【正文】 第一章 信息安全管理概論 引論 信息安全治理 一、信息安全治理的產(chǎn)生背景 在當(dāng)今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在各類組織中得到了廣泛應(yīng)用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使 IT治理成為公司治理越來越關(guān)鍵的一部分。最高管理層（董事會(huì)）和執(zhí)行管理層需要確保 IT適應(yīng)企業(yè)戰(zhàn)略，同時(shí)企業(yè)戰(zhàn)略也恰當(dāng)利用 IT的優(yōu)勢。 現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所 有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。沒有一個(gè)系統(tǒng)是完美的，沒有一項(xiàng)技術(shù)是靈丹妙藥。 事實(shí)上針對系統(tǒng)安全的攻擊越來越普遍。早在 1996年，美國會(huì)計(jì)總署（ GAO）報(bào)告指出，美國國防部一年有 15 000 個(gè)系統(tǒng)遭到高達(dá) 250 000次攻擊，其中 65%攻擊成功，防范和彌補(bǔ)損失的費(fèi)用高達(dá)數(shù)億美元。更值得注意的是，這些攻擊中只有 400個(gè)被查明， 20個(gè)被報(bào)告。如果說 1996年受到攻擊很大程度上是一種系統(tǒng)的弱點(diǎn)，那么今天，它已成為一種威脅，正如美國聯(lián)邦調(diào)查局對 100個(gè)針對電子 商務(wù)網(wǎng)站的敲詐案件調(diào)查表明，攻擊者不僅威脅公開客戶信息，并且實(shí)際上在要求得不到滿足時(shí)實(shí)現(xiàn)這種威脅。許多國家的政府已經(jīng)認(rèn)識到安全的重要性，并積極采取措施提高信息安全，如根據(jù)敏感度隔開信息基礎(chǔ)設(shè)施，投資于更好的認(rèn)證方法，以及使信息基礎(chǔ)設(shè)施使用者對其行為負(fù)責(zé)等。以美國政府為例，“ 9 11事件”后美國信息基礎(chǔ)設(shè)施保護(hù)委員會(huì)（ PCIPB）列出了 53個(gè)信息安全重點(diǎn)問題，把信息安全列入國家戰(zhàn)略。在這個(gè)戰(zhàn)略中， 信息安全被分成 5個(gè)等級 : 第 1級是家庭用戶和小型商業(yè)機(jī)構(gòu)， 第 2級是大型企業(yè)， 第 3級是高等教育、聯(lián)邦政府、州 與地方政府等關(guān)鍵部門， 第 4級是國家優(yōu)先任務(wù)， 第 5級是全球性合作網(wǎng)絡(luò)。 但是，在 2020年 Gartner 舉辦的研討會(huì)上，與會(huì)人士普遍認(rèn)為 9 11 后企業(yè)依然沒有提高警惕，這一點(diǎn)從 Gartner 研究主管 Donna Scott 進(jìn)行的調(diào)查中就可以明顯地反映出來，這次調(diào)查是 Scott在 2020年關(guān)于保持業(yè)務(wù)持續(xù)性發(fā)展問題的陳述報(bào)告的一部分。該報(bào)告顯示全球 2020強(qiáng)企業(yè)中只有不到 25%的企業(yè)在全面的 業(yè)務(wù)持續(xù)性計(jì)劃 上進(jìn)行了投資，而就在這些進(jìn)行了投資的企業(yè)當(dāng)中，只有 50%對自己的持續(xù)性計(jì)劃進(jìn)行了全面的測試。針對嚴(yán)峻的現(xiàn)狀， Scott警告說：“ 隨著實(shí)時(shí)企業(yè)觀念的推進(jìn)，即使是最小的中斷 —— 關(guān)鍵業(yè)務(wù)系統(tǒng)幾分鐘或是幾小時(shí)的儲(chǔ)運(yùn)損耗、關(guān)鍵供應(yīng)商或是外部服務(wù)供應(yīng)商服務(wù)的中斷對整個(gè)經(jīng)濟(jì)形勢可能引發(fā)的潛在業(yè)務(wù)沖擊及對客戶或供應(yīng)商所產(chǎn)生的影響 —— 都可能帶來極為嚴(yán)重的商業(yè)后果。 ” 美國政府在 2020年投資 500多億美元，用于改造 IT基礎(chǔ)設(shè)施及其性能。其中政府機(jī)構(gòu)用于網(wǎng)絡(luò)安全的支出將增長 64%，達(dá)到約 30億美元?？吹缴厦娴臄?shù)字，你一定會(huì)認(rèn)為，隨著網(wǎng)絡(luò)安全支出的增長，政府部門的計(jì)算機(jī)安全環(huán)境將會(huì)得到極大的改善，能夠抵御任何形式的網(wǎng)絡(luò)威脅。然而 事實(shí)可能并非如此。 Gartner的副總裁 John Pescatore 預(yù)言，政府網(wǎng)絡(luò)安全的顯著改善至少需要花費(fèi) 3年的時(shí)間。