同1位系统开发师人员包办。甚至是出现了1位系统开发人员同时兼顾负责2-3个系统的情况。这一现象通过实地访谈信息技术部负责人得以证实。
博士公司信息技术部的开发人员对于系统的实际控制权限过于强大,有些开发人员为了贪图便捷,系统的新开发版本不按照规定在测试环境中试运行测试,而是直接在实际的生产环境中做业务测试,由此经常造成系统的故障而导致的业务中断。开发人员和运维人员的权限共享,使得出现故障和事故时责任往往无法明确的认定责任。
系统开发人员不但可以畅通无阻地访问和控制实际生产环境中的各类系统,还可以直接进入整个博士公司最核心的SQL数据库系统,数据库中保存着公司的最重要的数据,如客户的信息、公司的财务状况、员工的薪酬奖励等等敏感信息。开发人员可以对数据库中的表结构、字段、记录等数据进行任意修改且无法被监控。
3.3.7尚未对信息安全实施内部审计
在与博士公司合规与内部控制部门负责人的访谈中了解到,博士公司属于在美上市的中资公司,因此按照美国证监会要求,必须遵守塞班斯法案,每年都会有外部审计公司来对其进行审计。相比信息安全审计,塞班斯法案更偏重于财务报表方面,外部审计师对信息安全的审计通常比较粗略。同时在博士公司内部,也没有对于信息系统的建设以及信息使用进行内部审计工作。信息技术部和各个业务部门通常同时扮演着”运动员“和”裁判员“的角色,各种安全控制的有效性无法得到客观的度量和考证。
3.3.8访问控制机制尚不健全
访问控制在整个信息安全建设和保障中起着至关重要的作用,数据的保密性和完整性需要它来落地实现。访问控制机制的定义通常是为了限制访问主体(如用户、服务),对访问客体(通常为需要保护的资源和数据)的具体访问权限,即访问控制机制明确定义了用户能做什么,以及做到什么程度。从调查问卷的结果中反映,博士公司目前无论是从系统层面的访问控制还是从业务层面的访问控制并没有按照不同的访问主体(用户)进行规范化的定义,具体表现为:
(1)无系统层面的访问控制机制首先,博士公司的信息系统在物理基础构架中就存在诸多先天性的不足,数据中心(机房)没有采用门禁系统,只要是博士公司的员工可以不经过审批随意出入。其次,虽然整个基础构架中部署了三层交换机和防火墙这样的访问控制设备,但。
第4章博士公司基于ISO27001体系的信息安全管理问题诊断
通过前期的调查问卷以及与各业务部门的实地访谈,博士公司目前主要存在9个比较严重的信息安全问题。本章中将以ISO27001信息安全管理体系中的11个安全控制域为基本框架,外加近年来信息安全研究领域所提出的信息防泄露(DLP)理论为基础形成12个信息安全控制维度来分析并详细的阐述形成上述9个信息安全问题的具体原因。【1】
4.1信息安全策略
博士公司目前整体缺乏信息安全管理机制,根本上是缺少基本的信息安全策略。
其原因在于目前博士公司的整体战略并未将信息安全纳入其中,信息安全建设还处在初级阶段,尚未形成立体化、体系化的管理措施和理念。公司层面的信息安全制度性文件目前只有信息安全方针。由于是信息安全方针是一个纲领性的文件,缺少相应的配套流程和制度,在执行层面缺乏了相对严谨和细化的执行标准。虽然已经在公司范围内公开发布,但执行的力度和效果明显没有达到预期的效果。
另外,塞班斯法案对企业的信息系统审计有一定要求,但博士公司在信息系统内部审计方面并没有引起足够的重视,未把信息系统内部审计上升到与财务内部审计一样的高度。虽然信息安全方针中有关于对信息安全内部审计的要求,但落实到执行层面效果并不理想。既没有定义明确的审计对象、审计范围,也没有制定审计方式以及保证审计结果无误的相关审计方法相较于财务审计信息系统审计工作形同虚设,仅仅在外部审计师到来之前临时进行突击检查,在日常的工作中内部审计工作并不是按部就班的执行。
4.2信息安全组织
博士公司管理决策层在信息安全组织方面目前缺乏政策面支持,尚未成立信息安全管理委员会,也没有其他行政职能部门分管信息安全建设工作。由于组织构架的不明确,导致博士公司在信息安全领域投入的人力严重不足,整个公司仅有的一个信息安全岗位(信息技术部的信息安全专员),且此职位的设置仅仅是考虑到信息安全技术的运用,如防火墙的使用、上网行为管理的监控、反垃圾邮件等,并没有考虑到信息安全管理在整个信息安全建设过程中的作用。各部门也没有与公司信息安全相关人员建立工作上的接口,没有指定专人负责协调各部门内部来配合公司整体信息安全建设。另外,博士公司内部虽然成立了合规和内部控制部门,但对于信息系统安全没有设立专门的信息安全审计师的职位,目前部门内人员的职业背景大都是财务相关,并非IT相关领域,对信息系统的安全审计难免生疏,在实施对信息系统的审计过程中往往心有余而力不足,有时也会偶尔发生为了应付外部审计师而采取临时唆使信息技术部的员工来编造审计记录的违规事宜。
免责声明:本文仅代表作者个人观点,与本网无关。
4.3资产管理
在访谈过程中,很少有部门可以提供一份完整的信息资产清单,即使提供的清单中大都是通过经验来主观判定信息自然的重要程度和分类等级。归根产生这一情况的原因是目前博士公司并没有建立资产的分类和分级制度,因此在执行层面上无法进行信息资产的分类和分级。
