【正文】 。有時候，有些員工意識不到自己的某些不經(jīng)意的行為可能令公 司的信息資產(chǎn)遭受損失，比如瀏覽一些未經(jīng)過安全認(rèn)證的網(wǎng)站、下載使用來歷不 明的軟件、沒有及時升級殺毒軟件病毒庫、未養(yǎng)成定期殺毒的習(xí)慣、不懂如何及 時修復(fù)系統(tǒng)漏洞等，這些不良行為都會造成信息安全隱患。 (4)資金短缺，無法建立相對完備的信息安全防控體系。公司內(nèi)部資金有 限 ，對信息安全資金的投入不足，迫使 M公司采用下載免費的殺毒軟件等普通的 防治辦法，無法保證公司的信息安全；另一方面，公司局域網(wǎng)結(jié)構(gòu)簡單，主機(jī)數(shù) 量少，服務(wù)器提供的服務(wù)相對單一，缺少安全防護(hù)專用設(shè)備和軟件，使得非法訪 問和入侵變得簡單容易。 (5)服務(wù)人員流動大，管理難度高。由于 M公司是國有企業(yè)，其管理層人 員待遇相對優(yōu)厚，人員比較穩(wěn)定。但服務(wù)人員基本都是臨時聘用人員，流動性較 大，有的服務(wù)人員日常工作有機(jī)會接觸到公司的經(jīng)營管理相關(guān)數(shù)據(jù)資料，如果該 員工工作變動，有可能會將這些數(shù)據(jù)或者工作秘密散播 到外界，令公司遭受不必 要的損失。 (6)缺乏完整合理的信息安全管理框架和組織結(jié)構(gòu)。由于缺少信息安全管 理專家指導(dǎo)， M公司管理層還沒有建立起合理科學(xué)的信息安全管理框架，對公司 信息安全管理工作缺乏統(tǒng)一的規(guī)劃，致使信息安全工作還停留在重視技術(shù)防范、 輕視組織管理的層面。組織結(jié)構(gòu)的不合理造成崗責(zé)不匹配，使得信息安全管理工 作分工不明確，管理流程存在死角，人為造成額外的風(fēng)險。 (7)沒有掌握并實施科學(xué)、行之有效的信息安全管理方法。對當(dāng)前信息安 全隱患存在認(rèn)識不足的情況，不能使用科學(xué)的方法完整識別信 息資產(chǎn)，缺少評估 安全薄弱點的有效手段，對如何訂立風(fēng)險管理策略和安全控制措施沒有準(zhǔn)確的定 位和規(guī)劃。對信息安全審計監(jiān)督、應(yīng)急響應(yīng)、持續(xù)改進(jìn)等管理方法不夠了解，沒 有建立相應(yīng)的運行機(jī)制。 四、 M公司信息安全管理優(yōu)化方案設(shè)計 ()建立企業(yè)信息安全管理框架 根據(jù) M公司實際運營狀況，結(jié)合 IS027001信息安全管理體系標(biāo)準(zhǔn)，可以從 組織、管理、運行、技術(shù)和監(jiān)督這五個方面入手，對原有的信息安全管理框架進(jìn) 行改善，增加運行和監(jiān)督環(huán)節(jié)，將制度建設(shè)擴(kuò)充并變更為管理模式的建設(shè)，并且 不再著重強調(diào)技術(shù)，將 “重技術(shù)輕管理”轉(zhuǎn)化為“三分技術(shù)，七分管理”的管理 思路，建立一個貼合實際情況的閉環(huán)的信息安全管理框架（如圖 2所示）。根據(jù) 這個管理框架，可以從 5方面 7個環(huán)節(jié)對 M公司需要重點優(yōu)化的管理內(nèi)容進(jìn)行梳 理，建立起 M公司基礎(chǔ)信息安全保障體系。這些環(huán)節(jié)分別是： a)安全組織：信 息安全認(rèn)知度，信息安全管理組織結(jié)構(gòu)； b)運行流程：風(fēng)險管理機(jī)制，監(jiān)控報 警及響應(yīng)恢復(fù)機(jī)制； C)審計監(jiān)督：審計制度； d)管理模式：文件系統(tǒng)； e)技 術(shù)保障：技術(shù)平臺。另外，為了進(jìn)一步加強管理成效，應(yīng)該對從計劃到實施、再 到審計整體流 程作一規(guī)范并形成機(jī)制，有利于查找出管理中存在的不足，持續(xù)改 善信息安全管理。 (1)建立總分聯(lián)動的信息安全組織 構(gòu)建綜合性的信息安全管理體系的首要任務(wù)就是建立一個有明確分工、層次 清晰的信息安全組織，確立信息安全的決策層、管理層與技術(shù)服務(wù)層，科學(xué)配置 崗位，規(guī)劃組織和崗位職責(zé)。應(yīng)該釆用自上而下的方式建立信息安全組織，頂層 設(shè)計各級安全組織的權(quán)利和職責(zé)范圍。安全組織可以以實體行政單位的形式設(shè) 立，也可以以虛擬組織的形式設(shè)立，并適合采用矩陣式的管理模式對組織關(guān)系和 運作機(jī)制進(jìn)行管理。必須明 確各個組織和崗位擔(dān)負(fù)的安全工作職責(zé)以及工作內(nèi) 容，以保障日常工作能夠順利開展。另外還需要建立情況報告機(jī)制和協(xié)同工作流 程，在發(fā)生緊急安全事件時可以及時作出應(yīng)急響應(yīng)。加強人員培養(yǎng)，重點培養(yǎng)信 息安全專業(yè)管理人才和技術(shù)人才，為信息安全管理工作提供必要的人才支持。 (2)建立強化執(zhí)行的管理模式 信息安全工作主要以管理為重點內(nèi)容，通過加強制度建設(shè)，從組織策略、運 行維護(hù)和物理環(huán)境管理等諸多方面進(jìn)行信息安全管理，按照統(tǒng)一的要求和標(biāo)準(zhǔn)建 立一套較完整的信息安全制度框架，制定涵蓋本公司信息安全管理各方面的規(guī) 章 制度，并根據(jù)公司的實際經(jīng)營情況貫徹落實各項制度。 (3)建立標(biāo)準(zhǔn)化的安全運行流程 制度可以固化在信息系統(tǒng)中去執(zhí)行，不但可以降低執(zhí)行成本，而且可以有效 減少監(jiān)督成本。在建設(shè)安全運行流程時，應(yīng)當(dāng)參考本行業(yè)最佳實踐和相關(guān)標(biāo)準(zhǔn)。 相關(guān)調(diào)查結(jié)果顯示，由于實體產(chǎn)品 (包括電力、網(wǎng)絡(luò)、軟硬件等 )方面發(fā)生問題造 成的信息安全事故約有 20%， .而由于管理失誤造成信息安全事故的有 40%,由于 人員工作疏失造成信息安全事故的占 40%。其中的管理失誤包含無預(yù)防措施、變 更管理失誤、沒有測試等問題，而人員工作疏失則 包括了疏于防范、操作不合規(guī)、 訓(xùn)練不足等，并且人員工作疏失的本質(zhì)依然是管理問題。由此可見，包括系統(tǒng)運 行維護(hù)、基礎(chǔ)設(shè)施維護(hù)以及系統(tǒng)支持等服務(wù)在內(nèi)的運維管理是十分重要的，它不 但是日常工作安全流程的基本載體，還是實現(xiàn)安全控制重要保證。 (4)建立綜合性的技術(shù)保障體系 建立完善的技術(shù)保障體系是構(gòu)建信息安全管理體系的關(guān)鍵點，它作為信息技 術(shù)人員必須履行的職責(zé)，主要包含以下幾個方面的內(nèi)容： ①身份認(rèn)證技術(shù)。通過技術(shù)驗證用戶身份或者設(shè)備使用的合法性，防止未被 授權(quán)的用戶非法使用信息系統(tǒng)或者設(shè)備。身份認(rèn) 證技術(shù)所釆用的驗證手段包括用 戶名與口令的匹配驗證、用戶身份識別以及 PKI密匙證書等，一般來說釆用兩個 以上的認(rèn)證技術(shù)可以有效地提升安全驗證的級別。 ②加密（解密）技術(shù)。通過對傳輸中或是所存儲的數(shù)據(jù)信息運用各種加密（解 密）算法，使非法截獲數(shù)據(jù)包的人無法順利獲取到有用的信息，從而防止信息失 密。常見的加密算法有 MD RSA、 DES等。 ③邊界防護(hù)技術(shù)。利用在網(wǎng)絡(luò)邊界部署的安全設(shè)備，可以阻止未經(jīng)授權(quán)的外 部網(wǎng)絡(luò)用戶接入內(nèi)部網(wǎng)絡(luò)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。主要的邊界防護(hù)技術(shù) 硬件有防火墻、入 侵檢測系統(tǒng)（ IPS)等。 ④訪問控制技術(shù)。基于身份識別、根據(jù)訪問者權(quán)限策略，控制訪問者對指定 資源進(jìn)行合法使用，保證網(wǎng)絡(luò)資源不被非法使用和訪問。 ⑤主機(jī)加固技術(shù)。通過漏洞掃描、補丁加固等手段保護(hù)操作系統(tǒng)、數(shù)據(jù)庫等 關(guān)鍵性的系統(tǒng)軟件，從而提高系統(tǒng)的防攻擊能力。 ⑥安全審計技術(shù)。通過審計系統(tǒng)運行日志，評估網(wǎng)絡(luò)安全策略配置，為加強 系統(tǒng)防御能力提供參考依據(jù) 。通過對用戶行為進(jìn)行審計，保證行為操作合乎規(guī)定， 確保信息系統(tǒng)的安全。 ⑦檢測監(jiān)控技術(shù)。監(jiān)控信息網(wǎng)絡(luò)中的數(shù)據(jù)流量以及應(yīng)用內(nèi)容，合理定制策略、 配置網(wǎng)絡(luò)資源，有效防止網(wǎng)絡(luò)流量被濫用和有害信息的傳播。 (5)建立跟蹤式的審計監(jiān)督機(jī)制 通過實施內(nèi)控評估可以有效衡量信息技術(shù)工作的質(zhì)量、安全制度是否合規(guī)、 能否降低公司運營風(fēng)險。內(nèi)控評估工作不但可以滿足企業(yè)合規(guī)運行及外部審計的 要求，同時也是企業(yè)信息安全工作發(fā)展的要求。在實施內(nèi)控評估前應(yīng)該充分梳理 制度的變化情況以及關(guān)鍵性控制點，制作詳細(xì)的評估模板；在實施內(nèi)控評估過程 中應(yīng)本著公正客觀的原則，不回避發(fā)現(xiàn)的問題，真實地描述問題；評估后應(yīng)當(dāng)及 時制定整改方案，明確問題責(zé)任人，并在規(guī)定時間內(nèi)完成整改 。 (二）加強信息安全認(rèn)知度 提高信息安全認(rèn)知度的方案 針對 M公司員工對信息安全相關(guān)知識普遍掌握不足的情況，可通過宣傳、培 訓(xùn)和教育三個方面的工作，有效培養(yǎng)和提高其信息安全認(rèn)知度。 (1)信息安全宣傳 信息安全宣傳的主要目的是讓所有員工清楚地認(rèn)識信息安全的重要性，了解 信息安全工作的目標(biāo)，提高員工的信息安全意識。信息安全宣傳的內(nèi)容主要包括 以下方面：闡述企業(yè)信息安全工作的意義、講解信息安全政策和標(biāo)準(zhǔn)、傳達(dá)信息 安全的規(guī)劃與目標(biāo)，以及分析公司內(nèi)部存在的信息技術(shù)風(fēng)險和其危害性，還有員 工 在信息安全方面所承擔(dān)的責(zé)任。信息安全宣傳應(yīng)該面向公司全體員工，釆用易 于員工接受的方式，盡可能利用日常所接觸到的宣傳媒體。建議利用公司內(nèi)部刊 物和 OA辦公平臺，釆取動畫、文字和圖片等多種方式進(jìn)行宣傳，還可考慮舉辦 知識競賽、有獎問答、作品征集等，以多種手段進(jìn)行信息安全宣傳，使信息安全 意識深入人心。 (2)信息安全培訓(xùn) 信息安全培訓(xùn)是提高認(rèn)知度的關(guān)鍵途徑 ,要按照人力資源管理相關(guān)標(biāo)準(zhǔn)和要 求，規(guī)定好相關(guān)部門及人員的職責(zé)，做好培訓(xùn)內(nèi)容管理工作。根據(jù) M公司實際情 況，可制作出《 M公司信息安全培訓(xùn)管 理職責(zé)表》和《 M公司信息安全培訓(xùn)管理 內(nèi)容表》： (3)信息安全教育 由專業(yè)的培訓(xùn)組織為公司提供一系列完整的信息安全專業(yè)課程教育，用以培 養(yǎng)企業(yè)自己的信息安全專業(yè)人員。這種教育不同于培訓(xùn)，不再是針對某崗位的簡 單技能教授，而是綜合不同特性的安全技術(shù)和能力，加上相關(guān)學(xué)科基本原理等內(nèi) 容，使接受教育的人員能夠順利獲得信息安全相關(guān)的資質(zhì)和證書。