他認(rèn)為，與個(gè)人網(wǎng)絡(luò)安全相比，政府網(wǎng)絡(luò)安全現(xiàn)在還處于遠(yuǎn)遠(yuǎn)落后的狀態(tài)，要想解決一些比較大的問題， 必須先要建立網(wǎng)絡(luò)安全的基礎(chǔ)和機(jī)制 。 目前業(yè)界普遍認(rèn)為，信息安全是政府和企業(yè)必須攜手面對的問題。政府和企業(yè)管理執(zhí)行層（董事會(huì)）有責(zé)任確保為所有使用者提供一個(gè)安全的信息系統(tǒng)環(huán)境，而且，政府部門和企業(yè)在認(rèn)識到安全的信息系統(tǒng)好處的同時(shí)，應(yīng)該自我保護(hù)以避免信息系統(tǒng)的固有風(fēng)險(xiǎn)。 中國工程院院長徐匡迪曾指出：“沒 有安全的工程就是豆腐渣工程”。 2020年我國接連不斷地出現(xiàn)程度不同的信息系統(tǒng)安全事故，這些事故不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導(dǎo)致巨大的經(jīng)濟(jì)損失，還造成了不良的社會(huì)影響。如果說經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對網(wǎng)絡(luò)社會(huì)的誠信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。 我國政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識到了信息安全的重要性。 2020年１月９日至１０日，全國信息安全保障工作會(huì)議在北京召開。中共中央政治局常委、國務(wù)院副總理黃菊出席會(huì)議并作重要講話。他指出，必須充分認(rèn)識做好信息安全保障工作 的極端重要性，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化健康發(fā)展。 為了切實(shí)加強(qiáng)金融信息安全保障工作，認(rèn)真學(xué)習(xí)和貫徹落實(shí)全國信息安全保障工作會(huì)議精神，人民銀行、銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合組織的全國金融信息安全保障工作會(huì)議在于2020年 4月 21日在京召開。會(huì)議結(jié)合當(dāng)前金融信息安全保障工作實(shí)際，研究部署了新時(shí)期金融信息安全保障工作。 我們回頭來看，政府和各行各業(yè)對信息安全的重要性有了認(rèn)識，相關(guān)的標(biāo)準(zhǔn)規(guī)范正在形成，投資力度在加大，安全技術(shù)、產(chǎn)品、 市場在發(fā)展，多數(shù)企業(yè)機(jī)構(gòu)正在制定符合不同業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)安全等級需要的綜合性安全策略和計(jì)劃。那么，我們?yōu)槭裁匆廊粵]有安全感呢？到底需要什么樣的方法或機(jī)制來治理或管理信息安全呢？經(jīng)過近一年對國內(nèi)外信息安全和最佳實(shí)務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機(jī)制，它包括治理機(jī)制和治理結(jié)構(gòu)，這種制度安排通過建立和維護(hù)一個(gè)框架來保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。 二、 信息安全治理的含義 信息 安全治理的含義 所謂信息安全治理是指最高管理層（董事會(huì)）用來監(jiān)督管理層在信息安全戰(zhàn)略上的過程、架構(gòu)及與業(yè)務(wù)的關(guān)系，以確保信息安全戰(zhàn)略與組織的業(yè)務(wù)目標(biāo)一致。它不同于信息安全管理。 信息安全管理提供管理程序、技術(shù)和保證措施，使業(yè)務(wù)管理者確信業(yè)務(wù)交易的可信性；確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)胤烙徽?dāng)操作、蓄意攻擊或者自然災(zāi)害，并從這些故障中盡快恢復(fù)；確保拒絕未經(jīng)授權(quán)的訪問。信息安全管理的目標(biāo)是公司的信息及信息系統(tǒng)的安全運(yùn)營，確定 IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)。 信息安全治理是一種基礎(chǔ)制度安排，如果缺乏健全 的制度安排，不可能有很好的信息安全管理；同樣，沒有有效的信息安全管理，單純的治理機(jī)制也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。就目前我國信息化建設(shè)的現(xiàn)狀而言，無論是信息安全治理，還是信息安全管理都是我們所迫切需要健全的。 