此外,在对于企业的固定资产管理的调查研究中也遇到了同样的问题,由于没有严格的固定资产管理规范。在实际的调查过程中发现,离职员工的笔记本电脑的回收和再次分配出现了严重的混乱情况,IT部门的维护列表中的信息与财务的固定资产表中的信息存在较大的误差,在财务的固定资产表中,甚至出现了固定资产的使用人是已经离职的人员这样的情况。因此,目前博士公司需要一套完整的资产管理和分级分类制度来规范和管理其所拥有的资产。
4.4人力资源安全
目前博士公司目前的人力资源在人员招募、绩效考核、薪酬制定、员工培训、人才关系等管理过程中拥有了一套相对完善的流程和制度。但在拟定时并未做信息安全方面的考虑,其主要表现在一下几个方面:
(1)组织构架在确定整个企业的组织架构时,组织的内部治理和风险控制并未涉及到信息安全。因此从决策层、到落地层并没有设立信息安全委员会、信息安全执行小组、以及各业务部门的信息安全接口岗等部门或岗位。而博士公司内部也没有人员来兼顾原本这些部门和岗位所应承担的职责。
(2)员工行为规范和安全意识博士公司在对其员工的日常管理中主要参照《博士公司员工手册》为管理依据,但“手册”中的细则并未涉及到如电子邮件使用规范、数据(信息)传输规范、数据(信息)存储规范这样的信息安全领域。由于信息安全不会给博士公司带来经济收益,大部分员工都认为不采取措施不一定会造成损失,因而也不愿意把时间和精力投入到信息安全保护上。博士公司本身也迫于业绩压力的影响和业务各项资源限制,未对员工展开定期的信息安全意识培训。
(3)人员复用出于人力资源成本的考虑,博士公司的员工通常身兼数职,人员复用的情况在各部门之中普遍存在,甚至会出现大量的第三方外包人员介入博士公司的核心业务,不可避免的接触到核心业务数据。无论是员工还是第三方外包人员,在于博士公司签订合同或协议时并未涉及到数据保密义务的条款。
4.5物理和环境安全
由于考虑到办公场地成本,博士公司在日常的办公场地中隔出一个区域作为数据中心。在对数据中心的调研工作过程中发现,作为博士公司的业务中枢,数据中心的27物理环境中无法满足BCP(业务持续性计划)要求,存在着几个重要的安全隐患:
(1)环境温度:
整个数据中心仅配有1台家用的1.5匹立式空调,由于数据中心内所存放的服务器大都对环境的温度和湿度有严格要求,在建立数据中心时一般会按照标准采用专用的精密空调。另外,若仅有的1台空调出现意外停止工作,容易造成环境温度升高(尤其在夏天)而导致的服务器当机,引发业务的中断。
(2)电力系统:
整个数据中心仅有20个平方左右,起初在设计时仅考虑到3个42U机柜的用电负荷,但目前设置了5个标准42U的机柜。增加的两个机柜直接由市电提供电力,并非按照机房用电标准采用UPS(不间断电源)来进行供电。若发生停电,采用市电的服务器会立即停止工作,甚至出现不稳定的电流而导致服务器硬件被损坏,短时间无法修复的情况。
(3)服务器管理:
由于数据中心实际的物理面积限制无法再架设机柜,有多台服务器因为没有机柜可以固定上架,临时堆放在数据中心的防静电地板上,容易造成损坏。机柜内的服务器也并未按照标准把服务器的IP地址、管理员、使用用途等信息采用标签的形式标注。
(4)网络跳线:
各机柜内以及各机柜之间的网络跳线凌乱,未按照数据中心机房的建设标准来进行规范的走线,每条网络跳线末端也未有明确的标识,出现故障时较难采取排障措施。
(5)备用线路:
整个博士公司的数据中心目前只有一条线路连接Internet,并没有考虑备用或应急线路,一旦此线路出现故障,博士公司整个业务系统对外的服务都将瘫痪。
除了上述提到的存在于数据中心的物理安全威胁外,掌握大量企业纸质材料(信息)的作业管理部和财务部的物理安全也存在较大的问题,其在办公物理位置的规划中并没有考虑到信息安全因素。非但办公室并没有设立门禁系统,任何博士公司的员工都可以随意进出,而且也并未设立专用的纸质文件归档室,目前的纸质文件和凭证随意堆放在办公区域的走廊中,也未安排专人进行定期核对和盘点。
4.6访问控制
博士公司目前无论在系统层面还是业务操作层面都未制定严格的访问控制机制,导致目前现状的原因为:
(1)信息系统层面:
博士公司各业务部门的办公网络之间并未采用逻辑隔离的方式,网络防火墙中也未采取基于VLAN分割原则而定义的访问控制策略,任何的电脑终端(包括本身不是博士公司员工的第三方外包服务人员)都可以毫无阻挡地连接数据中心用来存储业务数据的数据库服务器。另外,访问控制机制的不足也会扰乱各业务部门之间的数据流向,一旦发生信息安全事件时,由于无法准确追踪数据流,给排查工作造成障碍。
(2)业务操作层面:
各部门对于自身的人员与岗位职责划分并未按照访问控制机制做严格限定,在访谈过程中,几乎所有的部门成员在日常业务操作过程中都可以接触到整个部门的业务数据。各部门内并未对数据接触的对象按照安全等级进行明确的划分。
4.7业务连续性管理
博士公司目前的业务持续性计划较为简单和初级,具体原因也可分为信息系统层面和业务操作层面两个维度。
(1)信息系统层面:
博士公司的信息技术部门在应对业务出现中断时缺乏排障的能力和恢复能力,由于物理环境、访问控制、以及权限管理等方面存在不足,使得一旦系统出现无法运营的状态,运营和维护人员无法快速定位和解决问题。另一方面,信息技术部在对于业务持续性管理中所投入资源也比较有限,对于备份外联线路、服务器存储的高可用性配置、智能路由等保证BCP效果的系统健壮性设计存在缺陷。另外,对于可能造成业务中断的情况缺乏足够的应急预案和流程。
(2)业务操作层面:
由于博士目前的业务运营高度依赖于IT系统,各业务部门并未设立相应的线下业务流程。一旦IT系统遭受了黑客攻击或意外中断,无法短时间修复时,博士公司的业务将全面瘫痪。在于各业务部门负责人访谈的过程中,被访谈人几乎都表示业务持续性计划理应由IT部门考虑,业务部门并没有制定持续性计划的义务。
4.8通讯与操作管理
目前博士公司的并没有对生产环境中的操作终端进行严格管理,也没有制定出相应的操作程序和操作文档。由于IT运营维护团队的人员复用情况客观存在,使得职责界定变得相对模糊,容易产生疏忽和误操作系统的风险。
各业务终端在与实际的后台服务器进行交互数据时未经过加密处理,数据在使用明文传输时容易被黑客劫取,并且博士公司内部并没有定义严格的访问控制策略,一旦出现数据在传输过程中被劫取无从追查。
缺乏保护在业务过程中所输出的各种含有敏感信息的文档的措施,没有采用如数字证书、文件水印等加密等技术保证在传播的过程中被恶意截取而导致的敏感信息泄露。
博士公司的整个信息系统还没有一个统一的运维和监控管理平台,在日常的系统运行中倘若信息系统发生故障,目前大都是系统用户发现无法进行正常的业务操作而报障给运维人员,运维人员很难第一时间发现并采取补救措施从而降低对正常业务的影响。
4.9信息系统的获取开发和维护
博士公司的信息技术部门在系统的开发和维护方面的存在安全隐患,其原因主要归结于:
(1)原始的需求整理并未考虑到信息安全因素目前博士公司的应用系统在开发初期的需求整理过程中,并未考虑如身份验证机制,恶意代码的防范等系统在安全性方面的要求。
(2)无阶段性验收标准信息技术部大量雇佣了软件外包人员做系统底层的代码编写,系统从开发阶段到运行各阶段,并没有规范的验收标准和里程碑。虽然外包服务商提供了相应交付物和说明文档,但与需求说明书以及双方签署的软件开发合同中的定义存在较大差距。
(3)系统测试和试运行由于业务系统没有专用的测试和试运行环境,测试工作目前都是通过在开发人员或测试人员的本机中运行(PC机),为了满足测试要求,需要将生产环境中的业务数据导入到测试人员的本机中,无疑增加了业务数据泄露的可能性。并且这样的测试条件很可能新开发出来的系统未经过严格的测试或试运行就上线到生产系统,从而引发系统本身设计缺陷或代码错误而导致的整体的业务流瘫痪。另外,由于没有专职的软件测试人员,目前的测试工作大都由博士公司的开发人员或第三方软件开发供应商来承担测试任务,由于没有专门的测试人员来检查开发出来的产品质量,博士公司在软件品质保证方面基本处于缺失状态。
4.10信息安全事故管理
博士公司目前对于突发的信息安全事件没有体系化的管理机制,其主要表现在:
(1)缺乏标准的安全事故响应和调查制度在与博士公司信息安全负责人的访谈中了解到,目前博士公司并没有制定《信息安全事件处理规范》这样的标准流程文档,发生信息安全事件时也没有统一的事件上报流程。现有的情况是上报人不通过其直属上司直接将疑似信息安全事件上报到公司信息技术部负责人CIO处,上报人往往不能判断所上报事件是否属于信息安全事件,也无法在上报时为调查人员提供第一手的调查线索。另外,信息安全专员在调查疑似信息安全事件时没有规范的调查流程、方案和纪律,其调查过程和结果基本取决于调查人员的过往经验,由于没有正式的授权调查通知,时常会遇到被调查部门不配合调查的情况。
(2)基层员工上报信息安全事件意识在对于基层员工的调查问卷统计结果显示,有超过90%以上的基层员工对什么是信息安全事件,以及发生信息安全事件后应该向那些部门和岗位反映无从知晓,目前所统计的信息安全事件在企业的运营中很可能是“冰山一角”,有大量未被上报而实际发生的信息安全风险隐藏在员工的日常工作中,也不排除员工因害怕信息安全事件的追查结果会威胁到上报人或其他相关人员本身的利益(3)对外包人员疏于管理所有博士公司的员工和第三方外包服务人员都有责任和义务来上报信息安全事件和接受相关人员的调查,但实际的情况是外包人员并不属于博士公司直接管辖,在调查信息安全事件时,经常由于人员流动而无法明确外包服务人员的责任人,外包服务人员更不会主动上报信息安全事件。
(4)信息系统维护人员职责不清由于人员成本的问题,目前信息系统的开发与维护人员的职责并未严格划定清晰,运维和开发人员并没有形成两权分立相互制约的机制,导致同时都具有系统架构底层以及查看和操作生产数据的权限,以至于发生信息安全事件时,无法及时准确的找到运营以及快速的定位责任人。
(5)访问控制与信息防泄露目前博士公司的访问控制机制并不健全,只要有系统权限的人员可以自公司任何一台电脑或终端上访问公司的核心业务系统并且提取数据,再加上没有完善的系统留痕和审计措施,一旦发生数据外泄的事件,也基本无法把问题和原因定位在一个范围内,增加了排查的难度。
4.11符合性
