【正文】 保信息只被相應(yīng)的授權(quán)用戶訪問； 完整性 —— 保護(hù)信息和處理 信息程序的準(zhǔn)確性和完整性； 可用性 —— 確保授權(quán)用戶在需要時(shí)能夠訪問信息和相關(guān)資產(chǎn)。 CoBIT起源于 IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提。 天威誠信依照我國國情和密碼管理政策，借鑒國外先進(jìn)技術(shù)及管理方法，依據(jù) BS7799建設(shè)和運(yùn)營政府認(rèn)可的、權(quán)威、可信、公正的 PKI/CA認(rèn)證中心，研制了具有自主知識(shí)產(chǎn)權(quán)的 PKI產(chǎn)品及應(yīng)用，對(duì)外提供全面的數(shù)字信任服務(wù)。安全組織要求定義企業(yè)機(jī)構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實(shí)安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時(shí)，要求管理者能夠識(shí)別第三方合作和外包過程中的風(fēng)險(xiǎn)，并通過相關(guān)的合同控制安全風(fēng)險(xiǎn)。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)。對(duì)于普通的安全事件由各業(yè)務(wù)部門進(jìn)行記錄上報(bào)或由安全管理部直接查明后記錄歸檔；針對(duì)于不同業(yè)務(wù)領(lǐng)域的安全事故，天威誠信組織成立 了不同知識(shí)結(jié)構(gòu)的安全應(yīng)急響應(yīng)小組進(jìn)行及時(shí)的相應(yīng)處理工作。 7， 對(duì)于特定要求的設(shè)備，天威誠信還采用了屏蔽室來加以保護(hù)。該機(jī)制使得風(fēng)險(xiǎn)要素可準(zhǔn)確地通過各種底層支撐產(chǎn)品（防火墻、掃描器、入侵檢測(cè)、審計(jì)）進(jìn)行采集，并最終匯總到管理平臺(tái)進(jìn)行事件間的關(guān)聯(lián)分析，從而以更為準(zhǔn)確、適用的方式呈現(xiàn)在管理者面前。 8， 對(duì)于數(shù)據(jù)信息的訪問控制，我們采用了加密、完整性校驗(yàn)等技術(shù)，另外對(duì)于屬于最高安全性的數(shù)據(jù)信息，我們對(duì)其所屬的網(wǎng)絡(luò)和環(huán)境采用了最嚴(yán)格的物理隔離措施，使其與其它工作區(qū)及外部網(wǎng)絡(luò)進(jìn)行完全物理隔離。 符合性 【符合性的建設(shè)要點(diǎn)】：符合性包括三個(gè)控制目標(biāo)：符合法律要求、對(duì)安全策略和技術(shù)符合性的評(píng)估、系統(tǒng)審核考慮。 二、 客戶需求 鑒于數(shù)據(jù)銷毀和恢復(fù)業(yè)務(wù)的高敏感性，客戶對(duì)于服務(wù)商在服務(wù)過程中保護(hù)客戶隱私，防止敏感信息泄密方面的安全性和信譽(yù)度普遍存在不同程度的擔(dān)憂，這不僅僅是領(lǐng)先的專業(yè)技術(shù)和市場(chǎng)知名度所能涵蓋，更重要的是企業(yè)如何體現(xiàn)對(duì)客戶信息的安全保障水平。當(dāng)發(fā)生各成員評(píng)估結(jié)果不一致的情況時(shí)，項(xiàng)目經(jīng)理也應(yīng)參照安全目標(biāo)的定義進(jìn)行裁決。 辦好培訓(xùn)，其實(shí)有很多方式，最好的方式 是案例分析，其次是高層動(dòng)員。 通過本文檔的介紹，讀者可以了解到如何利用冠群電腦（中國）有限公司 (以下簡(jiǎn)稱 CA)公司的產(chǎn)品和服務(wù)來滿足 BS7799 安全體系（ ISMS）建設(shè)方面的需求，并通過 BS7799的認(rèn)證。 安全組織 安全組織包含三個(gè)控制目標(biāo)：企業(yè)信息基礎(chǔ)架構(gòu) 、第三方訪問安全以及外包。 