【正文】 球性合作網(wǎng)絡(luò)。然而 事實可能并非如此。 我國政府主管部門以及各行各業(yè)已經(jīng)認識到了信息安全的重要性。從后面的分析闡述中，我們可以看到有效的信息安全治理是非常必要的。打開包裝箱后即插即用并提供足夠安全水平的安全防護體系是不存在的。 最高管理層（董事會）層應(yīng)該做到： (3) 績效評估標(biāo)準(zhǔn) 從以下方面判斷在信息安全是否成功： 沒有引起公眾不滿的事故； 減少因為安全問題而推遲新行動計劃的數(shù)量； 有沒有基于信息技術(shù)的業(yè)務(wù)持續(xù)性計劃； 是否對重要的信息基礎(chǔ)設(shè)施進行自動監(jiān)控； 對員工從信息安全意識程度與信息安全操作實務(wù)兩方面進行檢查評估。這種次序確定的依據(jù)是項目類別及其投資收益率。 信息安全職責(zé)被賦予一個了解信息安全，但沒管理權(quán)的人；員工具有不完整的和有限的安全意識，但無法分析信息安全的信息；沒有確定組織特定的信息安全需求，只是被動對信息安全事故做出反應(yīng) ，請第三方處理這些事故；開始制定安全策略，但沒有足夠的技巧和工具；信息安全報告不完整，易于使人誤解，或不能切中要害 5 優(yōu)化級 使管理部門相對容易地依據(jù)等級制對自己定位，并找出需要改善安全管理的地方。 這個框架包括法律、行動準(zhǔn)則、技術(shù)評估、管理和用戶實踐，及公眾教育或宣傳活動。另外，業(yè)務(wù)依賴性 （依靠第三方通信設(shè)施傳送信息，外包業(yè)務(wù)等等）也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。 美國注冊會計師協(xié)會 (加拿大特許會計師協(xié)會 )，《 SysTrust TM系統(tǒng)可靠性原理和準(zhǔn)則V20》（ 2020） SysTrust 服務(wù)是一種保證服務(wù)，用于增強管理者、客戶和商業(yè)伙伴對支持業(yè)務(wù)或某種特別活 動的系統(tǒng)的信任。但是這種判斷僅僅對特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對系統(tǒng)整體可靠性的判斷。 每個流程定義了一個高級別的目標(biāo)： 識別 IT流程中最重要的信息準(zhǔn)則； 列出需要經(jīng)常調(diào)整的資源； 考慮控制 IT流程的重要方面 CoBIT為正在尋求控制實施最佳實踐的管理者和 IT實施人員提供了超過 300個詳細的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動指南。 雖然 BS7799可以管理到組織、客戶、供應(yīng)的安全，但是如果在 IT系統(tǒng)和相應(yīng)的數(shù)據(jù)流程上需要更細粒度的管理，就需要搭配其他的技術(shù)標(biāo) 準(zhǔn)。 PKI/CA 認證中心作為第三方機構(gòu)，專門負責(zé)發(fā)放并管理所有參與網(wǎng)上業(yè)務(wù)的實體所需的數(shù)字證書，數(shù)字證書是網(wǎng)絡(luò)世界中的身份證，可以在網(wǎng)絡(luò)世界中為互不見面的用戶建立安全可靠的信任關(guān)系，而這種信任關(guān)系的建立則源于 PKI/CA 認證中心 ，構(gòu)建安全的 PKI/CA 認證中心是至關(guān)重要的。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運轉(zhuǎn)機制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡 要說明以及對機構(gòu)尤其重要的規(guī)范實施條件的解釋；闡述信息安全的職責(zé)；等等。 2， 進行全員化企業(yè)安全文化的建設(shè)，將安全責(zé)任落實到各業(yè)務(wù)部門、各負責(zé)人身上，例如信息維護人員必須熟知邏輯安全策略的要求，并切實將邏輯安全策略落實到具體業(yè)務(wù)工作中。如：對與密鑰生成有關(guān)的服務(wù)器要設(shè)定四個層級以上的物理保護，還要提供 UPS電源、恒溫恒濕等物理條件。安全響應(yīng)需要有效的流程體系和工具來保障其質(zhì)量。 4， 天威誠信針對每一名員工（正式、非正式）及第三方用戶都簽署不同形式的保密協(xié)議，以約束保密行為。