信息存在的形式有很多种,有储存在电脑上的,在网络上传播的,印刷或写在纸上的,口头交流的。信息载体包括数据文件、纸张文件、数据库、胶片、磁片、磁带、磁盘、谈话笔录等所有含有知识和信息的载体。为保证信息安全,必须对各种形式的信息进行适当保护。企业进行安全目标设定后,才能有效实施信息安全策略,确保业务的连续性,减少因为信息安全事故影响而造成的业务损失。
一般来说,在企业信息安全工作中,由管理层全面履行信息安全的管理职责,雇员落实企业确立的信息安全制度和责任,信息部门根据企业制定的信息安全策略逐步实施、完善安全架构和安全管理,同时加强第三方合同的安全条件。这些方面缺一不可,而只有这样才能有效地实现企业的信息安全管理目标。
在企业中,负责信息安全管理的管理层对信息安全目标的要求,决定了企业的信息安全工作的走向;而信息部门对信息系统的设置和维护情况也决定一个企业是否能达到信息安全管理的目标。以下就这2 个方面谈一谈企业如何设定信息安全目标,如何比较全面地设定信息安全机制,保证信息系统稳定、高效地运行。
1、管理层对信息安全的管理职责和目标
1.1 管理层具有推动信息安全运行的管理责任
管理层首先要建立、健全信息安全的组织机构,建立信息安全构架,并且在组织中建立推行信息安全的管理机构。其次,需要保证第三方合同的安全性,定义第三方访问信息系统的安全级别,并且特别要控制第三方合同中关于访问内部信息系统的信息安全条款。
1.2 管理层有必要对信息系统进行分类
对信息系统进行分类有利于信息安全措施的实施和企业资产的保护。这种分类使得企业能够调整合适的资源、财力、物力对重要的信息资源和系统进行重点保护。过多的保护不仅浪费资源,对企业的正常运行产生不良影响;而保护不力,更可能导致企业信息数据和系统产生重大安全隐患。根据分类,管理层对企业最重要的信息资源和系统,应指定相应管理者,并要求登记在册,而对主要信息系统还需要指定拥有者和管理者,这样才能对信息系统分级保护,做到有效、有序保护。企业通过安全需求调查后,应根据数据的机密性、完整性、可用性对所有信息系统进行基本安全等级分类,且根据表1 确定信息安全保护的需求和优先级。
表1 信息系统分类
1.3 管理层有义务管理企业员工的个人信息安全
管理层必须指导、普及员工关于信息安全和信息安全威胁的知识和意识,降低有意和无意人为风险;确保所有员工理解信息安全责任;确保所有员工(包括临时员工) 都签订保密协议,以此作为雇佣的必要条件;建立必要的纪律程序,对有意或无意违反企业信息安全策略的员工进行处罚。
1.4 管理层对访问控制的管理
管理层对访问控制的管理可以防止非授权访问信息系统,保证企业信息一定程度的机密性、完整性和可用性。管理层要确保完善可行的信息安全措施和程序必须包含以下元素:角色和责任———谁去做什么;授权———谁授权谁去做什么;访问控制———控制以上元素的程序文件。
1.5 业务连续性的管理
管理层应制订业务连续性计划,保证在主要信息系统发生故障或非预期灾难发生时快速反应,保持关键业务的连续性;保证灾难发生时,有相应的应对措施尽量减少对业务工作的影响;保证数据和系统的恢复,至少保证企业重要信息系统能在低级模式下进行业务运作。
1.6 守法
作为管理层人员,应学习、遵循有关政策和相关信息安全要求,保证遵守信息安全法律法规相关要求;遵守法律规定,进行版权保护,不得非法拷贝和使用软件和版权产品;保护重要文档以防丢失、破坏和篡改;确定信息系统中数据和文档的保存期限;确定信息访问时间;保证个人资料的保密;对信息系统、信息安全规则进行定期检查;进行系统审计,计划并实施信息环境审计,保证组织及责任清晰明确;出现信息事故和疑似信息事故时及时通过正确渠道进行报告。
2、信息安全部门的管理责任
2.1 保证设备和环境安全
2.1.1 保证地点安全
信息安全部门应保证支撑关键业务活动和存贮敏感业务
信息的设备存放在安全区域,至少以下区域(机房、机柜、档案室、机要室) 应具有严格的准入制度,这些区域要求具有访
问安全控制;要保证函件收发室和无人值守的传真机的安全。
2.1.2 保证设备安全
信息安全部门应尽量选择外界风险较小的地点安装信息设备;电脑设备应具备物理保护,并装置防盗锁,设置密码或其他安全措施;应列出最重要的设备,防止设备断电;线路布置应符合当地健康和安全规定,并保证不涉及员工安全,便于检查和维护;编制设备维护流程,维护服务合同(支持合同);授权维护人员接触信息设备;建立流程控制信息和清除数据(比如硬盘数据),确保废旧设备报废时数据和软件完全被清除。
2.2 信息安全部门的沟通工作
信息安全部门的工作程序和职责应遵循企业关于信息资源和信息架构管理的相关政策和要求;需要建立关于信息架构容量、性能和变化管理的运作程序和职责;还必须建立完整的病毒保护更新机制;建立计算机病毒和恶意软件的报告和清除程序;建立服务器和客户端病毒、恶意软件防护定期更新策略,提醒用户“预防重于补救”等一系列程序和措施。另外,网络安全的管理、局域网接入全球网的访问机制、数据介质的安全管理和保密、关键业务数据和软件的定期备份、防止破坏和生产业务中断等也是信息安全管理部门的重要工作。
2.3 信息管理部门对访问控制的管理
2.3.1 用户访问管理
通过对用户、账号、权限、鉴别方式、认证方式的管理来实现对信息系统访问的有效控制,并保证访问权限的实时更新。
2.3.2 网络访问控制
采用适当的互联网接入方式;所有的互联网接入均要求有防火墙保护;要求所有的互联网防火墙对信息网络团队开放读权限,装有加强操作系统;所有的互联网服务器均设有防火墙和加强操作系统,并定期对所有软件进行安全补丁更新;所有与第三方(客户、合作伙伴、供应商、转包商) 的专用连接均需设置防火墙,防火墙仅允许访问必要信息;互联网VPN 解决方案仅在专线不能连通时使用,且必须由网络团队专设,所有的通信均须加密;信息软件和硬件供应商需要通过拨号接入进行远程服务的,工作结束时必须马上断开,并且这种接入须经管理层批准,有日志文件进行活动记录;无线网络作为互联网接入新技术,使用时必须经过信息风险经理和公司管理层的批准,至少需认证和加密;网络安全团队和企业定期对互联网接入和拨号网络进行审计。
2.3.3 计算机和应用软件访问控制
强制使用强有力密码,限制不成功登录次数;所有的笔记本均设有硬件密码保护,对涉及机密和敏感数据的信息要进行硬盘加密;应用软件拥有者应按照信息系统分类表确定软件的安全级别。
2.3.4 监控软件系统的访问和使用
系统访问监控符合业务工作需要,监控频率和级别也应与信息系统分类一致。
2.4 信息安全部门对系统开发与维护的管理
信息安全部门对系统开发和维护的管理工作主要是根据系统和软件安全需求,根据新信息系统对数据的保密性、完整性、可得性需求,建立安全管理制度,建立用户认证标准;保证开发和支撑环境的安全,同时建立系统开发活动、操作系统和软件变更安全规则。