【正文】 代速度加快。 (二） M公司存在的信息安全問(wèn)題及其分析 M公司現(xiàn)階段面臨的主要信息安全問(wèn)題 (1)病毒。 (4)垃圾郵件。由于 M公司員工普遍缺乏信息資產(chǎn)的保護(hù)意識(shí)和防范 能力，底層員工流動(dòng)性大，信息管控容易出現(xiàn)問(wèn)題，比較容易因員工的流失而導(dǎo) 致重要信息的泄露。 (4)信息安全審計(jì)制度不健全 M公司會(huì)定期組織人員對(duì)本單位的信息安全進(jìn)行內(nèi)部審計(jì)，但是由于沒(méi)有 設(shè)置安全審計(jì)員的崗位，信息安全管理和審計(jì)工作都由信息科完成，違背了審計(jì) 工作的回避原則，審計(jì)工作不能達(dá)到預(yù)期效果；另一方面，由于公司審計(jì)人員對(duì) 信息安全審計(jì)工作的認(rèn)識(shí)有限，流程不規(guī)范，使得潛在的問(wèn)題可能無(wú)法被及時(shí)發(fā) 現(xiàn)。但是 技術(shù)平臺(tái)覆蓋不全，不能提 供從客戶(hù)端到服務(wù)器，從單機(jī)到網(wǎng)絡(luò)全方位的保護(hù)，使公司技術(shù)保障體系對(duì)外來(lái) 攻擊幾乎沒(méi)有抵抗能力。有時(shí)候，有些員工意識(shí)不到自己的某些不經(jīng)意的行為可能令公 司的信息資產(chǎn)遭受損失，比如瀏覽一些未經(jīng)過(guò)安全認(rèn)證的網(wǎng)站、下載使用來(lái)歷不 明的軟件、沒(méi)有及時(shí)升級(jí)殺毒軟件病毒庫(kù)、未養(yǎng)成定期殺毒的習(xí)慣、不懂如何及 時(shí)修復(fù)系統(tǒng)漏洞等，這些不良行為都會(huì)造成信息安全隱患。組織結(jié)構(gòu)的不合理造成崗責(zé)不匹配，使得信息安全管理工 作分工不明確，管理流程存在死角，人為造成額外的風(fēng)險(xiǎn)。 (1)建立總分聯(lián)動(dòng)的信息安全組織 構(gòu)建綜合性的信息安全管理體系的首要任務(wù)就是建立一個(gè)有明確分工、層次 清晰的信息安全組織，確立信息安全的決策層、管理層與技術(shù)服務(wù)層，科學(xué)配置 崗位，規(guī)劃組織和崗位職責(zé)。在建設(shè)安全運(yùn)行流程時(shí)，應(yīng)當(dāng)參考本行業(yè)最佳實(shí)踐和相關(guān)標(biāo)準(zhǔn)。通過(guò)對(duì)傳輸中或是所存儲(chǔ)的數(shù)據(jù)信息運(yùn)用各種加密（解 密）算法，使非法截獲數(shù)據(jù)包的人無(wú)法順利獲取到有用的信息，從而防止信息失 密。通過(guò)漏洞掃描、補(bǔ)丁加固等手段保護(hù)操作系統(tǒng)、數(shù)據(jù)庫(kù)等 關(guān)鍵性的系統(tǒng)軟件，從而提高系統(tǒng)的防攻擊能力。在實(shí)施內(nèi)控評(píng)估前應(yīng)該充分梳理 制度的變化情況以及關(guān)鍵性控制點(diǎn)，制作詳細(xì)的評(píng)估模板；在實(shí)施內(nèi)控評(píng)估過(guò)程 中應(yīng)本著公正客觀的原則，不回避發(fā)現(xiàn)的問(wèn)題，真實(shí)地描述問(wèn)題；評(píng)估后應(yīng)當(dāng)及 時(shí)制定整改方案，明確問(wèn)題責(zé)任人，并在規(guī)定時(shí)間內(nèi)完成整改 。這種教育不同于培訓(xùn)，不再是針對(duì)某崗位的簡(jiǎn) 單技能教授，而是綜合不同特性的安全技術(shù)和能力，加上相關(guān)學(xué)科基本原理等內(nèi) 容，使接受教育的人員能夠順利獲得信息安全相關(guān)的資質(zhì)和證書(shū)。 (三）改良信息安全管理組織結(jié)構(gòu)與職責(zé) 為保證在組織內(nèi)部順利實(shí)施信息安全管理， M公司應(yīng)建立合適的信息安全管 理組織框架。 ②網(wǎng)絡(luò)管理員 —— 負(fù)責(zé)管理信息網(wǎng)絡(luò)，是網(wǎng)絡(luò)安全策略及安全運(yùn)行細(xì)則的實(shí) 施者；配置管理網(wǎng)絡(luò)用戶(hù)權(quán)限，合理配置網(wǎng)絡(luò)安全參數(shù)，保證網(wǎng)絡(luò)的安全正常運(yùn) 行；負(fù)責(zé)監(jiān)控關(guān)鍵性網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)物理線路和端口，防范網(wǎng)絡(luò)攻擊和入侵，如 發(fā)生安全事件應(yīng)及時(shí)向信息安全人員報(bào)告；監(jiān)督其他的網(wǎng)絡(luò)操作人員，以保證其 操作合規(guī)安全。 (四）建立信息安全審計(jì)制度 建立規(guī)范的審計(jì)制度 內(nèi)部審計(jì)是對(duì)信息安全管理體系 在實(shí)施過(guò)程中的情況作出評(píng)價(jià)，所以應(yīng)該 定期組織進(jìn)行審計(jì)，可以有效促進(jìn)體系不斷地改進(jìn)和完善，審計(jì)制度是信息安全 管理體系自我改進(jìn)機(jī)制的重要組成部分。其中審計(jì)目標(biāo)一般包括：評(píng)價(jià)信息安全管理體系與審計(jì)準(zhǔn)則及所適用 的法律法規(guī)的符 合程度，評(píng)價(jià)組織的目標(biāo)和信息安全管理方案的實(shí)現(xiàn)程度等；審 計(jì)準(zhǔn)則主要有：標(biāo)準(zhǔn)，企業(yè)方針、目標(biāo)，程序文件、國(guó)家和行業(yè)部門(mén)發(fā)布的有關(guān) 法律法規(guī)、技術(shù)標(biāo)準(zhǔn)等；審計(jì)范圍包括：審計(jì)活動(dòng)所涉及的區(qū)域、場(chǎng)所、過(guò)程、 活動(dòng)、產(chǎn)品以及覆蓋的時(shí)間等。會(huì)議 的議程是：確認(rèn)內(nèi)審目標(biāo)、范圍和審核準(zhǔn)則；介紹審核日程安排；介紹審核組成 員及分組；明確審核方法、程序和要求；請(qǐng)主要領(lǐng)導(dǎo)簡(jiǎn)短講話(huà)。審計(jì)實(shí)施后，審計(jì)組根據(jù)掌握的證據(jù)，經(jīng)過(guò)分析論證，對(duì)信息 安全管理體系進(jìn)行綜合性評(píng)價(jià)，其內(nèi)容包括：管理體系主要過(guò)程應(yīng)進(jìn)行的活動(dòng)和 體系文件中各項(xiàng)規(guī)定是否得到實(shí)施和保持；各項(xiàng)活動(dòng)結(jié)果是否達(dá)到預(yù)定的目標(biāo)； 組織的信息安全方針和目標(biāo)的適宜性和實(shí)現(xiàn)程度；信息安全管理水平的提高，即 信息安全事件的發(fā)生頻率及影響；信息安全意識(shí)提髙的表現(xiàn)；管理體系自我完善 與持續(xù)改進(jìn)的情況相機(jī)制是否建立和健全等。糾正措施計(jì)劃的實(shí)施期限一般不超過(guò) 30天，特殊情況適當(dāng)延長(zhǎng)。 (2)信息安全審計(jì)人員應(yīng)接受過(guò)專(zhuān)業(yè)技能培訓(xùn) 信息安全審計(jì)工作對(duì)審計(jì)人員的業(yè)務(wù)素質(zhì)有著特殊的要求，要么審計(jì)人員 在開(kāi)展工作之前必須接受必要的專(zhuān)業(yè)技能培訓(xùn)，要么選用獲得信息安全管理或?qū)? 計(jì)認(rèn)證資格的專(zhuān)業(yè)人員來(lái)?yè)?dān)任審計(jì)人員。風(fēng)險(xiǎn)管理流程如圖 44所示： 在發(fā)生了安全事故時(shí)，從保險(xiǎn)公司獲得價(jià)值相當(dāng)?shù)难a(bǔ)償。 