1 CA eTrust Identity Management可以幫助建立跨平臺(tái)、復(fù)雜異構(gòu)環(huán)境下的用戶、角色、賬號(hào)等的統(tǒng)一管理?！皟?nèi)務(wù)管理”的目標(biāo)是維護(hù)信息處理和通信服務(wù)的完整性和可用性，控制措施包括信息備份、操作日志和錯(cuò)誤日志。 通信和運(yùn)行管理 通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和驗(yàn)收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟 件交換?！坝脩襞嘤?xùn)”要求確保員工理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。安全方針和這些文檔一起需要基于角色的訪問 控制，來保證它們?cè)趶V泛獲知的同時(shí)，還能夠處于良好的管理維護(hù)之下。 BS7799是一項(xiàng)英國開發(fā)設(shè)立的安全標(biāo)準(zhǔn)，頒發(fā)于 1999年，定義了在信息安全管理方面的最佳實(shí)踐。此外，為了提高評(píng)估的效率，還可以采用了專業(yè)化的評(píng)估軟件以減少評(píng)估的人為失誤和文檔編制時(shí)間。 （ 2）應(yīng)避免風(fēng)險(xiǎn)評(píng)估僅限于 IT部門和安全專家的參與。集團(tuán)總部位于挪威，目前在全球 10 多個(gè)國家和地區(qū)擁有分支結(jié)構(gòu)和完善的營銷與服務(wù)支持網(wǎng)絡(luò)。 3， 另外，制定了《處理中心任務(wù)和職責(zé) — 責(zé)任隔離》、《 CSU/加密卡運(yùn)送簽收文件》、《運(yùn)送過程（香港 — 北京）的描述》等詳盡的規(guī)范。 【實(shí)施方法與形式】： 1， 天威誠信根據(jù)自身業(yè)務(wù)運(yùn)營特點(diǎn)，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、數(shù)據(jù)信息五個(gè)層面制定了全面的、有效的《天威誠信系統(tǒng)訪問控制安全策略》，并在該策略的指導(dǎo)下來實(shí)現(xiàn)整體的、全面的、有效的訪問控制機(jī)制。 【實(shí)施方法與形式】： 1， 為了確保天威誠信 CA中心各項(xiàng)信息處理操作的正確性和安全性，我們一方面制定了《系統(tǒng)操作運(yùn)行指南》，另一方面采用了世界 領(lǐng)先的網(wǎng)絡(luò)管理平臺(tái)并集成了安全管理模塊。 7個(gè)物理安全層次一般可分為初級(jí)、敏感、高度敏感三個(gè)級(jí)別的區(qū)域。 4， 天威誠信針對(duì)每一名員工（正式、非正式）及第三方用戶都簽署不同形式的保密協(xié)議，以約束保密行為。如：對(duì)與密鑰生成有關(guān)的服務(wù)器要設(shè)定四個(gè)層級(jí)以上的物理保護(hù)，還要提供 UPS電源、恒溫恒濕等物理?xiàng)l件。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運(yùn)轉(zhuǎn)機(jī)制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡(jiǎn) 要說明以及對(duì)機(jī)構(gòu)尤其重要的規(guī)范實(shí)施條件的解釋；闡述信息安全的職責(zé)；等等。 雖然 BS7799可以管理到組織、客戶、供應(yīng)的安全，但是如果在 IT系統(tǒng)和相應(yīng)的數(shù)據(jù)流程上需要更細(xì)粒度的管理，就需要搭配其他的技術(shù)標(biāo) 準(zhǔn)。但是這種判斷僅僅對(duì)特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對(duì)系統(tǒng)整體可靠性的判斷。