【正文】 50 000次攻擊，其中 65%攻擊成功，防范和彌補損失的費用高達數億美元。以美國政府為例，“ 9 11 后企業(yè)依然沒有提高警惕，這一點從 Gartner 研究主管 Donna Scott 進行的調查中就可以明顯地反映出來，這次調查是 Scott在 2020年關于保持業(yè)務持續(xù)性發(fā)展問題的陳述報告的一部分。其中政府機構用于網絡安全的支出將增長 64%，達到約 30億美元。他認為，與個人網絡安全相比，政府網絡安全現在還處于遠遠落后的狀態(tài)，要想解決一些比較大的問題， 必須先要建立網絡安全的基礎和機制 。 2020年我國接連不斷地出現程度不同的信息系統(tǒng)安全事故，這些事故不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導致巨大的經濟損失，還造成了不良的社會影響。中共中央政治局常委、國務院副總理黃菊出席會議并作重要講話。 我們回頭來看，政府和各行各業(yè)對信息安全的重要性有了認識，相關的標準規(guī)范正在形成，投資力度在加大，安全技術、產品、 市場在發(fā)展，多數企業(yè)機構正在制定符合不同業(yè)務系統(tǒng)和網絡安全等級需要的綜合性安全策略和計劃。它不同于信息安全管理。就目前我國信息化建設的現狀而言，無論是信息安全治理，還是信息安全管理都是我們所迫切需要健全的。相反，就不可能得到一個真正意義上的安全防護體系。 (4) 三、 實現善治的信息安全治理 實現善治的信息安全治理的方法 實現善治的信息安全治理，需要最高管理層（董事會）、管理執(zhí)行層采用一種正確的方法。建立審計委員會。 采用一致的策略制定框架，指導策略的構思、制定、實施和遵循； 意識到雖然 “ 內部人 ” 是絕大部分安全風險的根源，但有組織犯罪的攻擊和其他沒有專業(yè)知識人員的攻擊也不容忽視； 適當關注數據機密性、版權及 其他相關法律的遵循； 確保員工以符合道德、安全的方式履行責任； 榜樣的力量是無窮的。 全面遵循最低安全要求，或者記錄違背最低安全要求的行為； 該模型被認為是： 一種自我評估等級的方法，確定組織處于哪個級別； 一種使用自我評估結果設定將來發(fā)展目標的方法，這個目標是根據組織希望處于等級表的哪個級別； 一種達 到項目目標的計劃方法。 沒有業(yè)務評價流程；組織沒有考慮安全隱患和項目開發(fā)不確定性對業(yè)務的 影響；沒有認識到風險管理關系到 IT解決方案的獲得和 IT服務的交付 持續(xù)提供服務的職責不是正式的，且只有限地授權；管理層知道有關風險和持續(xù)服務的必要性 2 可重復的但是根據直覺 組織范圍內的風險管理策略定義了怎樣進行風險評估；風險評估遵循一個已定義的流程；該流程已形成規(guī)范，適用于所有接受過相應培訓的員工 概述起來 ，信息安全治理成熟度模型方法和其他成熟度模型一樣，具有以下幾個方面的優(yōu)點或作用： 0～ 5等級是基于一個簡單的成熟性量度，體現出一個處理如何從不存在級發(fā)展到優(yōu)化級的管理過程，增加成熟度意味著增強風險管理與提高管理效率 。 美國、 OECD的其他 23 個成員國，以及十幾個非 OECD成員國家都批準了這一指南。 國際會計師聯合會，《信息安全管理》（ 1998） 信息安全的目標是 “ 保護依靠信息、信息系統(tǒng)和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失 ” 。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動，也可能來自內部或外部。該標準適應任何規(guī)模的組織。安全是通過實施一套恰當的控制措施實現的。 可用性 —— 系統(tǒng)在服務水平聲明或協(xié)議規(guī)定的時間內可以運行和使用； 安全性 —— 確保系統(tǒng)拒絕未經授權的物理的或邏輯的訪問； 完整性 —— 系統(tǒng)的數據處理是完整的、準確的、及時的和被授權的； 可維護性 —— 必要時能夠升級系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖 突。對系統(tǒng)四個標準的判斷組成對系統(tǒng)整體可靠性的判斷。在 1998年，第二版在增加了控制目標和實施工具集后出版。 CoBIT進一步把 IT分成 4個領域（計劃和組織，獲取和實施，交付和支持，監(jiān)控），共計34個 IT業(yè)務流程。 COBIT框架 通過聯結業(yè)務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。企業(yè)在進行信息安全管理體系建制時，首先當然還是要選好進行安全管理體系建設的依據，目前，最為主流的還是采用 ISO17799／ BS7799認可的相關的配套實施和認證體現等來建立。