党的十七大提出了“工业化、信息化、城镇化、市场化和国际化”的“五化并举”,以及“信息化和工业化”的“两化融合”2大课题,国务院国资委国信办在《关于加强中央企业信息化建设的指导意见》中指出到2010年要基本实现中央企业信息化向整个企业集成、共享、协同的转变,建成集团统一集成的信息系统。国资委已经着手把信息化纳入到中央企业的绩效考核的主要内容。 信息化建设在我国经济和社会进步方面已经发挥了巨大的推动作用,特别是近几年计算机网络技术的蓬勃发展,通过信息化手段更好地保证了经济建设的顺利发展。信息技术已经渗透到了人类社会的每一个角落,融入了人们的生活的每一个细节。无处不在的信息技术孕育着无处不在的风险,计算机病毒、黑客入侵、垃圾邮件、商业秘密失窃等事件的调查和报道中,我们不难看出信息安全建设的迫切性。 根据《国民经济与社会发展第十一各五年规划纲要》的要求,为促进服务外包产业快速发展,优化出口结构,扩大服务产品出口,商务部决定实施服务外包“千百十工程”,对符合条件且取得信息安全管理体系(ISO/IEC27001:2005标准)认证的中小型服务外包企业给与一定的市场开拓资金奖励。国家税务总局也提出了建设税务系统信息安全管理体系的总体目标,部署实施包括“一个平台、两级处理、三个覆盖、四个系统”的金税工程。 为满足信息安全保障不断增长的需求,信息安全管理体系(ISMS)认证应运而生。华夏认证中心有限公司有幸成为英国皇家认可委员会(UKAS)在中国认可的第一家信息安全管理体系认证机构和国家信息安全管理体系认证机构的试点机构。自2005年以来,华夏认证中心有限公司本着“公正、公开、求真、求实”的准则,积极开发和探索在信息安全管理体系认证方面的技术和知识,投入专门管理和技术人员潜心研究,取得了初步成果。在计算机领域、金融业、制造业、电力行业和政府信息中心等机构成功实施了信息安全管理体系认证,积累了丰富且宝贵的经验,为今后向各行各业提供优质的信息安全管理体系认证奠定了基础。 我们会在下一步的工作中更好的研究认证规范以及新版的ISO/IEC27001标准,利用新品给中心的认证工作带来机遇和挑战,努力拼搏为我们的企业提供一流的信息安全管理体系的认证审核服务。 组织信息安全管理体系建设的必要性 “信息”作为一种商业资产,其重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC27000中的概念,需要保证信息的保密性、完整性和可用性。 时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个组织而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个组织或机构可持续发展。 组织面临的问题 组织对于信息系统依赖性不断增长,以及在信息系统上运作业务的风险,使得信息安全越来越得到重视。 然而事实上,目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等,安全问题出现的途径也是千奇百怪。每一项新技术,每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。 正因为如此,信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要,该标准经过十多年的发展,已经形成了一个完整规范的体系。对组织而言,建立信息安全管理体系,是一个非常系统的过程,从资产评估、风险分析、引入控制到后期的改进,呈现出一个非常逻辑的架构。 通过对大型组织CIO的调查显示,他们普遍面对的问题是,“我们很清楚的知道内部的安全风险问题,可是我们不知道怎么去识别并规避风险。因此我们迫切希望引入信息安全管理体系,甚至于去获得认证。” 可以说,信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 信息安全管理体系标准 2005年改版后的ISO/IEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括: 1)安全策略 2)信息安全的组织 3)资产管理 4)人力资源安全 5)物理和环境安全 6)通信和操作管理 7)访问控制 8)系统采集、开发和维护 9)信息安全事故管理 10)业务连续性管理 11)符合性 可见,信息安全不仅仅是个技术问题,而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施,还需要借助于技术以外的其它手段,如规范安全标准和进行信息安全管理。 因此,组织在选择合作伙伴的时候,就该找那种理解需求、真正能帮助解决问题的,只有那种有着多年的咨询和项目经验、丰富的服务和产品的公司,才够格成为可信任的伙伴。 普通的顾问公司,常常就是提供咨询、解决方案,折腾一通后,再推荐一些产品。而产品的实际效能如何,是否能有效解决问题,顾问公司并不清楚。 而厂商,总是会推销一大堆产品给组织,而这些产品是否真的符合组织实际要求,成为各方争论的焦点。这些产品之间,或者会有功能重叠,又或者会有冲突和兼容性问题。 解决方案 如今,一些厂商整合了丰富的知识和经验,提供客户咨询、运营、服务和产品等,帮助客户成功。国内的安全厂商通过更加务实的态度,以“保障关键应用、提升IT价值”为理念,切实地理解客户的需求,有效地帮助客户解决问题。 参照ISO/IEC27001,总结出了完整的信息安全模型。依据模型,组织可以得到一个细致的流程,再也不用摸黑走路。 通过咨询,为客户提供高端的信息安全咨询与评估服务,识别出信息资产以及存在的风险,找出所存在的问题和深层次的需求,以便明确后续应采取什么行动去解决问题。 采用相关安全产品,能保护组织的任意区域,如移动用户、远程分支、内部网络、很难管理的桌面和服务器、个人的行为状况等。具有完善的功能模块,有防火墙、VPN、IPS/IDS、内容过滤、网络行为管理等。利用这些功能模块,组织能全局有效地管理安全,并跨系统、平台和区域实施一致的策略。 委托运营,针对一些自我管理和技术能力不强的组织,委托运营是其最佳选择。组织不再被具体的细节拖入泥沼中,只需提出问题和希望的结果,所有的中间过程都由委托承担者完成。 后续服务,安全管理的实现肯定是个长期的过程,那种完成项目就开溜的做法,对组织来说是种灾难。只有通过后续的服务,不断地改进,不断地发现新问题,才能推动目标不断地前进。 总之,我们欣喜的看到,国内的安全厂商通过积极努力,提供的整体解决方案,可增强组织主动管理其信息安全的能力,降低组织信息所面临的风险。 结语 建立信息安全管理体系并获得认证,能提高组织自身的安全管理水平,将组织的安全风险控制在可接受的范围内,减少因安全事件带来的破坏和损失。更重要的,是可以保证组织业务的持续性。 另一方面,合作在如今的商业社会是非常普遍。如果组织能向客户及利益相关方展示对信息安全的承诺,不但能增强合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。 |