“安全區(qū)域”目的是防止業(yè)務(wù)設(shè)施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。 7個物理安全層次一般可分為初級、敏感、高度敏感三個級別的區(qū)域?！安僮鞒绦蚝拓?zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施。 【實施方法與形式】： 1， 為了確保天威誠信 CA中心各項信息處理操作的正確性和安全性，我們一方面制定了《系統(tǒng)操作運行指南》，另一方面采用了世界 領(lǐng)先的網(wǎng)絡(luò)管理平臺并集成了安全管理模塊。 6， 最后，建立了一個完善的備份系統(tǒng)，確保系統(tǒng)的全面?zhèn)浞莺图皶r恢復(fù)。 【實施方法與形式】： 1， 天威誠信根據(jù)自身業(yè)務(wù)運營特點，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、數(shù)據(jù)信息五個層面制定了全面的、有效的《天威誠信系統(tǒng)訪問控制安全策略》，并在該策略的指導(dǎo)下來實現(xiàn)整體的、全面的、有效的訪問控制機制?！皯?yīng)用系統(tǒng)安全”要求在輸入數(shù)據(jù)驗證、內(nèi)部處理、消息認證、輸出數(shù)據(jù)驗證等方面采取安全措施。 3， 另外，制定了《處理中心任務(wù)和職責(zé) — 責(zé)任隔離》、《 CSU/加密卡運送簽收文件》、《運送過程（香港 — 北京）的描述》等詳盡的規(guī)范。 【實施方法與形式】：天威誠信結(jié)合 BS7799 的“ PDCA”動態(tài)管理思路 ，對于符合性采用有效地設(shè)計規(guī)劃，針對于 BS7799 建議的三個控制目標(biāo)，天威誠信采用多種安全措施進行實際運營控制： 1， 天威誠信針對 CA 機構(gòu)的情況進行了相關(guān)法律、規(guī)定的標(biāo)示，例如明確標(biāo)示 CA 中心必須符合且不限于以下的基礎(chǔ)標(biāo)準(zhǔn)： 中華人民共和國國家標(biāo)準(zhǔn)（ GB 9361－ 88）：《計算站場地安全要求》 中華人民共和國國家標(biāo)準(zhǔn)（ GB 2887－ 89）：《計算站場地技術(shù)條件》 中華人民共和國國家標(biāo)準(zhǔn)（ GB 6650－ 86）：《計算機機房用活動地 板技術(shù)條件》 中華人民共和國國家標(biāo)準(zhǔn)（ GB 50174－ 93）：《電子計算機機房設(shè)計規(guī)范》 中華人民共和國國家標(biāo)準(zhǔn)（ GB 9254－ 88）：《信息技術(shù)設(shè)備的無線電干擾極限值和測量方法》 中國國家信息安全測評認證中心：《信息系統(tǒng)安全性評價準(zhǔn)則及測試規(guī)范－系統(tǒng)和設(shè)施要求》 國家商用密碼管理委員會辦公室：《中華人民共和國商用密碼管理條例》 結(jié)合自身安全條件及相關(guān)法律要求以適當(dāng)?shù)氖侄螌镜闹R產(chǎn)權(quán)加以保護 2， 為了建立和保持 CA 中心的可靠信譽，天威誠信制定了嚴(yán)格的審計方法和審計過程對 CA中心及其所有分支機構(gòu)進行定期審計。集團總部位于挪威，目前在全球 10 多個國家和地區(qū)擁有分支結(jié)構(gòu)和完善的營銷與服務(wù)支持網(wǎng)絡(luò)。審計 Review amp。 （ 2）應(yīng)避免風(fēng)險評估僅限于 IT部門和安全專家的參與。我們這個案例就很明顯地體現(xiàn)了這點，由于既定的范圍不包括復(fù)雜的網(wǎng)絡(luò)和 IT資產(chǎn)，因此，在弱點分析時主要考慮組織和物理方面的技術(shù)弱點，如：客戶介質(zhì)在交遞、保管、處理、返還等環(huán)節(jié)的安全隱患，以及安全實驗室的實物與環(huán)境安全等。此外，為了提高評估的效率，還可以采用了專業(yè)化的評估軟件以減少評估的人為失誤和文檔編制時間。 在接下來的實施階段，首先進行員工培訓(xùn)，然后根據(jù)安全控制實施計劃逐條落實相關(guān)的措施，包括組織建設(shè)、資產(chǎn)分類、增強的門禁，實驗室裝修，區(qū)域劃分，改善的介質(zhì)處理流程、方式，以及業(yè)務(wù)可持續(xù)性計劃的編制、模擬和演練等。 