博士公司本身属于国内公司,但与2011年登录纽约交易所,因此信息系统的设计、运行、使用、管理都要符合中美两国法律、法规的制约。由于监管方面的要求,目前关于信息系统的符合性管理的主要以塞班斯法案为纲领,由于合规内控部门的人员大都是为财务背景,且在人员岗位中并未设立专职的信息系统内部审计岗位,再加上相应的审计制度缺失,实际上目前博士公司对信息系统的管理未引入严格的内部审计机制,仅靠外部咨询方给予指导性意见。
免责声明:本文仅代表作者个人观点,与本网无关。
4.12防信息泄露
系统化的管理机制在企业的整个信息安全工作中是相当重要的,相较于传统的信息安全技术,系统化的信息安全管理机制则相对偏“软”。在实地走访博士公司CIO的过程中了解到,博士公司在对信息安全建设中还是以技术防范为主,存在重技术、轻管理的情况。目前在业务系统后端部署有防火墙系统、入侵检测设备、上网行为管理等信息安全设备,而在前端(各业务部门实际的操作终端)也引入了目前所流行的虚拟化技术、桌面终端监控机制和DLP(Dataleakageprevention)系统。由于博士公司相关人员缺乏应对信息泄露的机制和经验,即便拥有诸多信息安全设备,仅2013年上半年博士公司就有8起信息安全事件,其中将近一半的信息安全事件的调查至今都无法找到头绪。在已经查处的安全事件中,其中有一例是由于内部人员通过合法的途径绕开重重防护而将敏感信息传播到博士公司外部,竞争对手由于事先了解到了这些信息,在产品的设计和营销上做了专门的针对性部署,由于此次泄露事件,博士公司直接经济损失达1500万人名币,50多位名高净值客户流失。博士公司目前缺乏一套完整的信息安全管理机制来支撑公司的风险管理,信息安全工作无的放矢。
第5章博士公司基于ISO27001体系的信息安全管理改进方案
基于博士公司在信息安全领域目前所展现的问题以及其背后的原因分析,结合前期的业务访谈、调查问卷结果以及博士公司的整体发展战略,本文为解决博士公司目前所暴露的信息安全隐患制定了一系列改善的方案,具体如下:
5.1建立体系化的信息安全管理机制
目前博士公司缺乏一套体系化的信息安全管理框架为信息安全工作提供理论基础,信息安全体系建设也必须以它作为指导依据,从而达到公司对信息安全方面的期望和要求,降低信息安全事件(故)的数量以及对企业所造成的损害。信息安全建设的目的主要是保证企业的信息免收各种威胁、业务的可持续性以及内部控制和管理的合规性,其要求的高低是源于企业的整体战略,因此战略和业务的需求是建立信息安全管理框架的前提。在已经制定了信息安全方针,其具体化了公司战略对信息安全的要求,基本明确了信息安全的相关标准和基线,但还需制定一系列配套的流程和制度来进行落地实施。
ISO27001信息安全管理体系作为国际上公认的该领域最佳实践已经被广泛证明可以适用于各个行业的业务发展,作为没有监管机构提供信息安全指引的博士公司,其完全可以按照使用其方法论来构建一套适合于博士公司的信息安全管理体系。【1】
在整套体系中以企业整体风险管理体系、信息安全风险管理平台、信息安全意识管理为基线结合PDCA的原则,明确了这个体系建设中各阶段的主要任务和建设目标。
5.2完善企业信息安全组织结构
博士公司的信息安全组织架构涉及到整个企业的成员,从最高的董事会决策层到普通的基层员工,确保信息安全管理工作的执行能覆盖到组织中的每一个单元。制定信息安全组织构应重点考虑如下因素:
(1)信息安全组织构架有高层参与可提升信息安全工作在博士公司的地位和重要性。另外,信息安全委员会由CEO和CSO(首席安全官)牵头,无论在规划层面还是执行层面,有着权力支撑和相对较强的协调能力。
(2)把业务部门纳入到信息安全组织中可以解决信息安全执行小组和IT部难以使业务部门配合信息安全建设的问题。同时,让业务部门参与信息安全工作可以避免信息安全人员因为不了解业务而制定出无法适应业务需求和发展的可执行信息安全制度。
(3)信息安全工作中的业务人员应该有广泛的代表性和执行力,同时,其职能也应覆盖部门内所涉及的信息安全范围的业务,并有着丰富的实践经验,而且其在业务部门内必须具备一定的影响力,候选人通常为部门负责人或资深员工。
(4)结合博士公司期望的信息安全目标以及现有的情况设立信息安全组织构架。
组织构架的建立应满足信息安全要求又要经济的原则,既不能简单到形同虚设,而无法帮助信息安全工作,也不能过于繁琐,造成沟通成本的上升和各种资源的过分投入。
根据博士公司现有的企业组织架构特点建立的信息安全组织架构,如图5.2所示。
其明确了信息安全工作在企业中的处于的重要地位。首先,设立首席安全官(CSO)职位,负责博士公司日常信息安全团队的管理和运营,负责主持整个企业的信息安全工作。其次,成立了信息安全管理委员会负责博士公司信息安全工作的规划和方针制定,同时其成为风险控制委员会的一部分并由公司CEO和CSO领导直接向董事局汇报。另外,信息安全管理人员也不再隶属于IT部门,而是单独成立了信息安全管理和执行组并担任这两个小组的负责人,制定日常的信息安全管理制度并监督和审计各部门的实施情况,直接向公司CSO甚至CEO汇报。为信息安全人员在日常工作中提供了影响力和权利支撑。【2】