在以后的章節(jié)中，我們將從的標準介紹、理解實施與案例分析來全面剖析企業(yè)信息安全管理體系 (BS7799)的建制。天威誠信正以其領先的技術、先進的管理方法和全面而精湛的產品與服務，為中國的信息安全服務。 顧客將期望 PKI/CA認證中心在各個方面都展示出最高水平的安全，但由于影響安全的要素眾多，從具體的物理安全到抽象的邏輯安全，其中既有人為因素也有非人為因素的影響，要解決這些問題，一個信息系統(tǒng)需實現包括信息系統(tǒng)安全、數據通信安全、密 鑰管理安全、證書管理、安全審計、物理安全和人員安全等等方面的安全防御體系，需要制定出詳細的策略并遵照執(zhí)行，而目前我國還沒有專門針對 PKI/CA 認證中心的安全性建設制訂一套有效的策略和規(guī)范。 二、如何 結合 BS7799建設 PKI/CA認證中心 下面我們從 BS7799定義的十個安全管理領域出發(fā)，分別闡述 CA中心的運營安全管理體系是如何與其控制點進行結合的。 在實際運營建設中，天威誠信參照 BS7799 建議的控制措施，對安全策略進行文檔化控制，在企業(yè)范圍內最大化的為廣大用戶及內部員工所了解和接受，并指導各種規(guī)定制度、操作程序的制定及實施，并定期進行評審和評估 。另外，考慮到責任范圍及知識域全面性，天威誠信還組織高層安全管理小組以及跨部門安全小組這兩個非常 設性的行政組織來實現不同信息安全管理的控制需要。必要時聘請外部專家給與信息安全管理工作指導性的建議及意見。資產責任要求建立起翔實、全面的資產目錄；而信息分類則要求建立企業(yè)的信息分類原則，通過信息標準和相關處理來確保信息資產能夠得到適當等級的保護。對于內部信息的傳輸，天威誠信更是利用自身的技術、管理優(yōu)勢進行了證書管理機制?！坝脩襞嘤枴币蟠_保員工知曉和理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。參照 BS7799建議的控制措施對于三個控制目標天威誠信進行多方面的管理控制： 1， “可信雇員政策”是人員安全系統(tǒng) 的基礎。 3， “職責分割政策”針對天威誠信認證中心每個職能的功能領域制定了相應的責任范圍及物理安全要求。 5， 所有新員工都必須經過相應的安全培訓，涉及到安全管理、技術、實施的員工還必須經過相應考核。 8， 為了維持安全策略的正常實施，警戒安全時間、事故的再次發(fā)生，天威誠信還制定《違規(guī)處罰辦法》以確保公正、有效處理安全事件、事故?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊?、以及資產清理等。具體包括： CA 設施的物理建設措施、 CA 設施的分層訪問控制措施、物理侵入檢測系統(tǒng)建設措施，設備、設 施保障措施，運營管理措施等： 1， 天威誠信對建筑物如：整體建筑、墻壁、地板和天花板、入口門、其它門、窗口、其他孔口都制定詳細安全要求。 5， 電源方面，天威誠信采用雙路供電、配合 UPS電源組、以及多臺大功率發(fā)電機。 9， 對于一般的運營控制，如對文件資料、各類機器設備以及屏幕保護的管理控制，天威誠信制定的《安全管理規(guī)范》來對實際運營中的各種風險進行控制管理?！皭阂廛浖雷o”的目標是保護軟件和信息的完整性免受惡意軟件的傷害?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過程中丟失、被修改或者被誤用。 2， 專用網管軟件的采用很好解決了性能監(jiān)控、故障管理、配置管理、變更控制等問題。在應用方面我們采用專用內容過濾技術防止各種惡意內容到達企業(yè)內部。“訪問控制策略”要求建立覆蓋公司核心業(yè)務的系統(tǒng)訪問策略，以指導相關的 IT活動?！氨O(jiān)控系統(tǒng)的訪問和使用”要求采取手段，保證時 鐘同步，記錄監(jiān)控系統(tǒng)的使用和各種事件。 5， 在用戶責任方面我們在安全策略中明確了不同主體在使用客體時的責任。 系統(tǒng)開發(fā)與維護 【系統(tǒng)開發(fā)與維護的建設要點】：系統(tǒng)開發(fā)和維護包括五個控制目標： 系統(tǒng)的安全要求、應用系統(tǒng)安全、密碼控制、系統(tǒng)文件的安全、以及開發(fā)和支持過程中的安全 ?！跋到y(tǒng)文件安全”要求采取措施，保護運行軟件、系統(tǒng)測試數據以及源程序庫的安全。 2， 密鑰生產過程首先定義了密鑰管理員、密鑰生成規(guī)程主管的職責。 【實施方法與形式】：天威誠信為維護整個組織的業(yè)務連續(xù)性，結合 BS7799的控制目標制定《應急管理程序》、《災難恢復計 劃》、《備份計劃》等安全策略、規(guī)定，并參照 BS7799的控制措施進行日常運行管理： 1， 天威誠信根據業(yè)務特點，對可能發(fā)生故障、災難及其他影響運營的環(huán)節(jié)進行了標示，并進行相應的風險分析 2， 編制、執(zhí)行了“應急管理程序”、“災難恢復計劃”、“備份計劃”等管理程序 3， 落實各種應急措施的責任人，并明確其在業(yè)務連續(xù)性計劃中的職責?！