【正文】 目標(biāo)。它界定了涵蓋的業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn)，因而也確定了 BS7799 信息安全管理體系的邊界和目標(biāo)，這對(duì)于實(shí)施周期、實(shí)施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。包括香港中文大學(xué)、香港警署、香港地鐵公司，以及 IBM、 HP、 AIA（友邦保險(xiǎn)）、富士通、ASL等眾多跨國企業(yè)的香港分支機(jī)構(gòu)都是 Ibas香港的重要客戶。 三、實(shí)施 BS7799帶來的效益 通過參照 BS7799定義的安全管理活動(dòng)中的目標(biāo)和措施，天威誠信針對(duì) PKI/CA認(rèn)證中心的安全管理制定了完善的策略和措施，策略和措施涉及信息系統(tǒng)安全、數(shù)據(jù)通 信安全、密鑰管理安全、證書管理、安全審計(jì)、物理安全和人員安全等等各個(gè)方面，并嚴(yán)格按照策略和措施執(zhí)行，使得天威誠信 PKI/CA 認(rèn)證中心成為國內(nèi)首屈一指的、真正安全可靠的認(rèn)證中心。 4， 定期、不定期的評(píng)審、評(píng)定業(yè)務(wù)連續(xù)性計(jì)劃的有效性 5， 對(duì)重大危險(xiǎn)源采用消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、與相應(yīng)機(jī)構(gòu)共同承擔(dān)風(fēng)險(xiǎn)的原則，另外對(duì)于重要業(yè)務(wù)購買相應(yīng)的保險(xiǎn)以降低風(fēng)險(xiǎn)帶來的損失。“開發(fā)和支持過程中的安全”要求在軟件工程生命周期的各個(gè)環(huán)節(jié)的活動(dòng)中都考慮到安全因素，在變更控制的程序、操作系統(tǒng)變更評(píng)審、軟件包變更控制、隱蔽通道和后門、以及軟件開發(fā)外包等方面采取安全控制。 6， 在應(yīng)用層面，我們采用專用的中間件產(chǎn)品進(jìn)行安全及邏輯控制； 7， 在數(shù)據(jù)庫方面一方面采用專用訪問控制產(chǎn)品來嚴(yán)格限制訪問邊界，另一方面嚴(yán)格限制了數(shù)據(jù)庫中各對(duì)象的訪 問權(quán)限?！坝脩粼L問管理” 則要求建立用戶身份注冊(cè)、權(quán)限管理、口令管理以及訪問控制審查手段。 3， 專用安全管理平臺(tái)模塊的采用很好解決了多種安全產(chǎn)品的有機(jī)結(jié)合的問題，為風(fēng)險(xiǎn)管理提供了有效的技術(shù)機(jī)制?！皟?nèi)務(wù)管理”的目標(biāo)是維護(hù)信息處理和通信服務(wù)的完整性和可用性，控制措 施包括信息備份、操作日志和錯(cuò)誤日志。 6， 關(guān)于設(shè)備其他保護(hù)，天威誠信采用 FM200 氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。 【實(shí)施方法與形式】：物理和環(huán)境安全是認(rèn)證中心最基礎(chǔ)的安全保障。 6， 對(duì)于運(yùn)營中出現(xiàn)的安全事件、安全事故，天威誠信進(jìn)行了明確的界定。所有有權(quán)訪問天威誠信敏感 CA操作的人員必須是值得信任的。 人員安全 【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】人員安全包括三個(gè)控制目標(biāo)：工作定義和資源中的安全、用戶培訓(xùn)、對(duì)安全事件和故障的響應(yīng)。 4， 采用合理技術(shù)手段及管理措施來控制第三方對(duì)公司物理及邏輯方面的訪問，并采用不同形式與第三方進(jìn)行保密要求的約定。 安全組織 【安全組織的建設(shè)要點(diǎn)】：安全組織包含三個(gè)控制目標(biāo)： 企業(yè)信息基礎(chǔ)架構(gòu)、第三方訪問安全以及外包 。 