从上图中可以看到,信息安全管理委员会、信息安全管理小组、信息安全执行小组和各职能部门分别代表了决策、管理、执行和用户四个层面覆盖了整个博士公司的整个企业,为后续的信息安全措施和制度的执行打下了坚实的组织基础,同时也使得信息安全工作渗透到企业的每个角落。在信息安全工作领域建立了一套独立的人员组织架构,也彰显了公司管理层对信息安全的重视。
5.3识别各类信息资产重要等级进行分级保护
在对博士公司信息资产进行保护时,信息安全相关人员首先应该明确什么才是安全策略和制度所应该保护的对象,如果无法识别被保护的对象,那各种安全措施也就无从谈起。博士公司的信息资产具有多种表现形式,如数据、硬件、软件、人员、文档、服务等(具体说明见图5.3),各类信息资产中基本上都含有敏感的商业信息,其被破坏、丢失、泄露都会给博士公司造成巨大的影响。【3】
当前,博士公司对信息资产保护的工作重点应该落在信息资产识别和分类上。根据ISO27001信息安全管理体系对信息资产识别原则,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)这个三个指标,博士公司的日常业务情况,其信息资产目前可分为四个级别:
(1)绝密信息“绝密信息”是指那些在企业内部只有指定的很少部分人员知晓,并具有很高商业价值的,并且没有经过管理层授权使用或泄露会对博士公司名誉或利益甚至于公司的生存造成巨大影响的信息。(2)机密信息“机密信息”是指该信息公司外部以及竞争对手通常不知道的,具有一定商业价值的。并且未经公司内有关部门的授权的使用或泄露会对公司业务开展、日常运营或公司内部员工造成严重损害的信息。
(3)内部公开信息“内部公开信息”是指公司不能或无法对公众开放的信息,擅自使用或泄露会对公司或员工造成一定的负面影响。在其它信息级别中没有被定义的信息的默认为“内部公开信息”。
(4)外部公开信息“外部公开信息”是指公司已经在媒体或其他公开场合公布的信息,社会公众可以免费获取,且该信息的泄露不会给公司和员工造成危害。
根据信息资产的分类和分级原则,结合博士公司自身的业务经营模式,列举了典型信息资产分类结果,见下表:【4】
5.4加强员工安全意识培训
在信息安全建设过程中,风险点最不可控制的是人,同时人又是所有信息安全的工作的基础。在任何信息安全管理体系中,无论制度制定的多么完善,如果制度执行的主体不了解或不认同,再好的流程制度都无法得以落地。要想达到预期的目标和效果博士公司所有员工,上至董事会管理层,下至普通基层员工都应该充分认识到信息安全对公司的重要性,深入领会和遵守博士公司所制订的并颁布的安全策略、流程标准以及方针指导。
要想提高企业内部人员的信息安全意识,必须在日常的工作中加强对员工这方面的教育和培训。通过培训可以让公司的员工知道信息安全的重要性以及各种安全威胁给公司带来的危害和后果,这样的后果会影响到每一位员工的自身利益,从而使员工在意识上主动的遵守各项信息安全制度以及规避违反公司的信息安全制度而遭受的处罚,从人员意识层面上设立起一道主动的“防火墙”。
虽然信息安全培训是面向博士公司全员,但根据职位高低和工作性质不同,公司对员工的信息安全意识要求也会不同。按照对象的不同,博士公司信息安全意识培训方式可分为三种类型:
(1)面向管理层培训管理层对信息安全的认识和理解决定了博士公司对信息安全工作的期望和要求、具体的范围和内容、所能给予的最大资源和权利以及信息安全工作在整个公司发展过程中的地位和重要性。由于对象的层次较高,培训内容可更偏重于宏观,如信息安全知识体系、公司的风险管理、资源需求、企业信息安全政策、绩效评估等。目的在于使管理层在培训过程中认识到信息安全的重要性及所涉及人员的任职资格和角色定义。另外,了解ISO27001信息安全管理体系可方便管理层督促、规划信息安全工作,识别信息安全风险和提高博士公司的抗风险能力,也可让管理层把信息安全作为年终的绩效考核与每一位员工的利益挂钩。
(2)面向信息技术人员培训信息技术人员在日常工作中主要负责用于公司业务运作的各类信息系统管理、维护以及监控。除了掌握基础的信息安全意识之外,还需偏重于不断学习信息安全防范技术以及新型信息安全产品的使用,如系统安全、网络安全、访问控制技术、身份认证技术以及识别信息系统中的安全风险。目的在于让信息技术人员掌握最先进的信息安全技术和产品,可以根据不断变化的业务安全需求从技术层面提出相应的解决方案以及在日常工作中能够第一时间识别信息技术系统中所存在的安全隐患并加以控制和消除。
(3)面向普通员工培训普通员工是信息安全建设工作的最基层,负责具体制度和流程上的操作和处理。
他们的信息安全意识的高低决定了信息安全流程和制度能否得到正确的得到执行并直接决定执行的效果。其培训重点主要集中日常工作中的角色和责任以及对相应的政策和程序的学习。其目的在于让普通员工了解什么是信息安全,其对自身和公司的关系,博士公司有哪些程序和政策需要遵守,使员工明白该做什么不该做什么。
在日常的信息安全培训过程中,信息安全意识和理论类的培训可以通过定期举办的信息安全讲座,公司内部的期刊文物,内部网站和标语等形式进行,而实践操作类的培训则可以采取演讲演示、案例研究和实际操作的方式。