信息安全風(fēng)險(xiǎn)評(píng)估不是一次性的孤立的工作，應(yīng)當(dāng)在信息風(fēng)險(xiǎn)策略或者信息 風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，及時(shí)再次進(jìn)行系統(tǒng)化風(fēng)險(xiǎn)評(píng)估，從而得到具有可比性和連 貫性的評(píng)估結(jié)果。 M公司在響應(yīng)恢復(fù)實(shí)施階段中需重點(diǎn)關(guān)注下面四個(gè)方面： (1)明確職責(zé)，保證響應(yīng)恢復(fù)機(jī)制有效運(yùn)行 響應(yīng)恢復(fù)需要及時(shí)執(zhí)行，才能有效地降低殘余風(fēng)險(xiǎn)帶來(lái)的負(fù)面影響，提高信 息安全防護(hù)能力。并且應(yīng)該通過(guò)定期檢查、模擬演練、等手段事先測(cè)試應(yīng) 急預(yù)案的可行性，若發(fā)現(xiàn)實(shí)施過(guò)程中存在的不足，應(yīng)當(dāng)及時(shí)予以調(diào)整修改。 (七）建立可持續(xù)改善的信息安全管理機(jī)制 釆用 PDCA (Plan, Do, Check, Action)方法，通過(guò)持續(xù)改進(jìn)信息安全管理， 使企業(yè)的向著既定目標(biāo)的發(fā)展有效可控，是保證管理體系持續(xù)改進(jìn)的有效模式。 ②信息安全符合性計(jì)劃 信息安全是隨著信息技術(shù)、企業(yè)競(jìng)爭(zhēng)環(huán)境及業(yè)務(wù)調(diào)整變化而不斷變化的，沒(méi) 有一層不變的信息安全要求。 (3)監(jiān)督和評(píng)審階段（ Check) 執(zhí)行內(nèi)部 ISMS審計(jì)，依據(jù)信息安全策略中定義的管理范圍、管理目標(biāo)和信 息安全基線，監(jiān)督各項(xiàng)措施的實(shí)施，評(píng)估信息安全控制措施的有效性，是否達(dá)到 預(yù)期目標(biāo)和效果，并向信息安全管理委員會(huì)報(bào)告審核結(jié)果。 (1)身份認(rèn)證和訪問(wèn)控制 根據(jù) M公司的信息安全狀況和信息技術(shù)水平，建議建立集中管控平臺(tái)，集身 份認(rèn)證和訪問(wèn)控制為一體，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)接入認(rèn)證，并實(shí)現(xiàn)授權(quán)管理，從而實(shí)現(xiàn) 統(tǒng)一存儲(chǔ)管理用戶(hù)身份信息，并保證用戶(hù)對(duì)資源的訪問(wèn)可控可管，而且可以最大 程度利用已有的安全設(shè)備。另外，在實(shí)施系統(tǒng)加固手段的同時(shí)注意與周期性的評(píng)估相結(jié) 合，避免造成的額外安全風(fēng)險(xiǎn)。 二級(jí)文件為程序、規(guī)定性文件?？紤]到有些文件可能會(huì)包含敏感信息，所以必須要對(duì)文件內(nèi)容進(jìn)行分級(jí)公 開(kāi)，并予以適當(dāng)保護(hù)。 M公司的信息安全制度體系也應(yīng)當(dāng)以 IS027001標(biāo)準(zhǔn)作為參考， 建立健全這 11 個(gè)控制領(lǐng)域的管理制度，利用規(guī)范的流程和制度來(lái)控制和約束所 有可能會(huì)影響信息安全的行為。無(wú)論是決策層、管理層還是具體執(zhí)行者，都需 要按照公司關(guān)于信息安全管理工作的統(tǒng)一部署和安排，以身作則，盡職盡責(zé)，才 能有效地保證公司經(jīng)營(yíng)過(guò)程中的信息安全。 如何保障制度的可操作和全覆蓋 目前，很多公司都已經(jīng)建立或者正在建立信息安全管理制度體系。因此，在進(jìn) 行制度建設(shè)時(shí)應(yīng)該同時(shí)考慮是否能夠通過(guò)技術(shù)實(shí)現(xiàn)，確保制度可操作。