資訊存在的形式有很多種,有儲存在電腦上的,在網路上傳播的,印刷或寫在紙上的,口頭交流的。資訊載體包括資料檔案、紙張檔、資料庫、膠片、磁片、磁帶、磁片、談話筆錄等所有含有知識和資訊的載體。為保證資訊安全,必須對各種形式的資訊進行適當保護。企業進行安全目標設定後,才能有效實施資訊安全性原則,確保業務的連續性,減少因為資訊安全事故影響而造成的業務損失。
一般來說,在企業資訊安全工作中,由管理層全面履行資訊安全的管理職責,雇員落實企業確立的資訊安全制度和責任,資訊部門根據企業制定的資訊安全性原則逐步實施、完善安全架構和安全管理,同時加強協力廠商合同的安全條件。這些方面缺一不可,而只有這樣才能有效地實現企業的資訊安全管理目標。
在企業中,負責資訊安全管理的管理層對資訊安全目標的要求,決定了企業的資訊安全工作的走向;而資訊部門對資訊系統的設置和維護情況也決定一個企業是否能達到資訊安全管理的目標。以下就這2 個方面談一談企業如何設定資訊安全目標,如何比較全面地設定資訊安全機制,保證資訊系統穩定、高效地運行。
1、管理層對資訊安全的管理職責和目標
1.1 管理層具有推動資訊安全運行的管理責任
管理層首先要建立、健全資訊安全的組織機構,建立資訊安全構架,並且在組織中建立推行資訊安全的管理機構。其次,需要保證協力廠商合同的安全性,定義協力廠商訪問資訊系統的安全級別,並且特別要控制協力廠商合同中關於訪問內部資訊系統的資訊安全條款。
1.2 管理層有必要對資訊系統進行分類
對資訊系統進行分類有利於資訊安全措施的實施和企業資產的保護。這種分類使得企業能夠調整合適的資源、財力、物力對重要的資訊資源和系統進行重點保護。過多的保護不僅浪費資源,對企業的正常運行產生不良影響;而保護不力,更可能導致企業資訊資料和系統產生重大安全隱患。根據分類,管理層對企業最重要的資訊資源和系統,應指定相應管理者,並要求登記在冊,而對主要資訊系統還需要指定擁有者和管理者,這樣才能對資訊系統分級保護,做到有效、有序保護。企業通過安全需求調查後,應根據資料的機密性、完整性、可用性對所有資訊系統進行基本安全等級分類,且根據表1 確定資訊安全保護的需求和優先順序。
表1 資訊系統分類
1.3 管理層有義務管理企業員工的個人資訊安全
管理層必須指導、普及員工關於資訊安全和資訊安全威脅的知識和意識,降低有意和無意人為風險;確保所有員工理解資訊安全責任;確保所有員工(包括臨時員工) 都簽訂保密協定,以此作為雇傭的必要條件;建立必要的紀律程式,對有意或無意違反企業資訊安全性原則的員工進行處罰。
1.4 管理層對存取控制的管理
管理層對存取控制的管理可以防止非授權訪問資訊系統,保證企業資訊一定程度的機密性、完整性和可用性。管理層要確保完善可行的資訊安全措施和程式必須包含以下元素:角色和責任———誰去做什麼;授權———誰授權誰去做什麼;存取控制———控制以上元素的程式檔。
1.5 業務連續性的管理
管理層應制訂業務連續性計畫,保證在主要資訊系統發生故障或非預期災難發生時快速反應,保持關鍵業務的連續性;保證災難發生時,有相應的應對措施儘量減少對業務工作的影響;保證資料和系統的恢復,至少保證企業重要資訊系統能在低級模式下進行業務運作。
1.6 守法
