【正文】 球性合作網(wǎng)絡(luò)。然而 事實(shí)可能并非如此。 我國(guó)政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息安全的重要性。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。打開包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。 最高管理層（董事會(huì)）層應(yīng)該做到： (3) 績(jī)效評(píng)估標(biāo)準(zhǔn) 從以下方面判斷在信息安全是否成功： 沒有引起公眾不滿的事故； 減少因?yàn)榘踩珕栴}而推遲新行動(dòng)計(jì)劃的數(shù)量； 有沒有基于信息技術(shù)的業(yè)務(wù)持續(xù)性計(jì)劃； 是否對(duì)重要的信息基礎(chǔ)設(shè)施進(jìn)行自動(dòng)監(jiān)控； 對(duì)員工從信息安全意識(shí)程度與信息安全操作實(shí)務(wù)兩方面進(jìn)行檢查評(píng)估。這種次序確定的依據(jù)是項(xiàng)目類別及其投資收益率。 信息安全職責(zé)被賦予一個(gè)了解信息安全，但沒管理權(quán)的人；員工具有不完整的和有限的安全意識(shí)，但無法分析信息安全的信息；沒有確定組織特定的信息安全需求，只是被動(dòng)對(duì)信息安全事故做出反應(yīng) ，請(qǐng)第三方處理這些事故；開始制定安全策略，但沒有足夠的技巧和工具；信息安全報(bào)告不完整，易于使人誤解，或不能切中要害 5 優(yōu)化級(jí) 使管理部門相對(duì)容易地依據(jù)等級(jí)制對(duì)自己定位，并找出需要改善安全管理的地方。 這個(gè)框架包括法律、行動(dòng)準(zhǔn)則、技術(shù)評(píng)估、管理和用戶實(shí)踐，及公眾教育或宣傳活動(dòng)。另外，業(yè)務(wù)依賴性 （依靠第三方通信設(shè)施傳送信息，外包業(yè)務(wù)等等）也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。 美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì) (加拿大特許會(huì)計(jì)師協(xié)會(huì) )，《 SysTrust TM系統(tǒng)可靠性原理和準(zhǔn)則V20》（ 2020） SysTrust 服務(wù)是一種保證服務(wù)，用于增強(qiáng)管理者、客戶和商業(yè)伙伴對(duì)支持業(yè)務(wù)或某種特別活 動(dòng)的系統(tǒng)的信任。但是這種判斷僅僅對(duì)特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對(duì)系統(tǒng)整體可靠性的判斷。 每個(gè)流程定義了一個(gè)高級(jí)別的目標(biāo)： 識(shí)別 IT流程中最重要的信息準(zhǔn)則； 列出需要經(jīng)常調(diào)整的資源； 考慮控制 IT流程的重要方面 CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和 IT實(shí)施人員提供了超過 300個(gè)詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動(dòng)指南。 雖然 BS7799可以管理到組織、客戶、供應(yīng)的安全，但是如果在 IT系統(tǒng)和相應(yīng)的數(shù)據(jù)流程上需要更細(xì)粒度的管理，就需要搭配其他的技術(shù)標(biāo) 準(zhǔn)。 PKI/CA 認(rèn)證中心作為第三方機(jī)構(gòu)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上業(yè)務(wù)的實(shí)體所需的數(shù)字證書，數(shù)字證書是網(wǎng)絡(luò)世界中的身份證，可以在網(wǎng)絡(luò)世界中為互不見面的用戶建立安全可靠的信任關(guān)系，而這種信任關(guān)系的建立則源于 PKI/CA 認(rèn)證中心 ，構(gòu)建安全的 PKI/CA 認(rèn)證中心是至關(guān)重要的。