在當(dāng)前環(huán)境下，為了讓用戶切實(shí)感到天威誠信所提供的服務(wù)是安全可信的，從而推動(dòng)電子政務(wù)、電子商務(wù)等對(duì)信任機(jī)制要求較高的網(wǎng)上業(yè)務(wù)的發(fā)展，天威誠信只有從加強(qiáng)信息安全管理并向用戶展示安全管理水平方面才能切實(shí)獲得用戶的信任，消除用戶殘余的安全憂慮。 第十章 BS7799 實(shí)施案例 案例之一：依據(jù) BS7799建設(shè) PKI/CA 認(rèn)證中心 北京天威誠信電子商務(wù)服務(wù)有限公司是經(jīng)信息產(chǎn)業(yè) 部批準(zhǔn)的全國性 PKI/CA 企業(yè)，是專門從事數(shù)字信任服務(wù)、 PKI/CA 建設(shè)服務(wù)、 PKI/CA應(yīng)用服務(wù)、 PKI/CA 運(yùn)營管理咨詢服務(wù)和 PKI/CA體系整體規(guī)劃服務(wù)的專業(yè)化信息安全技術(shù)與服務(wù)公司。它提供了通過一個(gè)范圍和過程框架的最佳慣例，以形成一個(gè)可控和邏輯結(jié)構(gòu)內(nèi)的活動(dòng)。現(xiàn)在得到的第三版由 IT治理研究院在 2020年發(fā)行，增加了管理方針和其他詳細(xì)的控制目標(biāo)。 SysTrust 定義在特定環(huán)境下及特定時(shí)期內(nèi)，沒有重大錯(cuò)誤、缺陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)。它把信息作為一種資產(chǎn)，像其他重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對(duì)組織有價(jià)值，因此需要恰當(dāng)保護(hù)它。任何 組織在滿足下面 3條準(zhǔn)則時(shí)可以認(rèn)為達(dá)到信息安全目標(biāo)：數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（機(jī)密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）；信息系統(tǒng)在需要時(shí)可用和有用（可用性）。 信息安全治理成熟度是測(cè)量信息安全管理等級(jí)的一種方法，這些等級(jí)正是一個(gè)給定的信息安全管理處理的慣例，體現(xiàn)各個(gè)成熟層次的典型模式，有助于組織將主要精力投入到關(guān)鍵的管理方面。 信息安全是業(yè)務(wù)管理者和 IT管理者的共同責(zé)任，它被統(tǒng)一到公司安全管理目標(biāo)中；信息安全需求被清晰定義，優(yōu)化并包括于經(jīng)核實(shí)的安全計(jì)劃中；安全職責(zé)在應(yīng)用軟件的設(shè)計(jì)階段就 被考慮，終端用戶負(fù)有更多管理安全的責(zé)任；信息安全審計(jì)報(bào)告提供變化的和風(fēng)險(xiǎn)早期預(yù)警告；自動(dòng)監(jiān)控關(guān)鍵的系統(tǒng)；利用由自動(dòng)化的工具支持的正式的事故響應(yīng)程序以快速處理事故；定期的安全評(píng)估，以評(píng)價(jià)安全計(jì)劃執(zhí)行效果；系統(tǒng)地收集和分析新的威脅和隱患信息，及時(shí)通知并實(shí)施恰當(dāng)?shù)难a(bǔ)救措施；入侵測(cè)試、安全事故的深層原因分析和預(yù)先發(fā)現(xiàn)風(fēng)險(xiǎn)是持續(xù)改進(jìn)的基礎(chǔ)；在組織范圍內(nèi)構(gòu)成人、制度和技術(shù)三維一體的安防體系。 