另外，業(yè)務(wù)依賴性 （依靠第三方通信設(shè)施傳送信息，外包業(yè)務(wù)等等）也可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。 使管理部門相對(duì)容易地依據(jù)等級(jí)制對(duì)自己定位，并找出需要改善安全管理的地方。 信息安全職責(zé)被賦予一個(gè)了解信息安全，但沒管理權(quán)的人；員工具有不完整的和有限的安全意識(shí)，但無法分析信息安全的信息；沒有確定組織特定的信息安全需求，只是被動(dòng)對(duì)信息安全事故做出反應(yīng) ，請(qǐng)第三方處理這些事故；開始制定安全策略，但沒有足夠的技巧和工具；信息安全報(bào)告不完整，易于使人誤解，或不能切中要害 (3) 績效評(píng)估標(biāo)準(zhǔn) 從以下方面判斷在信息安全是否成功： 沒有引起公眾不滿的事故； 減少因?yàn)榘踩珕栴}而推遲新行動(dòng)計(jì)劃的數(shù)量； 有沒有基于信息技術(shù)的業(yè)務(wù)持續(xù)性計(jì)劃； 是否對(duì)重要的信息基礎(chǔ)設(shè)施進(jìn)行自動(dòng)監(jiān)控； 對(duì)員工從信息安全意識(shí)程度與信息安全操作實(shí)務(wù)兩方面進(jìn)行檢查評(píng)估。打開包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。 我國政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識(shí)到了信息安全的重要性。在這個(gè)戰(zhàn)略中， 信息安全被分成 5個(gè)等級(jí) : 第 1級(jí)是家庭用戶和小型商業(yè)機(jī)構(gòu)， 第 2級(jí)是大型企業(yè)， 第 3級(jí)是高等教育、聯(lián)邦政府、州 與地方政府等關(guān)鍵部門， 第 4級(jí)是國家優(yōu)先任務(wù)， 第 5級(jí)是全球性合作網(wǎng)絡(luò)。最高管理層（董事會(huì)）和執(zhí)行管理層需要確保 IT適應(yīng)企業(yè)戰(zhàn)略，同時(shí)企業(yè)戰(zhàn)略也恰當(dāng)利用 IT的優(yōu)勢(shì)。 ” 美國政府在 2020年投資 500多億美元，用于改造 IT基礎(chǔ)設(shè)施及其性能。會(huì)議結(jié)合當(dāng)前金融信息安全保障工作實(shí)際，研究部署了新時(shí)期金融信息安全保障工作。風(fēng)險(xiǎn)控制與管理。 信息安全治理成熟度模型 最高管理層（董事會(huì)）和管理執(zhí)行層可以運(yùn)用信息安全治理成熟度模型建立組織的安全級(jí)別，見圖 1和表 1。 清晰賦予、管理和執(zhí)行信息安全職責(zé)；持續(xù)分析信息安全風(fēng)險(xiǎn)及其影響；完整的基于特定安全基準(zhǔn)線的安全策略和實(shí)踐；標(biāo)準(zhǔn)化、流程化的用戶識(shí)別、驗(yàn)證 和授權(quán)程序；建立員工安全知識(shí)考試制度；入侵測(cè)試是標(biāo)準(zhǔn)的和正式的預(yù)防程序；越來越多利用成本 /收益分析，支持安全評(píng)測(cè)；信息安全流程與組織總體的安全戰(zhàn)略保持一致；信息安全報(bào)告與管理目標(biāo)相聯(lián)系。 信息安全治理成熟度模型將有助于解決在 IT部門中普遍存在的以下問題： 在競(jìng)爭(zhēng)如此激烈的市場(chǎng)環(huán)境中，你的公司或部門在信息安全上處于什么水平？ 如果你認(rèn)為有差距，究竟差在哪里？如 何去改進(jìn)？ 如果你覺得運(yùn)作善治，那么你能說出好在哪里？好到何種程度？ 如何對(duì)信息安全管理進(jìn)行績效評(píng)估？ 四、信息 安全 治理的規(guī)范 目前已有的信息安全治理規(guī)范包括： 經(jīng)濟(jì)合作和發(fā)展組織，《信息系統(tǒng)安全指南》（ 1992） 經(jīng)濟(jì)合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。 