皩Π踩呗院图夹g符合性的評估”要求采取審計監(jiān)督措施來保證企業(yè)的安全策略得到了遵守、各種技術活動處于合法狀態(tài)。 3， 天威誠信制定了明確的內部審計程序來約定內部審計的范圍及程序，包括審計范圍、審計記錄的管理、審計的時效性、審計的參考標準等 4， 天威誠信還引進了外部第三方審計的方式，更公正、透明來保障企業(yè)的安全策略得到遵守。 總之， BS7799的應用，不僅僅提升了天威誠信 PKI/CA認證中心安全管理方面的優(yōu)勢，還提升了人員的安全管理理念，還提升了認證中心的客戶信任度，還為天威誠信帶來了巨大的經濟利益。 IBAS香港是 Ibas在亞洲較早成立的分支機構，擁有先進的數據恢復中心和安全實驗室。 三、 實施過程 表 101 給出了項目的時間規(guī)劃表，包括四個大的階段：準備階段、計劃階段、體系運行階段、復查和審計階段，遵循 BS7799 的 PDCA過程模型。在項目實施過程中，主要的難點包括： 如何確定 ISMS的范圍？ ISMS 范圍的正確訂立是 整個實施的基礎和成敗關鍵。 如何進行風險 評估？ 風險評估被公認為 ISMS實施過程最關鍵和難以操作的環(huán)節(jié)，因此， BS7799 的實施并不限定客戶使用什么風險評估方法。因此，在一開始就應把業(yè)務骨干納入到風險評估小組，通過培訓讓所有成員理解風險評估的目的、組織流程和方法?？蛻艨赡?認為只有后者才是值得尊重的專業(yè)服務，但事實上風險不僅來自技術弱點，還包括組織弱點，如業(yè)務流程、人員和資產管理等。如客戶交來介質時如何接待，對包裝 如何檢查，標記、存放，當實驗室工作人員暫時離開，如何確保環(huán)境和客戶介質的安全等。如果一定要對資產價值，安全威脅和弱點對企業(yè)業(yè)務的影響等評估活動的結果嚴格數字化，以提供更好的財務決策，不僅可能導致 實施進度失控，而且可能因為缺乏足夠的參考標準和過于繁復的過程而導致不可操作。安全管理體系的良好運作，依賴于制度和組織機制，更依賴于各種角色人員的安全意識，和對安全方針的理解與遵守程度。 在這個案例中，由于客戶缺乏安全策略開發(fā)的能力，加安幫助開發(fā)了完整的安全方針手冊。目前，這套系統(tǒng)正等待正式證書的下達。正是因為擁有這套機制，才確保企業(yè)在不斷變化的安全風險環(huán)境中，始終能夠通過科學的方法和持續(xù)的改進，達到管理者可接受的安全風險水平。 1 第 2 部分提供了可以作為風險管理評估結果使用的安全控制規(guī)范，可以作為 IT 企業(yè)正 式通過 BS7799標準認證的依據。它將每個主要領域分解為若干個安全控制目標（共 36個控制目標），每個目標又由若干個控制措施來支持（共 127個控制措施）。 三、利用 CA的產品和服務設計 ISMS 下面將針對 BS7799定義的十個安全管理領域分別闡述 CA的產品和服務解決方案。 1 第三，安全方針作為指導信息安全活動的“憲法”，企業(yè)中其它的各種規(guī)定制度等不應該與之沖突。 1 CA eTrust Security Command Center 可以幫助建立完備的安全信息平臺，實現安全策略及其支持性文檔的發(fā)布、共享、查詢和評論等。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助識別安全組織和企業(yè)安全方面的需求，提供業(yè)界的最佳實踐參考，幫助設計適合的安全組織架構。 資產分類及控制 資產分類及控制包括兩個控制目標：資產責任和信息分類。該部分與安全組織一道，構成了企業(yè)安全管理的基礎。安全響應需要有效的流程體系和工具來保障其質量。 1 CA Unicenter ServiceDesk 可以提供符合 ITIL最佳實踐的事件報告、響應跟蹤，實現工作流程和服務臺功能，并且?guī)椭⒅R庫，積累和共享在安全管理活動中的經驗教訓?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊弧⒁约百Y產清理等。 1 CA Unicenter Asset Management 可以提供跨平臺、復雜異構環(huán)境下的 IT 資產管理、桌面系統(tǒng)的統(tǒng)一控制?！跋到y(tǒng)計劃和驗收”的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標是將系統(tǒng)故障的風險降低到最低水平?！敖橘|處理與安全”對于目前移動性越來越高的企業(yè) IT環(huán)境來說具有特 殊意義，其目標是防止資產受到破壞，防止商業(yè)活動受