博士公司的信息安全培训不应该是一个短期的工作,公司的培训部门需要制定相应的培训计划,定期调整和更新信息安全教育和培训的内容,保证培训内容的时效性和有效性,以适应不断变化的内外部威胁。员工的信息安全意识容易随着时间的推移而淡忘,培训部门在制定培训计划和内容是需要充分考虑到培训效果。对于那些违反了公司信息安全相关规章制度的员工,除了按照章程进行处罚外,还需要再次接受信息安全方面的培训,经考核合格后方能上岗。
5.5规范外包人员管理
由于博士公司的日常业务需要大量第三方外包人员(原则上是指没有直接与博士公司签订劳动合同或协议的人员)的介入,这些外包人员掌握了博士公司大量的业务数据,在制定信息安全策略和制度时,不能忽略对外包人员的管理。
(1)访问控制管理各部门应为驻场第三方外包人员的提供制定固定的办公地点和区域并配带准入标识,如确实因工作安排需要访问数据中心、档案室、财务室等敏感区域时,访问前必须经过相应接口人或部门领导的审批,批准后由专人全程陪同或监督,并登记备案。
临时来访第三方外包人员需在内部联络人员的陪同下以约定的方式进行访问,原则上不允许进入数据中心、档案室、财务室等敏感区域。
驻场人员的办公网络应与博士公司内部网络进行隔离,第三方驻场服务人员如需访问博士公司的内部系统时,单独为其开启访问内部系统的安全策略且必须进行单独的帐号认证,此帐号的命名规则应和公司内部人员的帐号存在明显区分,在访问过程中需进行日志记录,如临时人员需要访问公司内部系统需经过相应审批后才能开启访问策略和帐号,且在离开后及时关闭和删除。
(2)办公设备管理第三方人员在日常办公中不允许使用移动设备办公,所有的办公设备都必须由博士公司信息技术部所提供。原则上外包商不得直接操作博士公司核心业务设备(如核心服务器、数据库、交易终端等),未经首席安全官的许可不允许使用任何方式(U盘、光盘刻录、打印、手工记录等)带走任何与博士公司相关的数据。
(3)服务提供商管理在外包服务商所签订的服务合同中必须明确服务内容和要求,且在签订服务协议前需评估其所引发的信息安全风险,并评定其是否有足够的服务能力。外包服务人员入场前,应接受博士公司信息安全培训,确保能够让其理解信息安全职责和应履行的业务。在服务过程中,各部门应与外包服务机构制定应急预案与《外部联络清单》,确保在发生突发事件时能够将各项业务所遭受的影响降至最低,为了约束外包人员所掌握的业务数据的使用还需与服务商签订相关的保密及法律协议并制定考核计划。
5.6明确各类人员的职责并设定严格的访问控制机制
博士公司信息安全水平的提高不能依靠几个部门和人员,而是需要整个公司的共同努力,每个人在博士公司的信息安全体系中都应有相应的职责:
(1)管理层在博士公司企业信息安全方针中明确定义了公司管理层的职责。CEO最高领导人,对所发生的信息安全事件所造成的后果负最终责任,同时负责批准建立博士公司的信息安全管理组织架构,管理构架、安全方针、流程制度以及提供和协调相应资源来完成和达到信息安全建设目标.
(2)各业务部门负责人博士公司各业务部门负责人对其所管辖的业务和部门的信息安全所造成的后果负最终责任。其必须明确定义其部门内部的管理边界及范围、资产情况、信息分级、系统和数据访问的权限并提供必要的资源以及支持信息安全相关人员进行信息安全建设。
(3)信息安全管理委员会信息安全管理委员会是博士公司信息安全相关领域的最高决策机构,成员人选应由各个部门中熟悉业务的资深人员组成,同时要求所有成员能够从其本身部门以及整个公司层面的角度看待信息安全问题。委员会应由CEO挂帅,就博士公司内部关于信息安全战略问题做出决策,评审和审批相关策略、职责、制度流程的颁布,监督博士公司整体的信息安全状况以及协调各种信息和所需要的资源。
(4)首席安全官首席安全官应具备扎实的信息安全技术背景,同时还要有丰富的信息安全管理经验,同时熟悉和深入了解国内外的信息安全相关行业标准以和法律法规。首席安全官负责给信息安全管理委员会提供专业的技术和管理方案,也是各项安全策略、方针和各项信息安全流程制度的制定或修订者。首席安全官负责整个博士公司信息安全工作,其隶属于公司最高管理层,汇报对象为CEO和信息安全管理委员会。
(5)内部审计员为了确保审计结果的独立客观和公正性,信息安全内部审计人员不应该隶属于CIO或CSO条线下,建议其应归于承担公司整体风险控制的CFO下信息安全审计员应该熟悉各种国际上通用的审计标准和要求(如塞班斯法案、COBIT标准)和相应审计方法。内部审计人员还需对信息安全标准体系有相应了解,负责按照事先制定的安全基线对整个博士公司信息安全管理合规性、有效性、和适用性进行独立的内部审计,检查各项制度是否有效的执行并找到未先前未被发现的问题和风险,最终形成审计报告提交到信息安全管理委员会,为下一个阶段的PDCA循环的提供第一手的资料。
(6)各业务部门信息安全接口各业务部门的信息安全接口人通常为资深员工或部门负责人,其主要的任务是配合信息安全相关工作人员来协调部门内各项资源来支持信息安全建设,并监督部门内的人员是否违反了公司的信息安全相关流程和制度。
5.7制定业务持续性计划
