
黨的十七大提出了“工業化、信息化、城鎮化、市場化和國際化”的“五化并舉”,以及“信息化和工業化”的“兩化融合”2大課題,國務院國資委國信辦在《關于加強中央企業信息化建設的指導意見》中指出到2010年要基本實現中央企業信息化向整個企業集成、共享、協同的轉變,建成集團統一集成的信息系統。國資委已經著手把信息化納入到中央企業的績效考核的主要內容。 信息化建設在我國經濟和社會進步方面已經發揮了巨大的推動作用,特別是近幾年計算機網絡技術的蓬勃發展,通過信息化手段更好地保證了經濟建設的順利發展。信息技術已經滲透到了人類社會的每一個角落,融入了人們的生活的每一個細節。無處不在的信息技術孕育著無處不在的風險,計算機病毒、黑客入侵、垃圾郵件、商業秘密失竊等事件的調查和報道中,我們不難看出信息安全建設的迫切性。 根據《國民經濟與社會發展第十一各五年規劃綱要》的要求,為促進服務外包產業快速發展,優化出口結構,擴大服務產品出口,商務部決定實施服務外包“千百十工程”,對符合條件且取得信息安全管理體系(ISO/IEC27001:2005標準)認證的中小型服務外包企業給與一定的市場開拓資金獎勵。國家稅務總局也提出了建設稅務系統信息安全管理體系的總體目標,部署實施包括“一個平臺、兩級處理、三個覆蓋、四個系統”的金稅工程。 為滿足信息安全保障不斷增長的需求,信息安全管理體系(ISMS)認證應運而生。華夏認證中心有限公司有幸成為英國皇家認可委員會(UKAS)在中國認可的第一家信息安全管理體系認證機構和國家信息安全管理體系認證機構的試點機構。自2005年以來,華夏認證中心有限公司本著“公正、公開、求真、求實”的準則,積極開發和探索在信息安全管理體系認證方面的技術和知識,投入專門管理和技術人員潛心研究,取得了初步成果。在計算機領域、金融業、制造業、電力行業和政府信息中心等機構成功實施了信息安全管理體系認證,積累了豐富且寶貴的經驗,為今后向各行各業提供優質的信息安全管理體系認證奠定了基礎。 我們會在下一步的工作中更好的研究認證規范以及新版的ISO/IEC27001標準,利用新品給中心的認證工作帶來機遇和挑戰,努力拼搏為我們的企業提供一流的信息安全管理體系的認證審核服務。 組織信息安全管理體系建設的必要性 “信息”作為一種商業資產,其重要性也是與日俱增。信息安全,按照國際標準化組織提出的ISO/IEC27000中的概念,需要保證信息的保密性、完整性和可用性。 時至今日,“信息”作為一種商業資產,其所擁有的價值對于一個組織而言毋庸置疑,重要性也是與日俱增。信息安全,按照國際標準化組織提出的ISO/IEC27000中的概念,需要保證信息的“保密性”、“完整性”和“可用性”。通俗地講,就是要保護信息免受來自各方面的威脅,從而確保一個組織或機構可持續發展。 組織面臨的問題 組織對于信息系統依賴性不斷增長,以及在信息系統上運作業務的風險,使得信息安全越來越得到重視。 然而事實上,目前組織所面對的信息安全狀況愈加復雜。病毒木馬、非法入侵、數據泄密、服務癱瘓、漏洞攻擊等安全事件時有發生。從便攜設備到可移動存儲,再到智能手機、PDA,以及無線網絡等,安全問題出現的途徑也是千奇百怪。每一項新技術,每一類新產品的推廣伴隨著新的問題。組織在面臨著日趨復雜的威脅的同時,遭受的攻擊次數也日益增多。 正因為如此,信息安全管理體系標準(ISO/IEC27000)的出現成為歷史必要,該標準經過十多年的發展,已經形成了一個完整規范的體系。