【正文】 用了高可靠設備和冗余系統(tǒng)；嚴格維護重要的系統(tǒng)和設備 4 已管理的和可測量的 根據標準程序評估風險，不遵守此程序的將被 IT管理者通報； IT風險管理可能成為具有很高責任的管理職能；管理執(zhí)行層和 IT管理者已確定組織容忍的最大風險級別，并已有測量風險 /投資回報率的測量標準。 清晰賦予、管理和執(zhí)行信息安全職責；持續(xù)分析信息安全風險及其影響；完整的基于特定安全基準線的安全策略和實踐；標準化、流程化的用戶識別、驗證 和授權程序；建立員工安全知識考試制度；入侵測試是標準的和正式的預防程序；越來越多利用成本 /收益分析，支持安全評測；信息安全流程與組織總體的安全戰(zhàn)略保持一致；信息安全報告與管理目標相聯系。 強制執(zhí)行持續(xù)服務的職責和標準；關鍵系統(tǒng)使用冗余系統(tǒng)，包括使用高可靠設備。 5 優(yōu)化級 開始有規(guī)律地、有效地執(zhí)行一個結構化的、組織范圍內的風險評估流程。 信息安全是業(yè)務管理者和 IT管理者的共同責任，它被統(tǒng)一到公司安全管理目標中；信息安全需求被清晰定義，優(yōu)化并包括于經核實的安全計劃中；安全職責在應用軟件的設計階段就 被考慮，終端用戶負有更多管理安全的責任；信息安全審計報告提供變化的和風險早期預警告；自動監(jiān)控關鍵的系統(tǒng)；利用由自動化的工具支持的正式的事故響應程序以快速處理事故；定期的安全評估，以評價安全計劃執(zhí)行效果；系統(tǒng)地收集和分析新的威脅和隱患信息，及時通知并實施恰當的補救措施；入侵測試、安全事故的深層原因分析和預先發(fā)現風險是持續(xù)改進的基礎；在組織范圍內構成人、制度和技術三維一體的安防體系。 持續(xù)服務計劃和業(yè)務持續(xù)性計劃被集成，優(yōu)化，并得到日常的維護；購買的持續(xù)服務必須得到廠商和主要提供商的安全保證。 概述起來 ，信息安全治理成熟度模型方法和其他成熟度模型一樣，具有以下幾個方面的優(yōu)點或作用： 信息安全治理成熟度模型涉及信息安全和組織業(yè)務的各個方面，是一種進行實用性比較的等級制，能以簡單方式測定差異，有助于確定有關信息技術管理安全性方面的相對水平。 使管理部門相對容易地依據等級制對自己定位，并找出需要改善安全管理的地方。組織對自身進行差距分析以確定需要做哪些工作來達到所選級別。 0～ 5等級是基于一個簡單的成熟性量度，體現出一個處理如何從不存在級發(fā)展到優(yōu)化級的管理過程，增加成熟度意味著增強風險管理與提高管理效率 。 信息安全治理成熟度是測量信息安全管理等級的一種方法，這些等級正是一個給定的信息安全管理處理的慣例，體現各個成熟層次的典型模式，有助于組織將主要精力投入到關鍵的管理方面。 信息安全治理成熟度模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把他們組織的控制慣例與最佳慣例對照起來，從而確定組織的未來發(fā)展目標。 信息安全治理成熟度模型將有助于解決在 IT部門中普遍存在的以下問題： 在競爭如此激烈的市場環(huán)境中，你的公司或部門在信息安全上處于什么水平？ 如果你認為有差距，究竟差在哪里？如 何去改進？ 如果你覺得運作善治，那么你能說出好在哪里？好到何種程度？ 如何對信息安全管理進行績效評估？ 四、信息 安全 治理的規(guī)范 目前已有的信息安全治理規(guī)范包括： 經濟合作和發(fā)展組織，《信息系統(tǒng)安全指南》（ 1992） 經濟合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協助國家和企業(yè)構建信息系統(tǒng)安全框架。 美國、 OECD的其他 23 個成員國，以及十幾個非 OECD成員國家都批準了這一指南。該指南旨在： 提高信息系統(tǒng)風險意識和安全措施； 提供一個一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實踐的 制定和實施，鼓勵關心信息系統(tǒng)安全的公共和私有部門間的合作； 促進人們對信息系統(tǒng)的信心，促進人們應用和使用信息系統(tǒng)； 方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護。 這個框架包括法律、行動準則、技術評估、管理和用戶實踐，及公眾教育或宣傳活動。該指 南的最終目的是作為政府、公眾和私有部門的標桿，社會能通過此標桿測量進展。 國際會計師聯合會，《信息安全管理》（ 1998） 信息安全的目標是 “ 保護依靠信息、信息系統(tǒng)和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失 ” 。任何 組織在滿足下面 3條準則時可以認為達到信息安全目標：數據和信息只透露給有權知道該數據和信息的人（機密性）；數據和信息保護不受未經授權的修改（完整性）；信息系統(tǒng)在需要時可用和有用（可用性）。 