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運(yùn)轉(zhuǎn)機(jī)制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡(jiǎn) 要說明以及對(duì)機(jī)構(gòu)尤其重要的規(guī)范實(shí)施條件的解釋；闡述信息安全的職責(zé)；等等。 2， 進(jìn)行全員化企業(yè)安全文化的建設(shè)，將安全責(zé)任落實(shí)到各業(yè)務(wù)部門、各負(fù)責(zé)人身上，例如信息維護(hù)人員必須熟知邏輯安全策略的要求，并切實(shí)將邏輯安全策略落實(shí)到具體業(yè)務(wù)工作中。如：對(duì)與密鑰生成有關(guān)的服務(wù)器要設(shè)定四個(gè)層級(jí)以上的物理保護(hù)，還要提供 UPS電源、恒溫恒濕等物理?xiàng)l件。安全響應(yīng)需要有效的流程體系和工具來保障其質(zhì)量。 4， 天威誠(chéng)信針對(duì)每一名員工（正式、非正式）及第三方用戶都簽署不同形式的保密協(xié)議，以約束保密行為?！鞍踩珔^(qū)域”目的是防止業(yè)務(wù)設(shè)施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。 7個(gè)物理安全層次一般可分為初級(jí)、敏感、高度敏感三個(gè)級(jí)別的區(qū)域?！安僮鞒绦蚝拓?zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施。 【實(shí)施方法與形式】： 1， 為了確保天威誠(chéng)信 CA中心各項(xiàng)信息處理操作的正確性和安全性，我們一方面制定了《系統(tǒng)操作運(yùn)行指南》，另一方面采用了世界 領(lǐng)先的網(wǎng)絡(luò)管理平臺(tái)并集成了安全管理模塊。 6， 最后，建立了一個(gè)完善的備份系統(tǒng)，確保系統(tǒng)的全面?zhèn)浞莺图皶r(shí)恢復(fù)。 【實(shí)施方法與形式】： 1， 天威誠(chéng)信根據(jù)自身業(yè)務(wù)運(yùn)營(yíng)特點(diǎn)，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)、數(shù)據(jù)信息五個(gè)層面制定了全面的、有效的《天威誠(chéng)信系統(tǒng)訪問控制安全策略》，并在該策略的指導(dǎo)下來實(shí)現(xiàn)整體的、全面的、有效的訪問控制機(jī)制?！皯?yīng)用系統(tǒng)安全”要求在輸入數(shù)據(jù)驗(yàn)證、內(nèi)部處理、消息認(rèn)證、輸出數(shù)據(jù)驗(yàn)證等方面采取安全措施。 3， 另外，制定了《處理中心任務(wù)和職責(zé) — 責(zé)任隔離》、《 CSU/加密卡運(yùn)送簽收文件》、《運(yùn)送過程（香港 — 北京）的描述》等詳盡的規(guī)范。 【實(shí)施方法與形式】：天威誠(chéng)信結(jié)合 BS7799 的“ PDCA”動(dòng)態(tài)管理思路 ，對(duì)于符合性采用有效地設(shè)計(jì)規(guī)劃，針對(duì)于 BS7799 建議的三個(gè)控制目標(biāo)，天威誠(chéng)信采用多種安全措施進(jìn)行實(shí)際運(yùn)營(yíng)控制： 1， 天威誠(chéng)信針對(duì) CA 機(jī)構(gòu)的情況進(jìn)行了相關(guān)法律、規(guī)定的標(biāo)示，例如明確標(biāo)示 CA 中心必須符合且不限于以下的基礎(chǔ)標(biāo)準(zhǔn)： 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)（ GB 9361－ 88）：《計(jì)算站場(chǎng)地安全要求》 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)（ GB 2887－ 89）：《計(jì)算站場(chǎng)地技術(shù)條件》 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)（ GB 6650－ 86）：《計(jì)算機(jī)機(jī)房用活動(dòng)地 