對于信息安全 專業(yè)人員來說，所接受的教育應(yīng)包括以下的要點： 1)關(guān)于信息安全的風(fēng)險和威 脅； 2)信息安全的基本術(shù)語和基本要素； 3)信息安全事件如何識 別和處理； 4) 如何判斷信息安全事件是否已經(jīng)發(fā)生并應(yīng)該如何處理； 5)組織的信息安全方針、 標(biāo)準(zhǔn)和程序； 6)組織內(nèi)的責(zé)任和報告渠道； 7)如何能有助于組織內(nèi)的信息安全； 8)如何自我教育并獲得有關(guān)信息安全的信息。建立、實施、運行和維護(hù)信息安 全管理體系所需要的可能的能力范圍見表 43: 信息安全認(rèn)知度培養(yǎng)的關(guān)鍵因素 信息安全認(rèn)知培養(yǎng)的成功實施，關(guān)鍵在于全員參與。從高層決策者到實施人 員，包括參與培養(yǎng)的員工，每個人都必須明確各自在信息安全管理工作中所扮演 的角色和所擔(dān)負(fù)的職責(zé)。 另外，信 息安全認(rèn)知培養(yǎng)應(yīng)按照循序漸進(jìn)、長期堅持的原則，從信息安全宣 傳漸漸發(fā)展到信息安全培訓(xùn)，再到信息安全教育。第一步要通過宣傳來增強公司 所有人員的信息安全意識；然后，讓所有的人員都對自己的信息安全職責(zé)有較為 深刻的認(rèn)識，并且對在信息安全方面有著特殊職責(zé)的人員進(jìn)行有針對性的技能培 訓(xùn) 。最后，使用培訓(xùn)和教育這兩種手段來扶持和培養(yǎng)希望成為信息安全專業(yè)人員 的員工，使其達(dá)到信息安全專業(yè)人員所需的技能水平。 充足的資金技術(shù)支持對信息安全認(rèn)知培養(yǎng)工作具有重要作用，并且要在信息 安全認(rèn)知培養(yǎng)工作實施過程中自上而 下傳達(dá)決策層對于信息安全的關(guān)注，釆用考 試、考核和認(rèn)證等手段來全面評估信息安全認(rèn)知培養(yǎng)的工作成效，以便及時糾正 和改進(jìn)信息安全認(rèn)知培養(yǎng)工作中存在的偏差和問題。 (三）改良信息安全管理組織結(jié)構(gòu)與職責(zé) 為保證在組織內(nèi)部順利實施信息安全管理， M公司應(yīng)建立合適的信息安全管 理組織框架。建立具有決策權(quán)和管理權(quán)的信息安全領(lǐng)導(dǎo)小組，審議安全方針、制 定安全職責(zé)、協(xié)調(diào)組織內(nèi)部信息安全管理的實施。如有可能，建議建立信息安全 專家小組，以提供安全標(biāo)準(zhǔn)和評估方法方面的專業(yè)建議，并對安全標(biāo)準(zhǔn)的實施進(jìn) 行監(jiān)督。整個組 織結(jié)構(gòu)應(yīng)如圖 42所示： 信息安全領(lǐng)導(dǎo)小組的具體職責(zé)如下： (1)確定整個組織信息安全的作用和責(zé)任； (2)審議并批準(zhǔn)信息安全策略； (3)確定信息安全的原則性問題和處理方法； (4)確保信息安全成為信息系統(tǒng)建設(shè)的重要內(nèi)容； (5)審查重大的信息安全事故，并制定改進(jìn)措施； (6)審核重要信息安全項目和措施； (7)提升公司對信息安全工作的支持力度。 根據(jù)業(yè)界信息安全組織的建設(shè)經(jīng)驗，結(jié)合 M公司實際情況，建議將信息安全 組織結(jié)構(gòu)及職責(zé)設(shè)計如下： (1)信息安全領(lǐng)導(dǎo)小組 —— 由 M公司總經(jīng)理 、主管信息化的副總經(jīng)理以及 各部門負(fù)責(zé)人組成，決策信息安全方面的重大問題，推動信息安全工作在公司內(nèi) 的實施。 (2)信息安全領(lǐng)導(dǎo)小組辦公室 —— 由主管信息化的副總經(jīng)理任主任，負(fù)責(zé) 信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。 (3)信息安全工作組 —— 按照信息安全領(lǐng)導(dǎo)小組的決議和工作