機密性、完整性和可用性之間的相對優(yōu)先級和重要性根據信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動，也可能來自內部或外部。信息安全事故的發(fā)生可能是因為技術方面的因素、自然災害、環(huán)境方面、人的因素、非法訪問或病毒。另外，業(yè)務依賴性 （依靠第三方通信設施傳送信息，外包業(yè)務等等）也可能潛在地導致管理控制的失效和監(jiān)督不力。 國際標準化組織，《 ISO 17799 國際標準》（ 2020） ISO17799（根據 BS7799第一部分制定）作為確定控制范圍的單一參考點，在大多數情況下， 這些控制是使用業(yè)務信息系統(tǒng)所必須的。該標準適應任何規(guī)模的組織。它把信息作為一種資產，像其他重要商業(yè)資產一樣，這種資產對組織有價值，因此需要恰當保護它。 ISO17799 認為信息安全有下列特征： 機密性 —— 確保信息只被相應的授權用戶訪問； 完整性 —— 保護信息和處理 信息程序的準確性和完整性； 可用性 —— 確保授權用戶在需要時能夠訪問信息和相關資產。 信息安全保護信息不受廣泛威脅的損毀，確保業(yè)務連續(xù)性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機遇。安全是通過實施一套恰當的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。 美國注冊會計師協會 (加拿大特許會計師協會 )，《 SysTrust TM系統(tǒng)可靠性原理和準則V20》（ 2020） SysTrust 服務是一種保證服務，用于增強管理者、客戶和商業(yè)伙伴對支持業(yè)務或某種特別活 動的系統(tǒng)的信任。 SysTrust服務授權注冊會計師承擔如下保證服務：注冊會計師從可用性、 安全性、完整性和可維護性 4個基本方面評估和測試系統(tǒng)是否可靠。 可用性 —— 系統(tǒng)在服務水平聲明或協議規(guī)定的時間內可以運行和使用； 安全性 —— 確保系統(tǒng)拒絕未經授權的物理的或邏輯的訪問； 完整性 —— 系統(tǒng)的數據處理是完整的、準確的、及時的和被授權的； 可維護性 —— 必要時能夠升級系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖 突。 SysTrust 定義在特定環(huán)境下及特定時期內，沒有重大錯誤、缺陷或故障地運行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)的界限由系統(tǒng)所有者 確定，但必須包括以下幾個關鍵部分：基礎設施、軟件、人、程序和數據。 SysTrust 的框架是可升級的，因此，企業(yè)能夠靈活選擇 SysTrust 標準的任何部分或全部來驗證系統(tǒng)的可靠性。對系統(tǒng)四個標準的判斷組成對系統(tǒng)整體可靠性的判斷。注冊會計師也能單獨判斷某一標準如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標準的可靠性做出判斷，不是對系統(tǒng)整體可靠性的判斷。 信息系統(tǒng)審計和控制協會 (IT治理研究院 )，《信息和相關技術的控制目標》（ CoBIT ） COBIT的第一版由信息系統(tǒng)審計和控制協會（ ISACF） 于 1996年發(fā)行。在 1998年，第二版在增加了控制目標和實施工具集后出版?，F在得到的第三版由 IT治理研究院在 2020年發(fā)行，增加了管理方針和其他詳細的控制目標。 CoBIT起源于 IT需要傳遞組織為達到業(yè)務目標所需的信息這個前提。除了鼓勵以業(yè)務流程為中心，實行業(yè)務流程負責制外， CoBIT還考慮到組織對信用、質量和安全的需要，它提供了組織用于定義其對 IT業(yè)務要求的幾條信息準則：效率、效果、可用性、完整性、機密性、可靠性和一致性。 CoBIT進一步把 IT分成 4個領域（計劃和組織，獲取和實施，交付和支持，監(jiān)控），共計34個 IT業(yè)務流程。其中 3個與信息安全直接密切相關的業(yè)務流程是： 計劃和組織流程 —— 評估風險； 交付和支持流程 —— 確保持續(xù)的服務； 監(jiān)控流程 —— 保證系統(tǒng)安全。 每個流程定義了一個高級別的目標： 識別 IT流程中最重要的信息準則； 列出需要經常調整的資源； 考慮控制 IT流程的重要方面 CoBIT為正在尋求控制實施最佳實踐的管理者和 IT實施人員提供了超過 300個詳細的控制目標，以及建立在這些目標上的廣泛的行動指南。詳細控制目標用來評估和審計對 IT流程控制和治理的程度。 