【正文】 目標。它界定了涵蓋的業(yè)務流程、信息流和相關資產，因而也確定了 BS7799 信息安全管理體系的邊界和目標，這對于實施周期、實施受益的信息管理環(huán)節(jié)都將產生影響。包括香港中文大學、香港警署、香港地鐵公司，以及 IBM、 HP、 AIA（友邦保險）、富士通、ASL等眾多跨國企業(yè)的香港分支機構都是 Ibas香港的重要客戶。 三、實施 BS7799帶來的效益 通過參照 BS7799定義的安全管理活動中的目標和措施，天威誠信針對 PKI/CA認證中心的安全管理制定了完善的策略和措施，策略和措施涉及信息系統安全、數據通 信安全、密鑰管理安全、證書管理、安全審計、物理安全和人員安全等等各個方面，并嚴格按照策略和措施執(zhí)行，使得天威誠信 PKI/CA 認證中心成為國內首屈一指的、真正安全可靠的認證中心。 4， 定期、不定期的評審、評定業(yè)務連續(xù)性計劃的有效性 5， 對重大危險源采用消除風險、轉移風險、與相應機構共同承擔風險的原則，另外對于重要業(yè)務購買相應的保險以降低風險帶來的損失。“開發(fā)和支持過程中的安全”要求在軟件工程生命周期的各個環(huán)節(jié)的活動中都考慮到安全因素，在變更控制的程序、操作系統變更評審、軟件包變更控制、隱蔽通道和后門、以及軟件開發(fā)外包等方面采取安全控制。 6， 在應用層面，我們采用專用的中間件產品進行安全及邏輯控制； 7， 在數據庫方面一方面采用專用訪問控制產品來嚴格限制訪問邊界，另一方面嚴格限制了數據庫中各對象的訪 問權限?！坝脩粼L問管理” 則要求建立用戶身份注冊、權限管理、口令管理以及訪問控制審查手段。 3， 專用安全管理平臺模塊的采用很好解決了多種安全產品的有機結合的問題，為風險管理提供了有效的技術機制?！皟葎展芾怼钡哪繕耸蔷S護信息處理和通信服務的完整性和可用性，控制措 施包括信息備份、操作日志和錯誤日志。 6， 關于設備其他保護，天威誠信采用 FM200 氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。 【實施方法與形式】：物理和環(huán)境安全是認證中心最基礎的安全保障。 6， 對于運營中出現的安全事件、安全事故，天威誠信進行了明確的界定。所有有權訪問天威誠信敏感 CA操作的人員必須是值得信任的。 人員安全 【資產分類及控制的建設要點】人員安全包括三個控制目標：工作定義和資源中的安全、用戶培訓、對安全事件和故障的響應。 4， 采用合理技術手段及管理措施來控制第三方對公司物理及邏輯方面的訪問，并采用不同形式與第三方進行保密要求的約定。 安全組織 【安全組織的建設要點】：安全組織包含三個控制目標： 企業(yè)信息基礎架構、第三方訪問安全以及外包 。 在當前環(huán)境下，為了讓用戶切實感到天威誠信所提供的服務是安全可信的，從而推動電子政務、電子商務等對信任機制要求較高的網上業(yè)務的發(fā)展，天威誠信只有從加強信息安全管理并向用戶展示安全管理水平方面才能切實獲得用戶的信任，消除用戶殘余的安全憂慮。 第十章 BS7799 實施案例 案例之一：依據 BS7799建設 PKI/CA 認證中心 北京天威誠信電子商務服務有限公司是經信息產業(yè) 部批準的全國性 PKI/CA 企業(yè)，是專門從事數字信任服務、 PKI/CA 建設服務、 PKI/CA應用服務、 PKI/CA 運營管理咨詢服務和 PKI/CA體系整體規(guī)劃服務的專業(yè)化信息安全技術與服務公司。它提供了通過一個范圍和過程框架的最佳慣例，以形成一個可控和邏輯結構內的活動?，F在得到的第三版由 IT治理研究院在 2020年發(fā)行，增加了管理方針和其他詳細的控制目標。 SysTrust 定義在特定環(huán)境下及特定時期內，沒有重大錯誤、缺陷或故障地運行的系統為可靠系統。它把信息作為一種資產，像其他重要商業(yè)資產一樣，這種資產對組織有價值，因此需要恰當保護它。任何 組織在滿足下面 3條準則時可以認為達到信息安全目標：數據和信息只透露給有權知道該數據和信息的人（機密性）；數據和信息保護不受未經授權的修改（完整性）；信息系統在需要時可用和有用（可用性）。 信息安全治理成熟度是測量信息安全管理等級的一種方法，這些等級正是一個給定的信息安全管理處理的慣例，體現各個成熟層次的典型模式，有助于組織將主要精力投入到關鍵的管理方面。 