板技術(shù)條件》 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)（ GB 50174－ 93）：《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)（ GB 9254－ 88）：《信息技術(shù)設(shè)備的無線電干擾極限值和測(cè)量方法》 中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心：《信息系統(tǒng)安全性評(píng)價(jià)準(zhǔn)則及測(cè)試規(guī)范－系統(tǒng)和設(shè)施要求》 國(guó)家商用密碼管理委員會(huì)辦公室：《中華人民共和國(guó)商用密碼管理?xiàng)l例》 結(jié)合自身安全條件及相關(guān)法律要求以適當(dāng)?shù)氖侄螌?duì)公司的知識(shí)產(chǎn)權(quán)加以保護(hù) 2， 為了建立和保持 CA 中心的可靠信譽(yù)，天威誠(chéng)信制定了嚴(yán)格的審計(jì)方法和審計(jì)過程對(duì) CA中心及其所有分支機(jī)構(gòu)進(jìn)行定期審計(jì)。集團(tuán)總部位于挪威，目前在全球 10 多個(gè)國(guó)家和地區(qū)擁有分支結(jié)構(gòu)和完善的營(yíng)銷與服務(wù)支持網(wǎng)絡(luò)。審計(jì) Review amp。 （ 2）應(yīng)避免風(fēng)險(xiǎn)評(píng)估僅限于 IT部門和安全專家的參與。我們這個(gè)案例就很明顯地體現(xiàn)了這點(diǎn)，由于既定的范圍不包括復(fù)雜的網(wǎng)絡(luò)和 IT資產(chǎn)，因此，在弱點(diǎn)分析時(shí)主要考慮組織和物理方面的技術(shù)弱點(diǎn)，如：客戶介質(zhì)在交遞、保管、處理、返還等環(huán)節(jié)的安全隱患，以及安全實(shí)驗(yàn)室的實(shí)物與環(huán)境安全等。此外，為了提高評(píng)估的效率，還可以采用了專業(yè)化的評(píng)估軟件以減少評(píng)估的人為失誤和文檔編制時(shí)間。 在接下來的實(shí)施階段，首先進(jìn)行員工培訓(xùn)，然后根據(jù)安全控制實(shí)施計(jì)劃逐條落實(shí)相關(guān)的措施，包括組織建設(shè)、資產(chǎn)分類、增強(qiáng)的門禁，實(shí)驗(yàn)室裝修，區(qū)域劃分，改善的介質(zhì)處理流程、方式，以及業(yè)務(wù)可持續(xù)性計(jì)劃的編制、模擬和演練等。 BS7799是一項(xiàng)英國(guó)開發(fā)設(shè)立的安全標(biāo)準(zhǔn)，頒發(fā)于 1999年，定義了在信息安全管理方面的最佳實(shí)踐。企業(yè)可以根據(jù)自己的實(shí)際業(yè)務(wù)和 IT環(huán)境，來決定是否采用其定義的安全措施（ SOA聲明）。安全方針和這些文檔一起需要基于角色的訪問 控制，來保證它們?cè)趶V泛獲知的同時(shí)，還能夠處于良好的管理維護(hù)之下。 Access Management 套件可以提供全生命周期的用戶管理以及訪問權(quán)限管理，嚴(yán)格保 證第三方訪問過程中的安全風(fēng)險(xiǎn)，同時(shí)保證正常的業(yè)務(wù)關(guān)系。“用戶培訓(xùn)”要求確保員工理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行?！鞍踩珔^(qū)域”目的是防止業(yè)務(wù)設(shè)施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。 通信和運(yùn)行管理 通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和驗(yàn)收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟 件交換。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視?！皟?nèi)務(wù)管理”的目標(biāo)是維護(hù)信息處理和通信服務(wù)的完整性和可用性，控制措施包括信息備份、操作日志和錯(cuò)誤日志。 