COBIT框架 通過聯結業(yè)務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例，以形成一個可控和邏輯結構內的活動。 信息安全治理是一個仍在繼續(xù)發(fā)展的領域，除了前面提到的規(guī)范外，尤其要切記的是信息安全管理是信息安全治理實現的前提。企業(yè)應該依據自己的業(yè)務需要制定相應的信息安全管理體系并對此有效執(zhí)行。企業(yè)在進行信息安全管理體系建制時，首先當然還是要選好進行安全管理體系建設的依據，目前，最為主流的還是采用 ISO17799／ BS7799認可的相關的配套實施和認證體現等來建立。雖然如 ISO 15408（ Common Criteria）、 FIPS 1 COBIT、ISO/IEC 13335（ GMITS）等等的標準都可以部分適用，但 ISO17799 相對來說通用性最好，更能適應大部分企業(yè)的情況進行調節(jié)，所以基本還是以 ISO 17799 采用的較多，在安全行業(yè)的從業(yè)人員來說，也能有較多的靈活度可以針對不同情況進行修正，更有利于協助企業(yè)實現不同的自定制的安全管理的目的。 雖然 BS7799可以管理到組織、客戶、供應的安全，但是如果在 IT系統(tǒng)和相應的數據流程上需要更細粒度的管理，就需要搭配其他的技術標 準。不過，管理永遠都是最主要和最先需要解決的問題，無論那方面的調查結果都顯示在所有的安全事件中，除病毒外最多的安全事件還是因為人為的因素（不恰當的訪問控制等）造成的，因此對于企業(yè)來說，最現實和投資回報最大的，還是要通過增強信息系統(tǒng)安全管理將人為的因素減到最低。在以后的章節(jié)中，我們將從的標準介紹、理解實施與案例分析來全面剖析企業(yè)信息安全管理體系 (BS7799)的建制。 第十章 BS7799 實施案例 案例之一：依據 BS7799建設 PKI/CA 認證中心 北京天威誠信電子商務服務有限公司是經信息產業(yè) 部批準的全國性 PKI/CA 企業(yè)，是專門從事數字信任服務、 PKI/CA 建設服務、 PKI/CA應用服務、 PKI/CA 運營管理咨詢服務和 PKI/CA體系整體規(guī)劃服務的專業(yè)化信息安全技術與服務公司。 天威誠信依照我國國情和密碼管理政策，借鑒國外先進技術及管理方法，依據 BS7799建設和運營政府認可的、權威、可信、公正的 PKI/CA認證中心，研制了具有自主知識產權的 PKI產品及應用，對外提供全面的數字信任服務。公司在開展自身業(yè)務的同時，參與了國家有關PKI/CA 體系規(guī)劃、建設和運營管理等方面的工作，并積極參與中國電 子簽名法立法。天威誠信正以其領先的技術、先進的管理方法和全面而精湛的產品與服務，為中國的信息安全服務。 一、為什么要依據 BS7799 建設 PKI/CA認證中心 安全對于今天數字環(huán)境下的每一種經營業(yè)務來說都是至關重要的，而對于 PKI/CA認證中心來說，安全則是其對外提供數字信任服務的基石。 PKI/CA 認證中心作為第三方機構，專門負責發(fā)放并管理所有參與網上業(yè)務的實體所需的數字證書，數字證書是網絡世界中的身份證，可以在網絡世界中為互不見面的用戶建立安全可靠的信任關系，而這種信任關系的建立則源于 PKI/CA 認證中心 ，構建安全的 PKI/CA 認證中心是至關重要的。因為，如果 PKI/CA認證中心安全性不夠，非法用戶可能入侵 PKI/CA認證中心，竊取 CA密鑰，假冒認證中心簽發(fā)數字證書，整個 PKI/CA 認證中心的信任體系將崩潰，將直接影響認證中心的利益，影響顧客的利益，甚至會給國家?guī)砭薮蟮膿p失。 顧客將期望 PKI/CA認證中心在各個方面都展示出最高水平的安全，但由于影響安全的要素眾多，從具體的物理安全到抽象的邏輯安全，其中既有人為因素也有非人為因素的影響，要解決這些問題，一個信息系統(tǒng)需實現包括信息系統(tǒng)安全、數據通信安全、密 鑰管理安全、證書管理、安全審計、物理安全和人員安全等等方面的安全防御體系，需要制定出詳細的策略并遵照執(zhí)行，而目前我國還沒有專門針對 PKI/CA 認證中心的安全性建設制訂一套有效的策略和規(guī)范。 在當前環(huán)境下，為了讓用戶切實感到天威誠信所提供的服務是安全可信的，從而推動電子政務、電子商務等對信任機制要求較高的網上業(yè)務的發(fā)展，天威誠信只有從加強信息安全管理并向用戶展示安全管理水平方面才能切實獲得用戶的信任，消除用戶殘余的安全憂慮。為了實現這個目標，天威誠信通過認真學習和研究 BS7799，認為 BS7799對安全管理 方面的定義和描述完全滿足 PKI/CA認證中心的安全性要求，并且該標準已經可以作為國際公認的可用于認證、認可的安全管理標準。因此，為了保證認證中心的建設能夠在有效的、成熟的標準指導下進行，同時有可通過該國際公認的標準進行檢驗并獲得認證，從而實現向用戶展示公認的安全管理水平的目標