【文章內(nèi)容簡介】 部署，對公 司信息安全工作進行具體安排，并監(jiān)督落實；訂立公司總體信息安全戰(zhàn)略規(guī)劃； 協(xié)調(diào)和督促公司各部門開展信息安全工作；制定和審查公司重大信息安全工作制 度和技術規(guī)范；開展信息安全工作檢查，調(diào)查分析信息安全總體狀況，并提出應 對 方案；接受各部門的信息安全事件報告，并且對事件原因、涉及范圍，危害程 度進行分析評估，依照評估結論提出防范措施；向信息安全工作領導小組及時報 告信息安全事件，定期向全公司通報信息安全事件處理結果；負責公司信息安全 知識培訓和宣傳工作。 信息安全工作組內(nèi)設以下職位： ①系統(tǒng)管理員 —— 負責信息系統(tǒng)的運行和管理，是信息系統(tǒng)安全運行細則的 實施者；管理和維護用戶權限，保證信息系統(tǒng)的安全正常運行；收集并記錄信息 系統(tǒng)所有安全事項，如發(fā)生安全事件應及時向信息安全人員報告；監(jiān)督其他的信 息系統(tǒng)操作人員，以 保證其操作合規(guī)安全。 ②網(wǎng)絡管理員 —— 負責管理信息網(wǎng)絡，是網(wǎng)絡安全策略及安全運行細則的實 施者；配置管理網(wǎng)絡用戶權限，合理配置網(wǎng)絡安全參數(shù)，保證網(wǎng)絡的安全正常運 行；負責監(jiān)控關鍵性網(wǎng)絡設備、網(wǎng)絡物理線路和端口，防范網(wǎng)絡攻擊和入侵，如 發(fā)生安全事件應及時向信息安全人員報告；監(jiān)督其他的網(wǎng)絡操作人員，以保證其 操作合規(guī)安全。 ③應用開發(fā)管理員 —— 負責在開發(fā)建設信息系統(tǒng)的過程中認真執(zhí)行安全策 略，保證所幵發(fā)的信息系統(tǒng)中的安全功能得到準確實現(xiàn)；在信息系統(tǒng)正式上線之 前，完整移交相關的安全策略等文檔；不 允許在信息系統(tǒng)中設置“后門”；按要 求對信息系統(tǒng)核心技術進行保密。 ④安全審計員 —— 負責審計和監(jiān)督信息系統(tǒng)安全事件和操作人員行為，按操 作員證書號、操作時間、操作類型、事件類型進行分類審計，并管理審計日志等。 ⑤安全保密管理員 —— 負責公司日常的安全保密管理活動，監(jiān)視網(wǎng)絡安全運 行，負責安全設備的常規(guī)維護，分析網(wǎng)絡審計信息，執(zhí)行應急安全策略，如發(fā)生 重大安全事件及時向應急管理機構報告等。 以上 5個內(nèi)設崗位要求由不同的人員擔任、各自獨立。 (4)應急處理工作組 —— 負責公司網(wǎng)絡與信息系統(tǒng)的安全應急 策略、應急 預案的審定工作；負責信息安全事件現(xiàn)場指揮，啟動相應的應急預案，及時組織 人員排除故障、恢復系統(tǒng)；定期組織測試和演練信息安全應急策略和預案。 信息安全人員的素質(zhì)應根據(jù)相應的工作職責來確認，要求其能夠勝任本職工 作，并且具備相應的技術能力和協(xié)調(diào)管理能力。鑒于 M公司實際情況和規(guī)模，信 息安全工作小組的完整組建可能會存在困難，那么某些崗位可以由其他部門的人 員兼任，也可以進行外包，聘請第三方人員來擔任。 (四）建立信息安全審計制度 建立規(guī)范的審計制度 內(nèi)部審計是對信息安全管理體系 在實施過程中的情況作出評價，所以應該 定期組織進行審計，可以有效促進體系不斷地改進和完善，審計制度是信息安全 管理體系自我改進機制的重要組成部分。 M公司的信息安全政策和運行規(guī)范制度體系是其信息安全管理工作開展的 依據(jù)，所以審計工作的內(nèi)容主要就是檢驗其信息安全政策標準的符合性和執(zhí)行情 況。