信息安全是業(yè)務管理者和 IT管理者的共同責任，它被統一到公司安全管理目標中；信息安全需求被清晰定義，優(yōu)化并包括于經核實的安全計劃中；安全職責在應用軟件的設計階段就 被考慮，終端用戶負有更多管理安全的責任；信息安全審計報告提供變化的和風險早期預警告；自動監(jiān)控關鍵的系統；利用由自動化的工具支持的正式的事故響應程序以快速處理事故；定期的安全評估，以評價安全計劃執(zhí)行效果；系統地收集和分析新的威脅和隱患信息，及時通知并實施恰當的補救措施；入侵測試、安全事故的深層原因分析和預先發(fā)現風險是持續(xù)改進的基礎；在組織范圍內構成人、制度和技術三維一體的安防體系。 安全意識存在并得到管理層的促進；安全簡報已標準化和正式化；定義信息安全程序并使其適合安全策略和程序結構；確定信息安全職責但沒有始終如一地得到執(zhí)行；信息 安全報告面向 IT而不是面向管理；執(zhí)行了初步的入侵測試 組織沒有認識到信息安全的必要性；沒有確定保證安全的責任和義務；沒有實行支持信息安全管理的措施；沒有對信息安全問題及時響應的程序；完全沒有系統安全管理流程 不理解 IT運作的風險、弱點和威脅，不理解 IT服務中斷對業(yè)務的影響；不認為服務的持續(xù)性是管理層應關心的問題 1 初始的或混亂的 制定和確認與 IT有關的規(guī)劃和策略，其內容包含信息安全的任務、遠景、目標、價值和行為準則； 該委員會清楚理解其信息安全任務，知道怎樣與管理層和審計師合作； 所以，盡 管有些單位安裝了一些安全產品，但這不能稱其為實現了信息安全治理。 信息安全管理提供管理程序、技術和保證措施，使業(yè)務管理者確信業(yè)務交易的可信性；確保信息技術服務的可用性，能適當地防御不正當操作、蓄意攻擊或者自然災害，并從這些故障中盡快恢復；確保拒絕未經授權的訪問。他指出，必須充分認識做好信息安全保障工作 的極端重要性，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化健康發(fā)展。 目前業(yè)界普遍認為，信息安全是政府和企業(yè)必須攜手面對的問題。該報告顯示全球 2020強企業(yè)中只有不到 25%的企業(yè)在全面的 業(yè)務持續(xù)性計劃 上進行了投資，而就在這些進行了投資的企業(yè)當中，只有 50%對自己的持續(xù)性計劃進行了全面的測試。更值得注意的是，這些攻擊中只有 400個被查明， 20個被報告。第一章 信息安全管理概論 引論 信息安全治理 一、信息安全治理的產生背景 在當今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統在各類組織中得到了廣泛應用。早在 1996年，美國會計總署（ GAO）報告指出，美國國防部一年有 15 000 個系統遭到高達 250 000次攻擊，其中 65%攻擊成功，防范和彌補損失的費用高達數億美元。 11 后企業(yè)依然沒有提高警惕，這一點從 Gartner 研究主管 Donna Scott 進行的調查中就可以明顯地反映出來，這次調查是 Scott在 2020年關于保持業(yè)務持續(xù)性發(fā)展問題的陳述報告的一部分。他認為，與個人網絡安全相比，政府網絡安全現在還處于遠遠落后的狀態(tài)，要想解決一些比較大的問題， 必須先要建立網絡安全的基礎和機制 。中共中央政治局常委、國務院副總理黃菊出席會議并作重要講話。它不同于信息安全管理。相反，就不可能得到一個真正意義上的安全防護體系。建立審計委員會。 全面遵循最低安全要求，或者記錄違背最低安全要求的行為； 沒有業(yè)務評價流程；組織沒有考慮安全隱患和項目開發(fā)不確定性對業(yè)務的 影響；沒有認識到風險管理關系到 IT解決方案的獲得和 IT服務的交付 組織范圍內的風險管理策略定義了怎樣進行風險評估；風險評估遵循一個已定義的流程；該流程已形成規(guī)范，適用于所有接受過相應培訓的員工 0～ 5等級是基于一個簡單的成熟性量度，體現出一個處理如何從不存在級發(fā)展到優(yōu)化級的管理過程，增加成熟度意味著增強風險管理與提高管理效率 。 國際會計師聯合會，《信息安全管理》（ 1998） 信息安全的目標是 “ 保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失 ” 。該標準適應任何規(guī)模的組織。 可用性 —— 系統在服務水平聲明或協議規(guī)定的時間內可以運行和使用； 安全性 —— 確保系統拒絕未經授權的物理的或邏輯的訪問； 完整性 —— 系統的數據處理是完整的、準確的、及時的和被授權的； 可維護性 —— 必要時能夠升級系統而不影響系統或者與系統的可用性、安全性和完整性相沖 突。在 1998年，第二版在增加了控制目標和實施工具集后出版。 