安全意識(shí)存在并得到管理層的促進(jìn)；安全簡(jiǎn)報(bào)已標(biāo)準(zhǔn)化和正式化；定義信息安全程序并使其適合安全策略和程序結(jié)構(gòu)；確定信息安全職責(zé)但沒有始終如一地得到執(zhí)行；信息 安全報(bào)告面向 IT而不是面向管理；執(zhí)行了初步的入侵測(cè)試 組織沒有認(rèn)識(shí)到信息安全的必要性；沒有確定保證安全的責(zé)任和義務(wù)；沒有實(shí)行支持信息安全管理的措施；沒有對(duì)信息安全問題及時(shí)響應(yīng)的程序；完全沒有系統(tǒng)安全管理流程 不理解 IT運(yùn)作的風(fēng)險(xiǎn)、弱點(diǎn)和威脅，不理解 IT服務(wù)中斷對(duì)業(yè)務(wù)的影響；不認(rèn)為服務(wù)的持續(xù)性是管理層應(yīng)關(guān)心的問題 1 初始的或混亂的 制定和確認(rèn)與 IT有關(guān)的規(guī)劃和策略，其內(nèi)容包含信息安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為準(zhǔn)則； 該委員會(huì)清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計(jì)師合作； 所以，盡 管有些單位安裝了一些安全產(chǎn)品，但這不能稱其為實(shí)現(xiàn)了信息安全治理。 信息安全管理提供管理程序、技術(shù)和保證措施，使業(yè)務(wù)管理者確信業(yè)務(wù)交易的可信性；確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)胤烙徽?dāng)操作、蓄意攻擊或者自然災(zāi)害，并從這些故障中盡快恢復(fù)；確保拒絕未經(jīng)授權(quán)的訪問。他指出，必須充分認(rèn)識(shí)做好信息安全保障工作 的極端重要性，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化健康發(fā)展。 目前業(yè)界普遍認(rèn)為，信息安全是政府和企業(yè)必須攜手面對(duì)的問題。該報(bào)告顯示全球 2020強(qiáng)企業(yè)中只有不到 25%的企業(yè)在全面的 業(yè)務(wù)持續(xù)性計(jì)劃 上進(jìn)行了投資，而就在這些進(jìn)行了投資的企業(yè)當(dāng)中，只有 50%對(duì)自己的持續(xù)性計(jì)劃進(jìn)行了全面的測(cè)試。更值得注意的是，這些攻擊中只有 400個(gè)被查明， 20個(gè)被報(bào)告。第一章 信息安全管理概論 引論 信息安全治理 一、信息安全治理的產(chǎn)生背景 在當(dāng)今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在各類組織中得到了廣泛應(yīng)用。早在 1996年，美國會(huì)計(jì)總署（ GAO）報(bào)告指出，美國國防部一年有 15 000 個(gè)系統(tǒng)遭到高達(dá) 250 000次攻擊，其中 65%攻擊成功，防范和彌補(bǔ)損失的費(fèi)用高達(dá)數(shù)億美元。 11 后企業(yè)依然沒有提高警惕，這一點(diǎn)從 Gartner 研究主管 Donna Scott 進(jìn)行的調(diào)查中就可以明顯地反映出來，這次調(diào)查是 Scott在 2020年關(guān)于保持業(yè)務(wù)持續(xù)性發(fā)展問題的陳述報(bào)告的一部分。他認(rèn)為，與個(gè)人網(wǎng)絡(luò)安全相比，政府網(wǎng)絡(luò)安全現(xiàn)在還處于遠(yuǎn)遠(yuǎn)落后的狀態(tài)，要想解決一些比較大的問題， 必須先要建立網(wǎng)絡(luò)安全的基礎(chǔ)和機(jī)制 。中共中央政治局常委、國務(wù)院副總理黃菊出席會(huì)議并作重要講話。它不同于信息安全管理。相反，就不可能得到一個(gè)真正意義上的安全防護(hù)體系。建立審計(jì)委員會(huì)。 全面遵循最低安全要求，或者記錄違背最低安全要求的行為； 沒有業(yè)務(wù)評(píng)價(jià)流程；組織沒有考慮安全隱患和項(xiàng)目開發(fā)不確定性對(duì)業(yè)務(wù)的 影響；沒有認(rèn)識(shí)到風(fēng)險(xiǎn)管理關(guān)系到 IT解決方案的獲得和 IT服務(wù)的交付 組織范圍內(nèi)的風(fēng)險(xiǎn)管理策略定義了怎樣進(jìn)行風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)評(píng)估遵循一個(gè)已定義的流程；該流程已形成規(guī)范，適用于所有接受過相應(yīng)培訓(xùn)的員工 0～ 5等級(jí)是基于一個(gè)簡(jiǎn)單的成熟性量度，體現(xiàn)出一個(gè)處理如何從不存在級(jí)發(fā)展到優(yōu)化級(jí)的管理過程，增加成熟度意味著增強(qiáng)風(fēng)險(xiǎn)管理與提高管理效率 。 