建設的第壹步是確定信息安全管理體系建設的具體目標。信息安全管理體系建設是組織在整體或特定範圍內建立信息安全方針和目標,以及為完成這些目標所采用的方法的體系。它包括信息安全組織和策略體系兩部分,通過信息安全治理實現具體的建設目標。信息安全組織體系:指為實現信息安全的方針和目標而在組織內部形成的特定組織結構,包括決策、管理、執行和監督機構四個部分。信息安全政策體系:指信息安全的總體政策框架和規範以及信息安全管理的規範、流程和制度的總和。策略體系自上而下分為三個層次:
壹級戰略總體規劃是本集團組織內信息安全的基本制度,組織內任何部門和人員不得違反,闡述了信息安全工作的總體要求。第二層技術指南和管理規定遵循總體策略原則,結合具體部門、應用和實際情況,制定更專業的要求、方法和技術手段。包括以下兩部分:技術指南:從技術角度提出需求和方法;管理規定:以組織管理為重點,明確職責和要求,提供考核依據。第三層的操作手冊、工作規則和實施流程遵循總體戰略、技術指導和管理規定的原則,結合工作實際,根據具體制度細化第二層的技術指導和管理規定,形成能夠指導和規範具體工作的操作手冊和工作流程,確保安全工作的制度化和常規化。建設的第二步是確定合適的信息安全建設方法。在信息安全建設中多年積累的信息安全體系建設方法論也叫“1-5-4-3-4”。即利用1基礎理論,參考5個標準,圍繞4個系統形成三道防線,最終達到4個目標。壹、風險管理的基本理論信息系統風險管理的方法論是建立統壹的安全體系,建立有效的應用控制機制,實現應用系統和安全系統的全面集成,形成完整的信息系統過程控制體系,確保信息系統的效率和有效性。第二,遵循五個相關的國內和國際標準。在建立信息安全保障體系的過程中,我們完全遵循相關的國內外標準:ISO 27001標準、分級保護、等級保護、IT流程控制管理(COBIT)、IT流程和服務管理(ITIL/ISO20000)。第三,建立四大信息安全保障體系:建立信息安全決策、管理、實施和監督機構,明確各個層級。信息安全管理保障體系:是信息安全組織、運行和技術體系規範化、制度化後形成的壹套關於信息安全的管理規定。信息安全技術保障體系:綜合運用各種成熟的信息安全技術和產品,實現身份認證、訪問控制、數據完整性、數據機密性、抗抵賴性等不同層次的安全功能。信息安全運維保障體系:在信息安全管理體系的規範和指導下,通過安全運行管理,規範運行管理、安全監控、事件處理、變更管理等流程,及時、準確、快速地處理安全問題,確保業務平臺系統和應用系統穩定可靠運行。四、第壹道防線:由管理體系、組織體系、技術保障體系組成完整的安全管理體系和基礎安全設施,提前形成安全苗頭的第壹道防線,為企業運營安全打下良好基礎。第二道防線:技術體系和運維體系構成控制事物的第二道防線。通過周密的生產調度、安全運維管理、安全監控預警,及時消除安全隱患,確保業務系統持續可靠運行。第三道防線:技術系統構成了事後控制的第三道防線。針對各種突發災難,對重要信息系統建立災難恢復系統,並定期進行應急演練,形成快速響應和快速恢復的機制,將災難造成的損失降低到組織可以接受的程度。五、四大安全目標:保護政府或企業業務數據和信息的機密性、完整性和可用性。系統安全:確保政府或企業網絡系統、主機操作系統、中間件系統、數據庫系統、應用系統的安全。物理安全:保證業務和管理信息系統相關的環境安全、設備安全、存儲介質安全的需求。運行安全:確保業務和管理信息系統的各類運行、日常監控、變更和維護符合規範運行的要求,確保系統穩定可靠運行。第三步是建立現狀調查和風險評估的完整流程。在現狀調查階段,要充分了解政府或企業的實際情況,如組織結構、業務環境、信息系統流程等。只有了解政府或企業的組織結構和性質,才能確定組織的信息安全體系所遵循的標準。此外,我們必須充分了解政府或企業的文化,以確保管理體系和相關文化的融合,以便於後期的推廣,宣傳和實施。在調查中采用“假設為導向,事實為基礎”的方法,假設政府或企業滿足相關標準的所有控制要求,然後通過人工訪談、問卷調查等多種方式和手段收集信息,證明或證偽組織的控制措施滿足標準的所有要求,然後在此基礎上通過比較現狀與標準的要求進行差距分析。在風險評估階段,首先,信息系統的風險評估涉及資產、威脅、漏洞等基本要素。每個要素都有自己的屬性,資產的屬性就是資產價值;威脅的屬性可以是威脅主體、受影響對象、發生頻率、動機等。脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容是:識別資產,分配資產價值;識別威脅,描述它們的屬性,並為威脅的頻率賦值;識別資產的脆弱性,並為特定資產的脆弱性的嚴重性賦值;根據威脅和威脅利用弱點的難易程度判斷安全事件發生的可能性;根據漏洞的嚴重程度和受安全事件影響的資產價值計算安全事件的損失;根據安全事件發生的可能性和安全事件造成的損失,計算安全事件對組織的影響,即風險值。其次,對信息系統過程進行風險評估。根據國際知名咨詢公司Gartner的調查結果以及我們在實踐中的證實,減少信息系統故障的最有效方法之壹就是進行有效的流程管理。因此,需要在確保“靜態資產”安全的基礎上,有效管理IT相關的業務流程,以保護業務流程等“動態資產”的安全。第四步是設計和建立信息安全保障體系的總體框架。在充分調研現狀、風險分析和評估的基礎上,建立本組織信息安全保障體系的總體框架,全面覆蓋本組織信息安全政策、戰略、框架、規劃、實施、檢查和改進的各個方面,為未來3-5年的信息安全建設提出明確的安全目標和規範。信息安全體系框架設計需要在整合現狀調查、風險評估、組織架構和信息安全總體規劃後,綜合考慮風險管理、監管機構法律法規和相關國內外標準的合規性。為了保證信息安全建設目標的實現,衍生出組織未來的信息安全任務,信息安全保障體系總體框架設計文件(壹級文件)將包括:信息安全保障體系總體框架設計報告;信息安全系統建設規劃報告;根據信息安全系統模型,信息安全系統將從安全組織、安全管理、安全技術和安全運維四個方面進行開發。對四個方面進行進壹步的分解和細化規定,就會得到整個政府部門或企業的信息安全保障體系的二級文件。具體二級文檔包括:信息安全組織體系:組織架構、角色職責、教育培訓、合作與溝通;信息安全管理系統:信息資產管理;人力資源安全;物理和環境安全;溝通和運營管理;訪問控制;信息系統的獲取和維護;業務連續性管理;符合性;信息安全技術體系:物理層、網絡層、系統層、應用層、終端層的技術規範;信息安全運維體系:日常運維層面的相關工作方法、流程和管理。包括:事件管理、問題管理、配置管理、變更管理、發布管理和服務臺。建設的第五步是設計和建立信息安全保障體系的組織架構。信息安全組織體系是信息安全管理的保障,以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。根據組織信息安全的總體框架和實際情況,確定組織信息安全管理的組織結構。信息安全的組織結構:將負責信息安全決策、管理、實施和監控的各個部門進行結構化和系統化的結果。?信息安全角色和職責:主要定義、劃分和明確信息安全組織中的個人在信息安全工作中所扮演的角色。?安全教育培訓:主要包括安全意識和認知要求、安全技能培訓和安全專業教育。?合作與溝通:與上級監管部門、同級兄弟、內部單位、供應商、安防行業專家等各方的溝通與合作?第六步,設計建立信息安全保障體系管理系統。根據總體信息安全框架設計,結合風險評估的結果和本機構信息系統建設的實際情況,參照相關標準建立信息安全管理體系的三級和四級文件,包括:資產管理:信息系統敏感性分類和識別的實施規範和相應表格,信息系統分類控制的實際規範和相應表格?人力資源安全:內部員工信息安全代碼、第三方人事安全管理代碼及相應表格、保密協議?物理及環境安全:物理安全區域劃分及標識規範及相應表格,機房安全管理規範及相應表格,門禁系統安全管理規範及相應表格?訪問控制:用戶訪問管理規範及相應表單、網絡訪問控制規範及相應表單、操作系統訪問控制規範及相應表單、應用及信息訪問規範;通信與運營管理:網絡安全管理規範及相應表格,in;信息系統采購和維護:信息安全項目管理規範和條例;業務連續性管理:業務連續性管理流程規範及相應表格;合規性:行業適用法律法規、跟蹤管理規範及相應表格?;最後,必須形成壹個整體的信息安全管理體系,該體系必須符合整個集團的要求;操作系統訪問控制規範和相應的表格,應用和信息訪問規範和相應的表格,移動計算和遠程訪問規範和相應的表格?通信與運營管理:網絡安全管理規範及相應表格,互聯網服務使用安全管理規範及相應表格,惡意代碼防範規範,存儲與移動媒體安全管理規範及相應表格?信息系統獲取與維護:信息安全項目立項管理規範及相應表格,軟件安全開發管理規範及相應表格,軟件系統漏洞管理規範及相應表格?業務連續性管理:業務連續性管理流程規範及對應表格,業務影響分析規範及對應表格?合規性:行業適用法律法規、跟蹤管理規範及相應表格?為了形成壹個整體的信息安全管理體系,需要符合整個組織的戰略目標、願景、組織文化和實際情況,並進行相應的整合。在整個實施過程中,要進行全程貫穿式培訓,將整體信息安全體系建設的意義傳遞到組織的每個角落,提高整體信息安全意識。只有把這幾個方面結合起來,建設才能更有成效。