信息安全保護(hù)信息不受廣泛威脅的損毀，確保業(yè)務(wù)連續(xù)性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機(jī)遇。除了鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外， CoBIT還考慮到組織對(duì)信用、質(zhì)量和安全的需要，它提供了組織用于定義其對(duì) IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、機(jī)密性、可靠性和一致性。公司在開展自身業(yè)務(wù)的同時(shí)，參與了國家有關(guān)PKI/CA 體系規(guī)劃、建設(shè)和運(yùn)營管理等方面的工作，并積極參與中國電 子簽名法立法。 【實(shí)施方法與形式】：天威誠信設(shè)定了專職安全組織－安全管理部，并任命該部門的負(fù)責(zé)人安全經(jīng)理來負(fù)責(zé)及協(xié)調(diào)與安全相關(guān)的所有活動(dòng)?！肮ぷ鞫x和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對(duì)設(shè)施的濫用。 7， 天威誠信對(duì)于所有影響業(yè)務(wù)運(yùn)行的事件、事故都進(jìn)行了存檔工作，并定期整理、學(xué)習(xí)，納入到新的安全策略制定討論中。 8， 另外，天威誠信對(duì)于水災(zāi)害、化學(xué)效應(yīng)等威脅因素進(jìn)行實(shí)時(shí)的運(yùn)營控制與防護(hù)。 4， 對(duì)于惡意軟 件防護(hù)方面，我們?cè)谙到y(tǒng)層面采用安全加固技術(shù)保證了其自身的安全性。 9， 最后，我們對(duì)各項(xiàng)訪問控制措施采用了集中審計(jì)機(jī)制，以便對(duì)違規(guī)行為及時(shí)發(fā)現(xiàn)和分析。“符合法律要求”要求的內(nèi)容覆蓋了明確適用的法律、知識(shí)產(chǎn)權(quán)保護(hù)、企業(yè)記錄保護(hù)、個(gè)人隱私和數(shù)據(jù)保護(hù)、防止信息設(shè)施濫用、證據(jù)收集等。 Ibas 香港希望通過 BS7799項(xiàng)目的實(shí)施，建立起符合安全管理國際標(biāo)準(zhǔn)和業(yè)務(wù)運(yùn)作要求的信息安全管理體系，獲得權(quán)威機(jī)構(gòu)的資質(zhì)認(rèn)證，從而在提高業(yè)務(wù)安全管理水平的同時(shí)，增強(qiáng)客戶對(duì)Ibas專業(yè)安全服務(wù)的信心和品牌知名度。 （ 4）成功的風(fēng)險(xiǎn)評(píng)估還要避免片面性、主觀性，避免與漏洞掃描或穿透測(cè)試混為一談。如果在安全手冊(cè)的扉頁有 CEO對(duì)安全的評(píng)論和簽名，顯然增加了該文檔的權(quán)威性。 二、 BS7799控制目標(biāo)與措施 BS7799 定義了安全管理的十個(gè)主要領(lǐng)域，它們分別是：安全方針、安全組織、資產(chǎn)分類及控制、人員安全、物理和環(huán)境安全、通信和運(yùn)行管理、系統(tǒng)訪問控制、系統(tǒng)開發(fā) 與維護(hù)、業(yè)務(wù)持續(xù)性管理和符合性。安全組織要求定義企業(yè)機(jī)構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實(shí)安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時(shí)，要求管理者能夠識(shí)別第三方合作和外包過程中的風(fēng)險(xiǎn)，并通過相關(guān)的合同控制安全風(fēng)險(xiǎn)。 1 CA eTrust Security Command Center可以提供集 中統(tǒng)一的安全事件收集、過濾、相關(guān)、監(jiān)視、報(bào)表等管理服務(wù)?！