國際會(huì)計(jì)師聯(lián)合會(huì)，《信息安全管理》（ 1998） 信息安全的目標(biāo)是 “ 保護(hù)依靠信息、信息系統(tǒng)和傳送信息的人、通信設(shè)施的利益不因?yàn)樾畔C(jī)密性、完整性和可用性的故障而遭受損失 ” 。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。 可用性 —— 系統(tǒng)在服務(wù)水平聲明或協(xié)議規(guī)定的時(shí)間內(nèi)可以運(yùn)行和使用； 安全性 —— 確保系統(tǒng)拒絕未經(jīng)授權(quán)的物理的或邏輯的訪問； 完整性 —— 系統(tǒng)的數(shù)據(jù)處理是完整的、準(zhǔn)確的、及時(shí)的和被授權(quán)的； 可維護(hù)性 —— 必要時(shí)能夠升級(jí)系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖 突。在 1998年，第二版在增加了控制目標(biāo)和實(shí)施工具集后出版。 COBIT框架 通過聯(lián)結(jié)業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)手段來幫助滿足管理當(dāng)局多樣化的需求。在以后的章節(jié)中，我們將從的標(biāo)準(zhǔn)介紹、理解實(shí)施與案例分析來全面剖析企業(yè)信息安全管理體系 (BS7799)的建制。 顧客將期望 PKI/CA認(rèn)證中心在各個(gè)方面都展示出最高水平的安全，但由于影響安全的要素眾多，從具體的物理安全到抽象的邏輯安全，其中既有人為因素也有非人為因素的影響，要解決這些問題，一個(gè)信息系統(tǒng)需實(shí)現(xiàn)包括信息系統(tǒng)安全、數(shù)據(jù)通信安全、密 鑰管理安全、證書管理、安全審計(jì)、物理安全和人員安全等等方面的安全防御體系，需要制定出詳細(xì)的策略并遵照?qǐng)?zhí)行，而目前我國還沒有專門針對(duì) PKI/CA 認(rèn)證中心的安全性建設(shè)制訂一套有效的策略和規(guī)范。 在實(shí)際運(yùn)營建設(shè)中，天威誠信參照 BS7799 建議的控制措施，對(duì)安全策略進(jìn)行文檔化控制，在企業(yè)范圍內(nèi)最大化的為廣大用戶及內(nèi)部員工所了解和接受，并指導(dǎo)各種規(guī)定制度、操作程序的制定及實(shí)施，并定期進(jìn)行評(píng)審和評(píng)估 。必要時(shí)聘請(qǐng)外部專家給與信息安全管理工作指導(dǎo)性的建議及意見。對(duì)于內(nèi)部信息的傳輸，天威誠信更是利用自身的技術(shù)、管理優(yōu)勢(shì)進(jìn)行了證書管理機(jī)制。參照 BS7799建議的控制措施對(duì)于三個(gè)控制目標(biāo)天威誠信進(jìn)行多方面的管理控制： 1， “可信雇員政策”是人員安全系統(tǒng) 的基礎(chǔ)。 5， 所有新員工都必須經(jīng)過相應(yīng)的安全培訓(xùn)，涉及到安全管理、技術(shù)、實(shí)施的員工還必須經(jīng)過相應(yīng)考核?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊?、以及資產(chǎn)清理等。 5， 電源方面，天威誠信采用雙路供電、配合 UPS電源組、以及多臺(tái)大功率發(fā)電機(jī)?！皭阂廛浖雷o(hù)”的目標(biāo)是保護(hù)軟件和信息的完整性免受惡意軟件的傷害。 2， 專用網(wǎng)管軟件的采用很好解決了性能監(jiān)控、故障管理、配置管理、變更控制等問題?！霸L問控制策略”要求建立覆蓋公司核心業(yè)務(wù)的系統(tǒng)訪問策略，以指導(dǎo)相關(guān)的 IT活動(dòng)。 