BS7799是一項英國開發(fā)設(shè)立的安全標(biāo)準(zhǔn)，頒發(fā)于 1999年，定義了在信息安全管理方面的最佳實踐。企業(yè)可以根據(jù)自己的實際業(yè)務(wù)和 IT環(huán)境，來決定是否采用其定義的安全措施（ SOA聲明）。安全方針和這些文檔一起需要基于角色的訪問 控制，來保證它們在廣泛獲知的同時，還能夠處于良好的管理維護之下。 Access Management 套件可以提供全生命周期的用戶管理以及訪問權(quán)限管理，嚴(yán)格保 證第三方訪問過程中的安全風(fēng)險，同時保證正常的業(yè)務(wù)關(guān)系?！坝脩襞嘤?xùn)”要求確保員工理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。“安全區(qū)域”目的是防止業(yè)務(wù)設(shè)施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。 通信和運行管理 通信和運行管理包括七個控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計劃和驗收、惡意軟件防護、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟 件交換。通信和運行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視?！皟?nèi)務(wù)管理”的目標(biāo)是維護信息處理和通信服務(wù)的完整性和可用性，控制措施包括信息備份、操作日志和錯誤日志。 1 CA eTrust 20/20 與 eTrust Security Command Center 的聯(lián)合可以提供對物理安全系統(tǒng)的監(jiān)控，以及物理安全系統(tǒng)和 IT安全系統(tǒng)之間的聯(lián)動、相關(guān)。 1 CA eTrust Identity Management可以幫助建立跨平臺、復(fù)雜異構(gòu)環(huán)境下的用戶、角色、賬號等的統(tǒng)一管理。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助企業(yè)開發(fā)信息資產(chǎn)分類、標(biāo)識、資產(chǎn)目錄等方面的策略和實施方法。 安全組織 安全組織包含三個控制目標(biāo)：企業(yè)信息基礎(chǔ)架構(gòu) 、第三方訪問安全以及外包。典型的安全方針內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運轉(zhuǎn)機制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡要說明以及對機構(gòu)尤其重要的規(guī) 范實施條件的解釋；闡述信息安全的職責(zé)；等等。 通過本文檔的介紹，讀者可以了解到如何利用冠群電腦（中國）有限公司 (以下簡稱 CA)公司的產(chǎn)品和服務(wù)來滿足 BS7799 安全體系（ ISMS）建設(shè)方面的需求，并通過 BS7799的認證。隨著國家、地區(qū)和行業(yè)法規(guī)在安全要求方面的日益注重和完善，這種競爭優(yōu)勢將不斷擴大。 辦好培訓(xùn)，其實有很多方式，最好的方式 是案例分析，其次是高層動員。弱點識別往往包括內(nèi)、外兩方面不同的觀點，但在資產(chǎn)和威脅分析時，顧問公司只是教給客戶標(biāo)準(zhǔn)和方法，讓客戶自己分析判斷，紀(jì)錄和整理最終的結(jié)果。當(dāng)發(fā)生各成員評估結(jié)果不一致的情況時，項目經(jīng)理也應(yīng)參照安全目標(biāo)的定義進行裁決。 僅就認證目的而言，企業(yè)可以選擇任何部門和系統(tǒng)，但顯然只有與業(yè)務(wù)目標(biāo)一致的范圍定義才有助于體現(xiàn)安全管理對于核心業(yè)務(wù)的促進作用。 二、 客戶需求 鑒于數(shù)據(jù)銷毀和恢復(fù)業(yè)務(wù)的高敏感性，客戶對于服務(wù)商在服務(wù)過程中保護客戶隱私，防止敏感信息泄密方面的安全性和信譽度普遍存在不同程度的擔(dān)憂，這不僅僅是領(lǐng)先的專業(yè)技術(shù)和市場知名度所能涵蓋，更重要的是企業(yè)如何體現(xiàn)對客戶信息的安全保障水平。