對組織而言,建立信息安全管理體系,是一個非常系統的過程,從資產評估、風險分析、引入控制到后期的改進,呈現出一個非常邏輯的架構。 通過對大型組織CIO的調查顯示,他們普遍面對的問題是,“我們很清楚的知道內部的安全風險問題,可是我們不知道怎么去識別并規避風險。因此我們迫切希望引入信息安全管理體系,甚至于去獲得認證?!?/p> 可以說,信息安全管理體系的建立和健全,目的就是降低信息風險對經營帶來的危害,并將其投資和商業利益最大化。 信息安全管理體系標準 2005年改版后的ISO/IEC27001共有133個控制點,39個控制措施,11個控制域。其中11個控制域包括: 1)安全策略 2)信息安全的組織 3)資產管理 4)人力資源安全 5)物理和環境安全 6)通信和操作管理 7)訪問控制 8)系統采集、開發和維護 9)信息安全事故管理 10)業務連續性管理 11)符合性 可見,信息安全不僅僅是個技術問題,而是管理、章程、制度和技術手段以及各種系統的結合。實現信息安全不僅需要采用技術措施,還需要借助于技術以外的其它手段,如規范安全標準和進行信息安全管理。 因此,組織在選擇合作伙伴的時候,就該找那種理解需求、真正能幫助解決問題的,只有那種有著多年的咨詢和項目經驗、豐富的服務和產品的公司,才夠格成為可信任的伙伴。 普通的顧問公司,常常就是提供咨詢、解決方案,折騰一通后,再推薦一些產品。而產品的實際效能如何,是否能有效解決問題,顧問公司并不清楚。 而廠商,總是會推銷一大堆產品給組織,而這些產品是否真的符合組織實際要求,成為各方爭論的焦點。這些產品之間,或者會有功能重疊,又或者會有沖突和兼容性問題。 解決方案 如今,一些廠商整合了豐富的知識和經驗,提供客戶咨詢、運營、服務和產品等,幫助客戶成功。國內的安全廠商通過更加務實的態度,以“保障關鍵應用、提升IT價值”為理念,切實地理解客戶的需求,有效地幫助客戶解決問題。 參照ISO/IEC27001,總結出了完整的信息安全模型。依據模型,組織可以得到一個細致的流程,再也不用摸黑走路。 通過咨詢,為客戶提供高端的信息安全咨詢與評估服務,識別出信息資產以及存在的風險,找出所存在的問題和深層次的需求,以便明確后續應采取什么行動去解決問題。 采用相關安全產品,能保護組織的任意區域,如移動用戶、遠程分支、內部網絡、很難管理的桌面和服務器、個人的行為狀況等。具有完善的功能模塊,有防火墻、VPN、IPS/IDS、內容過濾、網絡行為管理等。利用這些功能模塊,組織能全局有效地管理安全,并跨系統、平臺和區域實施一致的策略。 委托運營,針對一些自我管理和技術能力不強的組織,委托運營是其最佳選擇。組織不再被具體的細節拖入泥沼中,只需提出問題和希望的結果,所有的中間過程都由委托承擔者完成。 后續服務,安全管理的實現肯定是個長期的過程,那種完成項目就開溜的做法,對組織來說是種災難。只有通過后續的服務,不斷地改進,不斷地發現新問題,才能推動目標不斷地前進。 總之,我們欣喜的看到,國內的安全廠商通過積極努力,提供的整體解決方案,可增強組織主動管理其信息安全的能力,降低組織信息所面臨的風險。 結語 建立信息安全管理體系并獲得認證,能提高組織自身的安全管理水平,將組織的安全風險控制在可接受的范圍內,減少因安全事件帶來的破壞和損失。更重要的,是可以保證組織業務的持續性。 另一方面,合作在如今的商業社會是非常普遍。如果組織能向客戶及利益相關方展示對信息安全的承諾,不但能增強合作伙伴、投資方的信心,也可以向政府及行業主管部門證明對相關法律法規的符合,并能得到國際上的認可。 |