1 CA eTrust 20/20 與 eTrust Security Command Center 的聯(lián)合可以提供對(duì)物理安全系統(tǒng)的監(jiān)控，以及物理安全系統(tǒng)和 IT安全系統(tǒng)之間的聯(lián)動(dòng)、相關(guān)。 1 CA eTrust Identity Management可以幫助建立跨平臺(tái)、復(fù)雜異構(gòu)環(huán)境下的用戶、角色、賬號(hào)等的統(tǒng)一管理。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助企業(yè)開發(fā)信息資產(chǎn)分類、標(biāo)識(shí)、資產(chǎn)目錄等方面的策略和實(shí)施方法。 安全組織 安全組織包含三個(gè)控制目標(biāo)：企業(yè)信息基礎(chǔ)架構(gòu) 、第三方訪問安全以及外包。典型的安全方針內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運(yùn)轉(zhuǎn)機(jī)制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡(jiǎn)要說明以及對(duì)機(jī)構(gòu)尤其重要的規(guī) 范實(shí)施條件的解釋；闡述信息安全的職責(zé)；等等。 通過本文檔的介紹，讀者可以了解到如何利用冠群電腦（中國(guó)）有限公司 (以下簡(jiǎn)稱 CA)公司的產(chǎn)品和服務(wù)來滿足 BS7799 安全體系（ ISMS）建設(shè)方面的需求，并通過 BS7799的認(rèn)證。隨著國(guó)家、地區(qū)和行業(yè)法規(guī)在安全要求方面的日益注重和完善，這種競(jìng)爭(zhēng)優(yōu)勢(shì)將不斷擴(kuò)大。 辦好培訓(xùn)，其實(shí)有很多方式，最好的方式 是案例分析，其次是高層動(dòng)員。弱點(diǎn)識(shí)別往往包括內(nèi)、外兩方面不同的觀點(diǎn)，但在資產(chǎn)和威脅分析時(shí)，顧問公司只是教給客戶標(biāo)準(zhǔn)和方法，讓客戶自己分析判斷，紀(jì)錄和整理最終的結(jié)果。當(dāng)發(fā)生各成員評(píng)估結(jié)果不一致的情況時(shí)，項(xiàng)目經(jīng)理也應(yīng)參照安全目標(biāo)的定義進(jìn)行裁決。 僅就認(rèn)證目的而言，企業(yè)可以選擇任何部門和系統(tǒng)，但顯然只有與業(yè)務(wù)目標(biāo)一致的范圍定義才有助于體現(xiàn)安全管理對(duì)于核心業(yè)務(wù)的促進(jìn)作用。 二、 客戶需求 鑒于數(shù)據(jù)銷毀和恢復(fù)業(yè)務(wù)的高敏感性，客戶對(duì)于服務(wù)商在服務(wù)過程中保護(hù)客戶隱私，防止敏感信息泄密方面的安全性和信譽(yù)度普遍存在不同程度的擔(dān)憂，這不僅僅是領(lǐng)先的專業(yè)技術(shù)和市場(chǎng)知名度所能涵蓋，更重要的是企業(yè)如何體現(xiàn)對(duì)客戶信息的安全保障水平。認(rèn)證中心從建立至今，還沒有發(fā)生過一起影響業(yè)務(wù)正常運(yùn)行的安全事故。 符合性 【符合性的建設(shè)要點(diǎn)】：符合性包括三個(gè)控制目標(biāo)：符合法律要求、對(duì)安全策略和技術(shù)符合性的評(píng)估、系統(tǒng)審核考慮。 【實(shí)施方法與形式】： 1， 天威誠(chéng)信的運(yùn)行體系中 涉及了少量的開發(fā)內(nèi)容，盡管如此，我們還是對(duì)這些開發(fā)工作按照軟件工程生命周期的各個(gè)環(huán)節(jié)進(jìn)行了嚴(yán)格控制，充分考慮了各項(xiàng)活動(dòng)中的安全因素。 8， 對(duì)于數(shù)據(jù)信息的訪問控制，我們采用了加密、完整性校驗(yàn)等技術(shù)，另外對(duì)于屬于最高安全性的數(shù)據(jù)信息，我們對(duì)其所屬的網(wǎng)絡(luò)和環(huán)境采用了最嚴(yán)格的物理隔離措施，使其與其它工作區(qū)及外部網(wǎng)絡(luò)進(jìn)行完全物理隔離?！