博士公司在日常的运营中为了防止由于各种问题而导致的业务中断,确保关键业务不受故障的影响,必须制定完善的业务持续性计划(BCP)并定期实战演练。信息安全作为整体业务持续性计划的一部分,需关注并采取相应的措施来减少安全风险并限制故障或灾性事件难所带来的实际后果。
免责声明:本文仅代表作者个人观点,与本网无关。
(1)信息系统层面对于业务持续性计划的建设上博士公司的信息系统有较大的提升空间。包括增加互联网外联线路实现线路冗余避免由于运营商或线路质量的问题而导致的业务终端,建立完善的本地备份和异地备份机制保证信息系统出现故障时能够及时切换并恢复业务系统,关键服务器采用HA(Highavailability)技术加强系统的健壮性等。同时信息技术部也需要制定相应的应急预案和流程来应对突发的故障和灾难性事件。
(2)业务操作层面各业务部门也需制定信息系统故障时的BCP,包括对线下原始文件、凭证、单据定期进行归档和整理,在发生信息系统故障时,由专人负责提供这些纸质文件,业务部门凭借这些单据和文件通过纯手工的方式保证博士业务的进行。
5.8引入内部审计机制
实践证明信息安全内部审计已经成为检查企业信息安全问题的重要手段,也可同时覆盖到信息系统运维,企业内部治理、企业整体安全风险控制等相关领域。结合塞班斯法案的每季度的外部审计要求,博士公司应执行不低于每季度一次的内部审计工作,根据塞班斯法案以及COBIT相关标准为依据,通过内部审计工作来发现博士公司信息安全工作中所暴露出来的问题。这些问题在第二次PDCA循环中应重点考虑并给予解决,这样才能是整个博士公司的信息安全水平得以改善。信息安全审计的依据。
5.9建立PDCA有效循环机制,不断完善企业信息安全体系
随着博士公司业务和经营模式的发展,保证企业信息安全的各类技术和管理机制也应做相应完善。ISO27001为解决这一问题提供了PDCA循环模型,其实质在于通过不断的改进和完善,用于建立一套可自身学习并可持续改善以及不断完善的企业信息安全管理体系。
(1)规划阶段(Plan)博士公司虽然已经制定了企业信息安全方针,但并未正式的颁布,应与之配套各项执行标准、管控过程以及相关规程也未落实到位。因此,博士公司信息安全建设工作近阶段的首要认为是制定一个年度信息安全改善和符合计划来实现PDCA中的规划阶段。①改善计划按照信息安全管理方针,博士公司的每个部门在年末必须提交下一年度的年度信息安全改善计划,以制度的方式把PDCA中的规划阶段落实到整个博士公司,成为整个企业管理框架的一部分。改善计划的内容可以是员工在日常工作以及内部审计中所发现的信息安全问题以及相应解决方案,也可以是为了确保或防范可能出现的信息安全问题而制定的符合性计划。②符合计划由于博士公司的业务在不断的发展,所产生信息安全的风险也随之变化,对于博士公司而言没有也一成不变的信息安全要求,同时配套的符合性工作如果没有随之改善将无法控制和预防信息安全风险。因此符合性计划必须跟随根据业务发展中所产生的新的信息安全需求做调整,其内容可以包含在年度信息安全改善计划中。另外信息安全符合性计划可以计入企业各部门的KPI,与绩效挂钩实行统一考核,并接受博士公司管理层的监督。
(2)实施和运行阶段(Do)按照规划阶段制定的计划落实执行行动方案。如建立信息安全整体管理和风险控制框架、明确整个信息安全建设中所涉及各层级部门的管理职责、加强员工的信息安全意识培训、确保各业务系统安全稳定的运行、细化程序以及访问控制措施、在全员范围内实行信息安全绩效考核机制、加强对突发信息安全事件的管理以及预防可见的信息威胁等等。实施和运行的情况应在定期举行的信息安全委员会中讨论和审视。
(3)审计和检查(Check)进行内部信息安全审计,依据博士公司信息安全方正策略中所确定的管理范围、管理标准和安全基线,监督和审查各项保证措施的实施,评估各类安全控制措施是否适应博士公司的业务发展需要以及是否达到预期设定的目标,并向组织内信息安全最高决策机构信息安全管理委员会通报审核结果。
(4)保持和改进阶段(Action)对于在内部审计和检查阶段(Check)中所暴露出的问题,采取相应的应对和改善措施来提高现有的信息安全控制水平,并形成规范和标准的过程文档记录来防止先前已经产生的问题再次发生。对于目前出于各种资源和政策限制未能解决的问题,也应形成相应的文档并提交至信息安全委员会,以便在进入下一个PDCA循环(信息安全管理周期)作为待解决问题讨论。使得博士公司的信息安全水平以一个螺旋状的方式上升。
(5)定期信息安全状况回顾博士公司各部门应形成定期的信息安全报告和会议制度。各业务部门应每月提交业务部门的月度信息安全状况报告,信息技术小组应每月提交信息安全技术研究报告信息安全专员每月应提交博士公司总体的信息安全评估报告,每季度召开信息安全委员会,回顾和检阅各业务部门信息安全状况报告、信息安全技术研究报告、整体信息安全评估报告。
第6章结论和展望
6.1结论
博士公司通过引入ISO27001信息安全管理体系以及采取了上文中所阐述的解决方案很大程度上提高了公司的信息安全水平,目前信息安全工作已经被纳入企业未来发展的战略中,以下是本次诊断所得出的一些主要结论供同行业企业借鉴。