建立崗位工作手冊(cè)， 對(duì)該崗位的工作內(nèi)容、工作要求做詳細(xì)描述，降低人員和崗位的耦合性，使某項(xiàng) 工作的開(kāi)展不再依賴(lài)于具體某個(gè)人，保障輪崗機(jī)制能夠順利實(shí)施，從而有效地避 免由于人員變動(dòng)而引發(fā)的風(fēng)險(xiǎn)。 要確保執(zhí)行有效，需要注意一下幾個(gè)方面：一是制定科學(xué)合理的執(zhí)行計(jì)劃， 將目標(biāo)任務(wù)、執(zhí)行范圍和行為規(guī)范作出明確規(guī)定，并且實(shí)時(shí)跟蹤執(zhí)行效果，以便 隨時(shí)調(diào)整計(jì)劃；二是加強(qiáng)宣傳和溝通工作，使員工對(duì)執(zhí)行計(jì)劃有一致性認(rèn)識(shí)；三 是建立合理的績(jī)效評(píng)估機(jī)制，使員工的業(yè)績(jī)和收入掛鉤，從而保證執(zhí)行效果；四 動(dòng)態(tài)監(jiān)控，實(shí)時(shí)反 饋，持續(xù)改進(jìn)執(zhí)行計(jì)劃。在確定適用范圍時(shí)，應(yīng)重點(diǎn)考慮組織的適用人員、適用環(huán)境、現(xiàn)有 信息資產(chǎn)、現(xiàn)有 rr技術(shù)等。 信息安全管理體系審核 為獲得審核證據(jù)就要進(jìn)行體系審核，主要是客觀評(píng)價(jià)體系，要進(jìn)行系統(tǒng)的、 獨(dú)立的并形成文件的檢查過(guò)程，以確定滿(mǎn)足審核準(zhǔn)則的程度。 現(xiàn)如今，日益增多的組織、網(wǎng)絡(luò)及其信息系統(tǒng)都面臨著大范圍的安全威脅， 這其中包括間諜、詐騙、火災(zāi)、蓄意破壞等。組織越依賴(lài)信息系統(tǒng)和信息服務(wù)，就越容易受到安全威脅 的破壞，信息資源的共享以及公共和私人網(wǎng)絡(luò)的互連，使實(shí)現(xiàn)訪問(wèn)控制的難度進(jìn) 一步增大。內(nèi)部審核一般由組織名義進(jìn)行，是組織自我 ?檢查合格的基礎(chǔ)；外部審核是由外部獨(dú)立的組織進(jìn)行，提供符合 IS027001要求 的認(rèn)證或注冊(cè)。 建立信息安全管理框架 建立信息安全管理體系首先要搭建一個(gè)合理的信息安全管理框架，從整體和 全局的角度，進(jìn)行整體安全建設(shè)，由信息系統(tǒng)本身，根據(jù)技術(shù)條件、業(yè)務(wù)性質(zhì)、 信息資產(chǎn)狀況和組織特征，建立信息資產(chǎn)清單，做出需求分析、風(fēng) 險(xiǎn)分析和選擇 安全控制，準(zhǔn)備適用性聲明，以此建立安全體系并提出安全解決方案。 如何進(jìn)行有效監(jiān)控 可以通過(guò)審計(jì)信息系統(tǒng)生成的運(yùn)行日志來(lái)有效實(shí)現(xiàn)事中監(jiān)控，記錄操作行 為、標(biāo)示敏感行為、記錄異常事件和監(jiān)控運(yùn)行狀態(tài)，對(duì)操作人員、系統(tǒng)狀態(tài)和預(yù) 警信息進(jìn)行實(shí)時(shí)跟蹤，防范可能發(fā)生的信息安全事件。 (3)注重人才培養(yǎng)，充分發(fā)揮 每位員工的才能和潛力。 (3)制度建設(shè)要納入項(xiàng)目管理的范疇。但是這些制度對(duì)于 M 公司來(lái)講是否包含了所有層面的信息安全行為，是否具有可操作性，都是需要認(rèn) 真考量的。 監(jiān)督 監(jiān)督的主要內(nèi)容有：實(shí)時(shí)監(jiān)控、內(nèi)控評(píng)估、風(fēng)險(xiǎn)評(píng)估和審計(jì)檢查。 任和義務(wù)。 (3)通用性原則 信息安全文件系統(tǒng)的執(zhí)行范圍 為全公司，所以，要使文件內(nèi)容盡量通俗易懂， 盡量避免使用太過(guò)于專(zhuān)業(yè)的詞匯，以便于參與實(shí)施信息安全管理體系的人員理解 和掌握。 