COBIT框架 通過聯結業(yè)務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。在以后的章節(jié)中，我們將從的標準介紹、理解實施與案例分析來全面剖析企業(yè)信息安全管理體系 (BS7799)的建制。 顧客將期望 PKI/CA認證中心在各個方面都展示出最高水平的安全，但由于影響安全的要素眾多，從具體的物理安全到抽象的邏輯安全，其中既有人為因素也有非人為因素的影響，要解決這些問題，一個信息系統需實現包括信息系統安全、數據通信安全、密 鑰管理安全、證書管理、安全審計、物理安全和人員安全等等方面的安全防御體系，需要制定出詳細的策略并遵照執(zhí)行，而目前我國還沒有專門針對 PKI/CA 認證中心的安全性建設制訂一套有效的策略和規(guī)范。 在實際運營建設中，天威誠信參照 BS7799 建議的控制措施，對安全策略進行文檔化控制，在企業(yè)范圍內最大化的為廣大用戶及內部員工所了解和接受，并指導各種規(guī)定制度、操作程序的制定及實施，并定期進行評審和評估 。必要時聘請外部專家給與信息安全管理工作指導性的建議及意見。對于內部信息的傳輸，天威誠信更是利用自身的技術、管理優(yōu)勢進行了證書管理機制。參照 BS7799建議的控制措施對于三個控制目標天威誠信進行多方面的管理控制： 1， “可信雇員政策”是人員安全系統 的基礎。 5， 所有新員工都必須經過相應的安全培訓，涉及到安全管理、技術、實施的員工還必須經過相應考核?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊?、以及資產清理等。 5， 電源方面，天威誠信采用雙路供電、配合 UPS電源組、以及多臺大功率發(fā)電機?！皭阂廛浖雷o”的目標是保護軟件和信息的完整性免受惡意軟件的傷害。 2， 專用網管軟件的采用很好解決了性能監(jiān)控、故障管理、配置管理、變更控制等問題?！霸L問控制策略”要求建立覆蓋公司核心業(yè)務的系統訪問策略，以指導相關的 IT活動。 5， 在用戶責任方面我們在安全策略中明確了不同主體在使用客體時的責任?！跋到y文件安全”要求采取措施，保護運行軟件、系統測試數據以及源程序庫的安全。 【實施方法與形式】：天威誠信為維護整個組織的業(yè)務連續(xù)性，結合 BS7799的控制目標制定《應急管理程序》、《災難恢復計 劃》、《備份計劃》等安全策略、規(guī)定，并參照 BS7799的控制措施進行日常運行管理： 1， 天威誠信根據業(yè)務特點，對可能發(fā)生故障、災難及其他影響運營的環(huán)節(jié)進行了標示，并進行相應的風險分析 2， 編制、執(zhí)行了“應急管理程序”、“災難恢復計劃”、“備份計劃”等管理程序 3， 落實各種應急措施的責任人，并明確其在業(yè)務連續(xù)性計劃中的職責。 3， 天威誠信制定了明確的內部審計程序來約定內部審計的范圍及程序，包括審計范圍、審計記錄的管理、審計的時效性、審計的參考標準等 4， 天威誠信還引進了外部第三方審計的方式，更公正、透明來保障企業(yè)的安全策略得到遵守。 IBAS香港是 Ibas在亞洲較早成立的分支機構，擁有先進的數據恢復中心和安全實驗室。在項目實施過程中，主要的難點包括： 如何確定 ISMS的范圍？ ISMS 范圍的正確訂立是 整個實施的基礎和成敗關鍵。因此，在一開始就應把業(yè)務骨干納入到風險評估小組，通過培訓讓所有成員理解風險評估的目的、組織流程和方法。如客戶交來介質時如何接待，對包裝 如何檢查，標記、存放，當實驗室工作人員暫時離開，如何確保環(huán)境和客戶介質的安全等。安全管理體系的良好運作，依賴于制度和組織機制，更依賴于各種角色人員的安全意識，和對安全方針的理解與遵守程度。目前，這套系統正等待正式證書的下達。 1 第 2 部分提供了可以作為風險管理評估結果使用的安全控制規(guī)范，可以作為 IT 企業(yè)正 式通過 BS7799標準認證的依據。 三、利用 CA的產品和服務設計 ISMS 下面將針對 BS7799定義的十個安全管理領域分別闡述 CA的產品和服務解決方案。 1 CA eTrust Security Command Center 可以幫助建立完備的安全信息平臺，實現安全策略及其支持性文檔的發(fā)布、共享、查詢和評論等。 資產分類及控制 資產分類及控制包括兩個控制目標：資產責任和信息分類。安全響應需要有效的流程體系和工具來保障其質量?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊弧⒁约百Y產清理等。“系統計劃和驗收”的控制措施包括容量規(guī)劃和系統接收，目標是將系統故障的風險降低到最