(1)建立一套逻辑清晰并且适合于企业的信息安全管理框架是开展企业信息安全建设工作的前提,在建立过程中必须以企业的战略和业务目标为指导要求,把信息安全的相关标准层层渗透到企业管理的各个层面,务必使信息安全功能工作从企业的战略管理到执行落地一致统一。
(2)搭建一套实用且经济的信息安全组织构架可以有力的支撑企业的信息安全管理框架。把信息安全要求纳入全员的KPI考核指标可以提升信息安全制度执行力,解决信息安全相关制度和流程执行无法及时有效得到落实的问题。
(3)任何管理制度的建设和执行都离不开人,其在信息安全建设中起着举足轻重的作用。加强人员的信息安全意识教育,可以让企业有效的防范未知的风险,在信息安全威胁面前建立起第一道“防火墙”
(4)由于企业的内部和外部风险在不断的变化,信息安全建设工作需要不断持续有效的改进才能使企业高枕无忧。
6.2展望
管理信息的目标是为了更好的使用信息,而不是更多的限制信息。信息安全工作从最初的黑客入侵、病毒防范,到现在的数据防泄漏保护。企业采取了各种措施来防止数据泄漏,有些甚至非常极端,如内外网隔离,USB封锁,Internet封锁,甚至给计算机主机机箱加锁等等,这些安全措施降低了IT技术为企业带来的便利与高效,在信息安全建设过程中不可避免的与业务效率造成矛盾。如何既作到信息开放,同时又能保护企业的信息资产,做好信息安全与业务效率之间平衡,目前在业界中对此类研究的相关的理论和研究成果较少,需要在实际工作中总结相关经验。
参考文献
中文文献
[1]陈嘉辉.A企业信息安全管理的研究与改善[D].兰州:兰州大学,2011.
[2]陈旭群.X银行企业架构管理研究与实践[D].厦门:厦门大学,2009.
[3]陈婉玲,杨文杰.ISACA信息系统审计准则及其启示[J].审计研究,2006,(S1):108-112.
[4]陈慧勤.企业信息安全风险管理的框架研究[D].上海:同济大学,2006.
[5]陈光.信息系统信息安全风险管理方法研究[D].长沙:国防科学技术大学,2006.
[6]陈恒.基于业务流程的信息安全风险评估方法研究[D].西安:陕西师范大学,2012.
[7]春增军.基于ISO27001的企业信息安全保障体系的构建设想[J].情报杂志,2009,28(5):155-158,162.
[8]杜国栋.企业内部控制及风险管理解析[J].经济研究迂刊,2010,(2):154-155.
[9]黄水清,朱晓欢.基于ISO27001的数字图书馆信息资产风险评估[J].2006,50(11):81,82,120.
[10]胡灵娟.大型数据中心ISO27001信息安全管理体系贯标认证实践[J].中国金融电脑,2012,(5):33-37.
[11]李韬.浅谈IT审计和SOX审计[EB/OL].北京:CIO时代网,2008[2013-06-18].
[12]刘霞.基于ISO27001的信息安全管理体系规划[J].电脑知识与技术,2010,6(10):2337-2339.
[13]陆预林.如何进行企业信息安全目标管理设定[J].企业科技与发展,2010,(14):187-189.
[14]吕玉伟.遵循SOX法案中的IT系统和IT审计[J].中国内部审计,2008,(5):24-26.
[15]孙建庆.信息系统运维综合监管平台设计[J].ELECTRICPOWERIT,2009,7(3):87-90.
[16]徐黎源.基于ISO_IEC27001体系的中小企业信息安全管理机制研究[D].宁t波:宁波大学,2009.
[17]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济,2010,20(25):109-111.
[18]王玫.建设银行信息安全管理体系建设研究[D].济南:山东大学,2008.
[19]闫兵.企业信息安全概述及防范[J].科技咨询,2010,(4):154-156.
[20]杨庆广.人、技术、管理有机结合保障信息安全[N].中国电子报,2006,8:A04.
[21]杨辉.运用PDCA循环法完善信息安全管理体系[J].中国公共安全:学术版,2006,(2):78-81.
[22]张定松.商业银行基于ITIL的运维管理和实施规划研究[D].北京:首都经济贸易大学,2009.
[23]张少林,陈帮慧.建立整体安全架构,保障企业信息安全[J].中国公共安全:学术版,2009,16(3):94-98.
[24]朱璇.基于IOS27001的信息安全管理体系的研究和实现[D].上海:交通大学,2009.
[25]中国信息安全产品测评认证中心.信息安全理论与技术[M].人民邮电出版社,2003.
英文文献
[1]ISASA.Cobit5.0[S].USA,2012.
[2]ISO/IEC.ISO27001[S].UK,2005.
[3]ISO/IEC.ISO27002[S].UK,2005.
免责声明:本文仅代表作者个人观点,与本网无关。
本文关键词:信息系统信息安全风险管理方法研究,由笔耕文化传播整理发布。
本文编号:249788
本文链接:https://www.wllwen.com/guanlilunwen/sjfx/249788.html