三級(jí)文件為指南及作業(yè)文件，包括編寫(xiě)、操作、管理指南、使用手冊(cè)和技術(shù) 規(guī)范等。 (7)備份恢復(fù)技術(shù) 當(dāng)發(fā)生信息安全事件后，響應(yīng)恢復(fù)機(jī)制啟動(dòng)，將數(shù)據(jù)從備份中恢復(fù)，從而保 證了業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。 (3)邊界防護(hù)技術(shù) 通過(guò)在 M公司內(nèi)部網(wǎng)絡(luò)和青 海機(jī)場(chǎng)公司內(nèi)網(wǎng)之間，以及 M公司互聯(lián)網(wǎng)接入口 部署防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備，能夠有效防御來(lái)自外部網(wǎng)絡(luò)的攻擊。標(biāo)準(zhǔn)化以保證糾正和預(yù)防措施的長(zhǎng)期有效性，以防止原來(lái)的問(wèn)題再 次發(fā)生。新的信息按要求可來(lái)源于業(yè)務(wù)調(diào)整產(chǎn)生的新的安 全需求、新標(biāo)準(zhǔn)的頒布、其它管 理體系對(duì)信息安全的要求、新信息技術(shù)的應(yīng)用等 等。 IS027001標(biāo)準(zhǔn)也采用了 PDCA管理模型 [9],用于建 立組織 的信息安全管理體系 (ISMS)。要定期對(duì)應(yīng)急預(yù)案 和計(jì)劃進(jìn)行有效性測(cè)試，并在處理安全事件后及時(shí)總結(jié)分析其效果，修訂應(yīng)急預(yù) 案和計(jì)劃，以便對(duì)響應(yīng)恢復(fù)能力進(jìn)行持續(xù)性改進(jìn)。 M公司可以考慮建立應(yīng)急處理工作組，負(fù)責(zé)安全應(yīng)急計(jì)劃的制定、維護(hù)和管 理，并且組織、協(xié)調(diào)其他部門(mén)根據(jù)安全應(yīng)急計(jì)劃的要求履行相應(yīng)的職責(zé)。安全監(jiān)控對(duì)規(guī)劃實(shí)施中采取的安全控制 措施進(jìn)行有效性跟蹤，如發(fā)現(xiàn)問(wèn) 題將會(huì)啟動(dòng)新的一輪風(fēng)險(xiǎn)評(píng)估，并且將持續(xù)監(jiān)控 殘余風(fēng)險(xiǎn)，信息安全事件會(huì)得到及時(shí)發(fā)現(xiàn)和報(bào)告，并啟動(dòng)響應(yīng)恢復(fù)流程。為了防止不必要的風(fēng)險(xiǎn)，應(yīng)該 及時(shí)調(diào)整因預(yù)算不足以提供足夠質(zhì)量的安全控制措施。但是對(duì)于 M公司這樣的小型公司來(lái)說(shuō)，挑選內(nèi)部審計(jì)員可能 存在困難，可以應(yīng) 聘請(qǐng)外部審計(jì)員執(zhí)行審計(jì)活動(dòng)。糾正措施完成后，責(zé)任部門(mén)應(yīng)向主管部門(mén)報(bào)告，主管部門(mén)組織 審計(jì)員對(duì)糾正措施的實(shí)施情況及其有效性進(jìn)行驗(yàn)證，驗(yàn)證內(nèi)容包括：各項(xiàng)措施是 否按規(guī)定日期都已完成；完成后的效果如何，必要時(shí)進(jìn)行抽查，看是否還有類(lèi)似 的不符合發(fā)生；糾正措施的實(shí)施情況是否有記錄，有證據(jù)可查，驗(yàn)證有關(guān)證據(jù)； 如因糾正措施引起程序文件修改，應(yīng)提請(qǐng)管理部門(mén)考慮修改文件。評(píng)價(jià)后結(jié)合審計(jì)目標(biāo)提交審計(jì)報(bào)告，主要內(nèi)容有：審計(jì)的目標(biāo)、 范圍和準(zhǔn)則；審計(jì)組成員，審計(jì)日期及審計(jì)過(guò)程簡(jiǎn)述；審計(jì)中發(fā)現(xiàn)的不合格項(xiàng)分 布；信息安全管理體系運(yùn)行有效性