熬W(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護(hù)支持性的基礎(chǔ)架構(gòu)。 1 CA Unicenter Argis 則提供了 IT 系統(tǒng)的全面財(cái)務(wù)管理，在 IT系統(tǒng)的整個(gè)生命周期上進(jìn)行跟蹤、控制投資回報(bào)?！奥氊?zé)分工和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對(duì)設(shè)施的濫用。 1 第四，一般情況下，安全方針需要若干支持性文檔和配套規(guī)范。 案例之三： BS7799框架下安全產(chǎn)品與技術(shù)的具體實(shí)現(xiàn) (1) 一、引言 近年來， BS7799 獲得了 越來越多的關(guān)注，越來越多的企業(yè)采用 BS7799作為安全管理方面的最佳實(shí)踐參考，使用它來進(jìn)行安全審計(jì)和風(fēng)險(xiǎn)評(píng)估，進(jìn)而建立自己的信息安全管理系統(tǒng)（ ISMS），最終通過 BS7799認(rèn)證。在此情況下，基于特定的指標(biāo)進(jìn)行范圍分級(jí)往往是值得推薦的評(píng)估方法。就我們的體會(huì)來說： （ 1）風(fēng)險(xiǎn)評(píng)估成功與否的關(guān)鍵首先不在于技術(shù)問題，而在于良好的客戶溝通和會(huì)議組織技巧，包括讓管理層和業(yè)務(wù)人員理解風(fēng)險(xiǎn)評(píng)估的重要性、方法，予以必要的配合、支持，并通過高效的會(huì)議組織，獲得較全面的和客觀的調(diào)查反饋信息。 案例之二：在 IBAS公司內(nèi)建立信息安全管理體系 一、 企業(yè)背景 Ibas公司成立于 1978年，是世界公認(rèn)的數(shù)據(jù)修復(fù)、銷毀和計(jì)算機(jī)犯罪取證領(lǐng) 域的領(lǐng)導(dǎo)者。然后充分考慮了用戶級(jí)和主要 /安全管理級(jí)（ D/SO）秘密分管者的指定、秘密分管者聯(lián)系策略、秘密共享的調(diào)動(dòng)和調(diào)用過程、特殊區(qū)域可進(jìn)出人員的指定 、特殊區(qū)域可進(jìn)出人員的聯(lián)系策略、特殊區(qū)域可進(jìn)出人員職責(zé)的調(diào)動(dòng)和調(diào)用過程、激活與恢復(fù)、 CSU/加密卡安全管理尺度、運(yùn)送、存儲(chǔ)等過程。“移動(dòng)計(jì)算和遠(yuǎn)程辦公”的目標(biāo)是保證使用移動(dòng)計(jì)算和遠(yuǎn)程辦公設(shè)施時(shí)的安全。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視。 2， 天威誠信針對(duì) CA運(yùn)營的實(shí)際風(fēng)險(xiǎn)，建設(shè)了 7個(gè)物理安全層次來保護(hù) CA 中心特定的信息資產(chǎn)。并配合物理區(qū)域設(shè)定及訪問控制系統(tǒng)來共同管理天威誠信認(rèn)證中心中的各種職能的成員。 【實(shí)施方法與形式】：天威誠信作為專業(yè)的認(rèn)證中心，除了針對(duì)資產(chǎn)的價(jià)值進(jìn)行相應(yīng)保護(hù)外，針對(duì)可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對(duì)其重要性也進(jìn)行了判斷分類，并配合物理方面安全保護(hù)措施，對(duì)各種資產(chǎn)進(jìn)行了分區(qū)域的保護(hù)。 安全策略 【信息安全策略的建設(shè)要點(diǎn)】： BS7799 定義了安全策略是為信息安全活動(dòng)提供了管理的方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略還應(yīng)該明確定義企業(yè)機(jī)構(gòu)中安全策略的維護(hù)責(zé)任。雖然如 ISO 15408（ Common Criteria）、 FIPS 1 COBIT、ISO/IE