作為管理層人員,應學習、遵循有關政策和相關資訊安全要求,保證遵守資訊安全法律法規相關要求;遵守法律規定,進行版權保護,不得非法拷貝和使用軟體和版權產品;保護重要文檔以防丟失、破壞和篡改;確定資訊系統中資料和文檔的保存期限;確定資訊存取時間;保證個人資料的保密;對資訊系統、資訊安全規則進行定期檢查;進行系統審計,計畫並實施資訊環境審計,保證組織及責任清晰明確;出現資訊事故和疑似資訊事故時及時通過正確管道進行報告。
2、資訊安全部門的管理責任
2.1 保證設備和環境安全
2.1.1 保證地點安全
資訊安全部門應保證支撐關鍵業務活動和存貯敏感業務
資訊的設備存放在安全區域,至少以下區域(機房、機櫃、檔案室、機要室) 應具有嚴格的准入制度,這些區域要求具有訪
問安全控制;要保證函件收發室和無人值守的傳真機的安全。
2.1.2 保證設備安全
資訊安全部門應儘量選擇外界風險較小的地點安裝資訊設備;電腦設備應具備物理保護,並裝置防盜鎖,設置密碼或其他安全措施;應列出最重要的設備,防止設備斷電;線路佈置應符合當地健康和安全規定,並保證不涉及員工安全,便於檢查和維護;編制設備維護流程,維護服務合同(支援合同);授權維護人員接觸資訊設備;建立流程控制資訊和清除資料(比如硬碟資料),確保廢舊設備報廢時資料和軟體完全被清除。
2.2 資訊安全部門的溝通工作
資訊安全部門的工作程式和職責應遵循企業關於資訊資源和資訊架構管理的相關政策和要求;需要建立關於資訊架構容量、性能和變化管理的運作程式和職責;還必須建立完整的病毒保護更新機制;建立電腦病毒和惡意軟體的報告和清除程式;建立伺服器和用戶端病毒、惡意軟體防護定期更新策略,提醒用戶“預防重於補救”等一系列程式和措施。另外,網路安全的管理、局域網接入全球網的存取機制、資料介質的安全管理和保密、關鍵業務資料和軟體的定期備份、防止破壞和生產業務中斷等也是資訊安全管理部門的重要工作。
2.3 資訊管理部門對存取控制的管理
2.3.1 用戶訪問管理
通過對使用者、帳號、許可權、鑒別方式、認證方式的管理來實現對資訊系統訪問的有效控制,並保證存取權限的即時更新。
2.3.2 網路存取控制
採用適當的互聯網接入方式;所有的互聯網接入均要求有防火牆保護;要求所有的互聯網防火牆對資訊網路團隊開放讀許可權,裝有加強作業系統;所有的互聯網伺服器均設有防火牆和加強作業系統,並定期對所有軟體進行安全補丁更新;所有與協力廠商(客戶、合作夥伴、供應商、轉包商) 的專用連接均需設置防火牆,防火牆僅允許訪問必要資訊;互聯網VPN 解決方案僅在專線不能連通時使用,且必須由網路團隊專設,所有的通信均須加密;資訊軟體和硬體供應商需要通過撥號接入進行遠端服務的,工作結束時必須馬上斷開,並且這種接入須經管理層批准,有日誌檔進行活動記錄;無線網路作為互聯網接入新技術,使用時必須經過資訊風險經理和公司管理層的批准,至少需認證和加密;網路安全團隊和企業定期對互聯網接入和撥號網路進行審計。
2.3.3 電腦和應用軟體存取控制
強制使用強有力密碼,限制不成功登錄次數;所有的筆記本均設有硬體密碼保護,對涉及機密和敏感性資料的資訊要進行硬碟加密;應用軟體擁有者應按照資訊系統分類表確定軟體的安全級別。
2.3.4 監控軟體系統的訪問和使用
系統訪問監控符合業務工作需要,監控頻率和級別也應與資訊系統分類一致。
2.4 資訊安全部門對系統開發與維護的管理
資訊安全部門對系統開發和維護的管理工作主要是根據系統和軟體安全需求,根據新資訊系統對資料的保密性、完整性、可得性需求,建立安全管理制度,建立用戶認證標準;保證開發和支撐環境的安全,同時建立系統開發活動、作業系統和軟體變更安全規則。
沒有留言:
張貼留言