安全是一種“買不到”的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。建立一個(gè)有效的信息安全體系首先需要在好的信息安全治理的基礎(chǔ)上，其次要制定出相關(guān)的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個(gè)架構(gòu)。相反，就不可能得到一個(gè)真正意義上的安全防護(hù)體系。所以，盡 管有些單位安裝了一些安全產(chǎn)品，但這不能稱其為實(shí)現(xiàn)了信息安全治理。 善治的信息安全治理 善治的信息安全治理應(yīng)該能做到： (1) (2) (3) 產(chǎn)識別與估價(jià)； 風(fēng)險(xiǎn)控制與管理。 (4) 三、 實(shí)現(xiàn)善治的信息安全治理 實(shí)現(xiàn)善治的信息安全治理的方法 實(shí)現(xiàn)善治的信息安全治理，需要最高管理層（董事會(huì)）、管理執(zhí)行層采用一種正確的方法。 (1) 清晰的職責(zé)分工 216。 最高管理層（董事會(huì)）層應(yīng)該做到： 將信息安全及其持續(xù)性改進(jìn)計(jì)劃落實(shí)到業(yè)務(wù)管理者； 建立審計(jì)委員會(huì)。該委員會(huì)清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計(jì)師合作； 確 保內(nèi)部和外部審計(jì)師同意，審計(jì)中包括信息安全審計(jì)委員會(huì)和管理執(zhí)行層要求的信息安全審計(jì)內(nèi)容； 216。 執(zhí)行管理層應(yīng)該做到： 報(bào)告績效為基礎(chǔ)； 風(fēng)險(xiǎn)現(xiàn)狀評估結(jié)論，提出行動(dòng)建議，并用持續(xù)的行動(dòng)強(qiáng)化執(zhí)行效果； 這就是善治的安全治理； CERT），評估非法入侵造成的影響； 障時(shí) ； 建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反； (2) 分析關(guān)鍵成功因素 這一環(huán)節(jié)要確保： 認(rèn)識到好的安全方案需要持續(xù)完善； 組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報(bào)告并負(fù)責(zé)安全方案的執(zhí)行； 管理層和員工共同理解安全的重要性、必要性、弱點(diǎn)和威脅，理解并接受他們自己的安全責(zé) 任； 定期由第三方來評估安全策略和安全體系結(jié)構(gòu)； 安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過采取入侵測試和主動(dòng)監(jiān)控措施時(shí)，將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時(shí)，應(yīng)具備對事故偵查、記錄，分析其嚴(yán)重性，編寫報(bào)告和采取行動(dòng)的能力； 清楚定義風(fēng)險(xiǎn)管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任； 定義可接受風(fēng)險(xiǎn)的界限及風(fēng)險(xiǎn)轉(zhuǎn)移、減少的策略； 定義風(fēng)險(xiǎn)管理改善行動(dòng)的職責(zé)和程序； 每隔一段時(shí)期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查； 識別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施； 使用服務(wù)水平協(xié)議，增加與 安全服務(wù)商、業(yè)務(wù)持續(xù)計(jì)劃服務(wù)商之間的合作； 在制定策略時(shí)就考慮和確定策略的執(zhí)行強(qiáng)度； 對員工進(jìn)行策略認(rèn)識、程序理解、是否遵循方面的測試； 保證部署前的應(yīng)用軟件的安全； 信息安全控制策略與業(yè)務(wù)整體戰(zhàn)略規(guī)劃相一致； 管理層確信和認(rèn)可信息安全、控制策略，強(qiáng)調(diào)溝通、理解和遵循這些策略的必要性； 采用一致的策略制定框架，指導(dǎo)策略的構(gòu)思、制定、實(shí)施和遵循； 意識到雖然 “ 內(nèi)部人 ” 是絕大部分安全風(fēng)險(xiǎn)的根源，但有組織犯罪的攻擊和其他沒有專業(yè)知識人員的攻擊也不容忽視； 適當(dāng)關(guān)注數(shù)據(jù)機(jī)密性、版權(quán)及 其他相關(guān)法律的遵循； 確保員工以符合道德、安全的方式履行責(zé)任； 榜樣的力量是無窮的。管理層必須明白信息安全對于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識的榜樣。 (3) 績效評估標(biāo)準(zhǔn) 從以下方面判斷在信息安全是否成功： 沒有引起公眾不滿的事故； 減少因?yàn)榘踩珕栴}而推遲新行動(dòng)計(jì)劃的數(shù)量； 有沒有基于信息技術(shù)的業(yè)務(wù)持續(xù)性計(jì)劃； 是否對重要的信息基礎(chǔ)設(shè)施進(jìn)行自動(dòng)監(jiān)控； 對員工從信息安全意識程度與信息安全操作實(shí)務(wù)兩方面進(jìn)行檢查評估。 通過以下方面確定信息安全治理 是否成功： 全面遵循最低安全要求，或者記錄違背最低安全要求的行為； 制定和確認(rèn)與 IT有關(guān)的規(guī)劃和策略，其內(nèi)容包含信息安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為準(zhǔn)則； 所有相關(guān)方都了解信息安全戰(zhàn)略規(guī)劃和策略。 信息安全治理成熟度模型 最高管理層（董事會(huì)）和管理執(zhí)行層可以運(yùn)用信息安全治理成熟度模型建立組織的安全級別，見圖 1和表 1。該模型被認(rèn)為是： 一種自我評估等級的方法，確定組織處于哪個(gè)級別； 一種使用自我評估結(jié)果設(shè)定將來發(fā)展目標(biāo)的方法，這個(gè)目標(biāo)是根據(jù)組織希望處于等級表的哪個(gè)級別； 一種達(dá) 到項(xiàng)目目標(biāo)的計(jì)劃方法。這個(gè)計(jì)劃是通過對當(dāng)前狀況和目標(biāo)差距分析來實(shí)施的； 一種確定項(xiàng)目優(yōu)先次序的方法。這種次序確定的依據(jù)是項(xiàng)目類別及其投資收益率。 圖 1信息安全治理成熟度模型 成熟度 級別 說明 說明 0 沒有級別 沒有業(yè)務(wù)評價(jià)流程；組織沒有考慮安全隱患和項(xiàng)目開發(fā)不確定性對業(yè)務(wù)的 影響；沒有認(rèn)識到風(fēng)險(xiǎn)管理關(guān)系到 IT解決方案的獲得和 IT服務(wù)的交付 組織沒有認(rèn)識到信息安全的必要性；沒有確定保證安全的責(zé)任和義務(wù)；沒有實(shí)行支持信息安全管理的措施；沒有對信息安全問題及時(shí)響應(yīng)的程序；完全沒有系統(tǒng)安全管理流程 不理解 IT運(yùn)作的風(fēng)險(xiǎn)、弱點(diǎn)和威脅，不理解 IT服務(wù)中斷對業(yè)務(wù)的影響；不認(rèn)為服務(wù)的持續(xù)性是管理層應(yīng)關(guān)心的問題 1 初始的或混亂的 組織以一種混亂的方式考慮 IT風(fēng)險(xiǎn)，沒有遵循定義的流程和策略；每個(gè)項(xiàng)目都是采取非正式的項(xiàng)目風(fēng)險(xiǎn)評估 組織認(rèn)識到信息安全的必要性，但是安全意識只依靠個(gè)人；被 動(dòng)考慮信息安全，沒有對信息安全進(jìn)行審計(jì)；由于職責(zé)不清，沒有人對發(fā)現(xiàn)的信息安全問題負(fù)責(zé)；無法預(yù)知信息安全問題的后續(xù)反應(yīng) 持續(xù)提供服務(wù)的職責(zé)不是正式的，且只有限地授權(quán)；管理層知道有關(guān)風(fēng)險(xiǎn)和持續(xù)服務(wù)的必要性 2 可重復(fù)的但是根據(jù)直覺 開始認(rèn)識到信息系統(tǒng)風(fēng)險(xiǎn)的重要性和必要性；有某種風(fēng)險(xiǎn)評估方法，但這個(gè)過程雖然仍然不成熟，但在完善中 信息安全職責(zé)被賦予一個(gè)了解信息安全，但沒管理權(quán)的人；員工具有不完整的和有限的安全意識，但無法分析信息安全的信息；沒有確定組織特定的信息安全需求，只是被動(dòng)對信息安全事故做出反應(yīng) ，請第三方處理這些事故；開始制定安全策略，但沒有足夠的技巧和工具；信息安全報(bào)告不完整，易于使人誤解，或不能切中要害 分配了持續(xù)服務(wù)的職責(zé)，但提供的服務(wù)不完整；系統(tǒng)可用性比較差，沒有考慮其對業(yè)務(wù)的影響 3 已定義的流程 組織范圍內(nèi)的風(fēng)險(xiǎn)管理策略定義了怎樣進(jìn)行風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)評估遵循一個(gè)已定義的流程；該流程已形成規(guī)范，適用于所有接受過相應(yīng)培訓(xùn)的員工 安全意識存在并得到管理層的促進(jìn)；安全簡報(bào)已標(biāo)準(zhǔn)化和正式化；定義信息安全程序并使其適合安全策略和程序結(jié)構(gòu)；確定信息安全職責(zé)但沒有始終如一地得到執(zhí)行；信息 安全報(bào)告面向 IT而不是面向管理；執(zhí)行了初步的入侵測試 管理層不斷交流持續(xù)服務(wù)的必要性；局部采