5， 在用戶責(zé)任方面我們?cè)诎踩呗灾忻鞔_了不同主體在使用客體時(shí)的責(zé)任?！跋到y(tǒng)文件安全”要求采取措施，保護(hù)運(yùn)行軟件、系統(tǒng)測(cè)試數(shù)據(jù)以及源程序庫的安全。 【實(shí)施方法與形式】：天威誠信為維護(hù)整個(gè)組織的業(yè)務(wù)連續(xù)性，結(jié)合 BS7799的控制目標(biāo)制定《應(yīng)急管理程序》、《災(zāi)難恢復(fù)計(jì) 劃》、《備份計(jì)劃》等安全策略、規(guī)定，并參照 BS7799的控制措施進(jìn)行日常運(yùn)行管理： 1， 天威誠信根據(jù)業(yè)務(wù)特點(diǎn)，對(duì)可能發(fā)生故障、災(zāi)難及其他影響運(yùn)營的環(huán)節(jié)進(jìn)行了標(biāo)示，并進(jìn)行相應(yīng)的風(fēng)險(xiǎn)分析 2， 編制、執(zhí)行了“應(yīng)急管理程序”、“災(zāi)難恢復(fù)計(jì)劃”、“備份計(jì)劃”等管理程序 3， 落實(shí)各種應(yīng)急措施的責(zé)任人，并明確其在業(yè)務(wù)連續(xù)性計(jì)劃中的職責(zé)。 3， 天威誠信制定了明確的內(nèi)部審計(jì)程序來約定內(nèi)部審計(jì)的范圍及程序，包括審計(jì)范圍、審計(jì)記錄的管理、審計(jì)的時(shí)效性、審計(jì)的參考標(biāo)準(zhǔn)等 4， 天威誠信還引進(jìn)了外部第三方審計(jì)的方式，更公正、透明來保障企業(yè)的安全策略得到遵守。 IBAS香港是 Ibas在亞洲較早成立的分支機(jī)構(gòu)，擁有先進(jìn)的數(shù)據(jù)恢復(fù)中心和安全實(shí)驗(yàn)室。在項(xiàng)目實(shí)施過程中，主要的難點(diǎn)包括： 如何確定 ISMS的范圍？ ISMS 范圍的正確訂立是 整個(gè)實(shí)施的基礎(chǔ)和成敗關(guān)鍵。因此，在一開始就應(yīng)把業(yè)務(wù)骨干納入到風(fēng)險(xiǎn)評(píng)估小組，通過培訓(xùn)讓所有成員理解風(fēng)險(xiǎn)評(píng)估的目的、組織流程和方法。如客戶交來介質(zhì)時(shí)如何接待，對(duì)包裝 如何檢查，標(biāo)記、存放，當(dāng)實(shí)驗(yàn)室工作人員暫時(shí)離開，如何確保環(huán)境和客戶介質(zhì)的安全等。安全管理體系的良好運(yùn)作，依賴于制度和組織機(jī)制，更依賴于各種角色人員的安全意識(shí)，和對(duì)安全方針的理解與遵守程度。目前，這套系統(tǒng)正等待正式證書的下達(dá)。 1 第 2 部分提供了可以作為風(fēng)險(xiǎn)管理評(píng)估結(jié)果使用的安全控制規(guī)范，可以作為 IT 企業(yè)正 式通過 BS7799標(biāo)準(zhǔn)認(rèn)證的依據(jù)。 三、利用 CA的產(chǎn)品和服務(wù)設(shè)計(jì) ISMS 下面將針對(duì) BS7799定義的十個(gè)安全管理領(lǐng)域分別闡述 CA的產(chǎn)品和服務(wù)解決方案。 1 CA eTrust Security Command Center 可以幫助建立完備的安全信息平臺(tái)，實(shí)現(xiàn)安全策略及其支持性文檔的發(fā)布、共享、查詢和評(píng)論等。 資產(chǎn)分類及控制 資產(chǎn)分類及控制包括兩個(gè)控制目標(biāo)：資產(chǎn)責(zé)任和信息分類。安全響應(yīng)需要有效的流程體系和工具來保障其質(zhì)量?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊?、以及資產(chǎn)清理等。“系統(tǒng)計(jì)劃和驗(yàn)收”的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標(biāo)是將系統(tǒng)故障的風(fēng)險(xiǎn)降低到最