認證中心從建立至今，還沒有發(fā)生過一起影響業(yè)務(wù)正常運行的安全事故。 符合性 【符合性的建設(shè)要點】：符合性包括三個控制目標(biāo)：符合法律要求、對安全策略和技術(shù)符合性的評估、系統(tǒng)審核考慮。 【實施方法與形式】： 1， 天威誠信的運行體系中 涉及了少量的開發(fā)內(nèi)容，盡管如此，我們還是對這些開發(fā)工作按照軟件工程生命周期的各個環(huán)節(jié)進行了嚴(yán)格控制，充分考慮了各項活動中的安全因素。 8， 對于數(shù)據(jù)信息的訪問控制，我們采用了加密、完整性校驗等技術(shù)，另外對于屬于最高安全性的數(shù)據(jù)信息，我們對其所屬的網(wǎng)絡(luò)和環(huán)境采用了最嚴(yán)格的物理隔離措施，使其與其它工作區(qū)及外部網(wǎng)絡(luò)進行完全物理隔離?！坝脩糌?zé)任”要求明確用戶在口令和信息設(shè)備使用方面的責(zé)任。該機制使得風(fēng)險要素可準(zhǔn)確地通過各種底層支撐產(chǎn)品（防火墻、掃描器、入侵檢測、審計）進行采集，并最終匯總到管理平臺進行事件間的關(guān)聯(lián)分析，從而以更為準(zhǔn)確、適用的方式呈現(xiàn)在管理者面前?！熬W(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護支持性的基礎(chǔ)架構(gòu)。 7， 對于特定要求的設(shè)備，天威誠信還采用了屏蔽室來加以保護。天威誠信針對物理和環(huán)境安全管理重點制定了《物理安全策略》，物理安全的重要性不僅在于其對認證中心資產(chǎn)的明顯保護作用，而且還為認證中心提供了一種安全的管理方法。對于普通的安全事件由各業(yè)務(wù)部門進行記錄上報或由安全管理部直接查明后記錄歸檔；針對于不同業(yè)務(wù)領(lǐng)域的安全事故，天威誠信組織成立 了不同知識結(jié)構(gòu)的安全應(yīng)急響應(yīng)小組進行及時的相應(yīng)處理工作?？尚湃藛T是指必須接受并通過特定的背景調(diào)查，表明他們有能力維持進行關(guān)鍵操作，并且具有必要的信任級別。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)。 5， 對于外包，在進行外包活動前，天威誠信會組織專業(yè)人員進行嚴(yán)格的考察、討論，滿足認證中心的安全條件是外包活動的必要條件，另外在實施外包活動中，天威誠信會依據(jù)外包合同進行各種必要的審計工作。安全組織要求定義企業(yè)機構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時，要求管理者能夠識別第三方合作和外包過程中的風(fēng)險，并通過相關(guān)的合同控制安全風(fēng)險。為了實現(xiàn)這個目標(biāo)，天威誠信通過認真學(xué)習(xí)和研究 BS7799，認為 BS7799對安全管理 方面的定義和描述完全滿足 PKI/CA認證中心的安全性要求，并且該標(biāo)準(zhǔn)已經(jīng)可以作為國際公認的可用于認證、認可的安全管理標(biāo)準(zhǔn)。 天威誠信依照我國國情和密碼管理政策，借鑒國外先進技術(shù)及管理方法，依據(jù) BS7799建設(shè)和運營政府認可的、權(quán)威、可信、公正的 PKI/CA認證中心，研制了具有自主知識產(chǎn)權(quán)的 PKI產(chǎn)品及應(yīng)用，對外提供全面的數(shù)字信任服務(wù)。 信息安全治理是一個仍在繼續(xù)發(fā)展的領(lǐng)域，除了前面提到的規(guī)范外，尤其要切記的是信息安全管理是信息安全治理實現(xiàn)的前提。 CoBIT起源于 IT需要傳遞組織為達到業(yè)務(wù)目標(biāo)所需的信息這個前提。系統(tǒng)的界限由系統(tǒng)所有者 確定，但必須包括以下幾個關(guān)鍵部分：基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)。 ISO17799 認為信息安全有下列特征： 機密性 —— 確保信息只被相應(yīng)的授權(quán)用戶訪問； 完整性 —— 保護信息和處理 信息程序的準(zhǔn)確性和完整性； 可用性