坝脩糌?zé)任”要求明確用戶在口令和信息設(shè)備使用方面的責(zé)任。該機(jī)制使得風(fēng)險(xiǎn)要素可準(zhǔn)確地通過各種底層支撐產(chǎn)品（防火墻、掃描器、入侵檢測(cè)、審計(jì)）進(jìn)行采集，并最終匯總到管理平臺(tái)進(jìn)行事件間的關(guān)聯(lián)分析，從而以更為準(zhǔn)確、適用的方式呈現(xiàn)在管理者面前?！熬W(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護(hù)支持性的基礎(chǔ)架構(gòu)。 7， 對(duì)于特定要求的設(shè)備，天威誠(chéng)信還采用了屏蔽室來加以保護(hù)。天威誠(chéng)信針對(duì)物理和環(huán)境安全管理重點(diǎn)制定了《物理安全策略》，物理安全的重要性不僅在于其對(duì)認(rèn)證中心資產(chǎn)的明顯保護(hù)作用，而且還為認(rèn)證中心提供了一種安全的管理方法。對(duì)于普通的安全事件由各業(yè)務(wù)部門進(jìn)行記錄上報(bào)或由安全管理部直接查明后記錄歸檔；針對(duì)于不同業(yè)務(wù)領(lǐng)域的安全事故，天威誠(chéng)信組織成立 了不同知識(shí)結(jié)構(gòu)的安全應(yīng)急響應(yīng)小組進(jìn)行及時(shí)的相應(yīng)處理工作?？尚湃藛T是指必須接受并通過特定的背景調(diào)查，表明他們有能力維持進(jìn)行關(guān)鍵操作，并且具有必要的信任級(jí)別。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)。 5， 對(duì)于外包，在進(jìn)行外包活動(dòng)前，天威誠(chéng)信會(huì)組織專業(yè)人員進(jìn)行嚴(yán)格的考察、討論，滿足認(rèn)證中心的安全條件是外包活動(dòng)的必要條件，另外在實(shí)施外包活動(dòng)中，天威誠(chéng)信會(huì)依據(jù)外包合同進(jìn)行各種必要的審計(jì)工作。安全組織要求定義企業(yè)機(jī)構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實(shí)安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時(shí)，要求管理者能夠識(shí)別第三方合作和外包過程中的風(fēng)險(xiǎn)，并通過相關(guān)的合同控制安全風(fēng)險(xiǎn)。為了實(shí)現(xiàn)這個(gè)目標(biāo)，天威誠(chéng)信通過認(rèn)真學(xué)習(xí)和研究 BS7799，認(rèn)為 BS7799對(duì)安全管理 方面的定義和描述完全滿足 PKI/CA認(rèn)證中心的安全性要求，并且該標(biāo)準(zhǔn)已經(jīng)可以作為國(guó)際公認(rèn)的可用于認(rèn)證、認(rèn)可的安全管理標(biāo)準(zhǔn)。 天威誠(chéng)信依照我國(guó)國(guó)情和密碼管理政策，借鑒國(guó)外先進(jìn)技術(shù)及管理方法，依據(jù) BS7799建設(shè)和運(yùn)營(yíng)政府認(rèn)可的、權(quán)威、可信、公正的 PKI/CA認(rèn)證中心，研制了具有自主知識(shí)產(chǎn)權(quán)的 PKI產(chǎn)品及應(yīng)用，對(duì)外提供全面的數(shù)字信任服務(wù)。 信息安全治理是一個(gè)仍在繼續(xù)發(fā)展的領(lǐng)域，除了前面提到的規(guī)范外，尤其要切記的是信息安全管理是信息安全治理實(shí)現(xiàn)的前提。 CoBIT起源于 IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提。系統(tǒng)的界限由系統(tǒng)所有者 確定，但必須包括以下幾個(gè)關(guān)鍵部分：基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)。 ISO17799 認(rèn)為信息安全有下列特征： 機(jī)密性 —— 確保信息只被相應(yīng)的授權(quán)用戶訪問； 完整性 —— 保護(hù)信息和處理 信息程序的準(zhǔn)確性和完整性； 可用性