審計工作包括以下內(nèi)容：檢驗是否依照相關要求制定了相應的規(guī)章制度和實 施細則；檢驗員工對各類規(guī)章制度的執(zhí)行情況，核查對以往審計結果進行的整改 措施是否得以落實；檢驗分析信息安全控制措施的運行效果，以評估其有效性 。 為保證審計工作的有效性，設計以下審計流程： (1)計劃 ①組織審計組。選擇有資格的 34人組成審計組，并任命一名組長。組長的 職責是編制審計計劃、分派審計任務，與受審部門溝通，向管理者匯報審計結果， 編制審計報告，組織糾正措施的驗證等；審計員的職責是編制審計表，完成被分 派的審計任務，分析記錄審計證據(jù)，參與糾正措施的跟蹤驗證等。 ②編制審計計劃。確定審計的目標、范圍、準則、日程安排，以及審計組成 員分工等。其中審計目標一般包括：評價信息安全管理體系與審計準則及所適用 的法律法規(guī)的符 合程度，評價組織的目標和信息安全管理方案的實現(xiàn)程度等；審 計準則主要有：標準，企業(yè)方針、目標，程序文件、國家和行業(yè)部門發(fā)布的有關 法律法規(guī)、技術標準等；審計范圍包括：審計活動所涉及的區(qū)域、場所、過程、 活動、產(chǎn)品以及覆蓋的時間等。 ③編制檢査表。檢查表是依據(jù)標準、組織的管理體系文件，按部門職能分配 和過程 /活動特點進行編制，部門、項目的職責涉及哪些要素，哪些是主控要素， 哪些是相關要素，過程的輸人、輸出和活動的內(nèi)容是什么，都需要在檢查表中列 出審計要點。因此，檢查表就是“查什么”和“如何查”， 后者指抽樣的步驟和 抽樣方法 ,合理的抽樣才能保證審計結果的客觀公正。每次審計前應編制檢査表， 以使審計工作規(guī)范化，格式化，減少審計員的隨意性和盲目性。檢査表由審計員 編寫，組長審核。 (2)實施 ①首次會議。主要目標是確認審計計劃，審計組與受審核部門溝通，由審計 組全體人員，受審部門負責人，信息安全負責人參加，審計組長主持會議。會議 的議程是：確認內(nèi)審目標、范圍和審核準則；介紹審核日程安排；介紹審核組成 員及分組；明確審核方法、程序和要求；請主要領導簡短講話。 ②現(xiàn)場審計?，F(xiàn)場審計是指審核 員按準備好的檢查表進行檢查，這是一個尋 找客現(xiàn)證據(jù)的過程。其主要包括以下幾個方面：通過面談、查看文件和現(xiàn)場觀察 等方式獲取客觀證據(jù)；做好審計記錄，包括時間、地點、人物、憑證材料和事實 陳述；將收集到的客觀證據(jù)和審計標準進行比較評價，并對不符合標準的項目開 出不符合項通知單。 ③末次會議。現(xiàn)場審核結束后，召開末次會議，由審核組長主持，與會人員 與首次會議相同。其主要議程有：重申審核目標、范圍、準則；報告審核過程； 宣布不符合項報告單；詢問受審核部門有否需要澄清之處；對此次審核工作進行 總結；請 公司領導作總結講話。 (3)檢查 ①審計結果。審計實施后，審計組根據(jù)掌握的證據(jù)，經(jīng)過分析論證，對信息 安全管理體系進行綜合性評價，其內(nèi)容包括：管理體系主要過程應進行的活動和 體系文件中各項規(guī)定是否得到實施和保持；各項活動結果是否達到預定的目標； 組織的信息安全方針和目標的適宜性和實現(xiàn)程度；信息安全管理水平的提高，即 信息安全事件的發(fā)生頻率及影響；信息安全意識提髙的表現(xiàn)；管理體系自我完善 與持續(xù)改進的情況相機制是否建立和健全等。 ②審計報告。評價后結合審計目標提交審計報告，主要內(nèi)容有：審計的目標、 范圍和準則；審計組成員，審計日期及審計過程簡述；審計中發(fā)現(xiàn)的不合格項分 布；信息安全管理體系運行有效性的評價；審計結論及整改意見等。審核報告經(jīng) 管理者代表批準簽署并打印、分發(fā)到有關部門并提交管理評審。 (4)改進 ①糾正措施。在內(nèi)部審計中審計員開出了不符合項通知單，責任部門在接到 不合格通知單后，要認真調(diào)査分析造成不符合的原因，有針對性地提出糾正措施， 以消除不符合的原因。糾正措施要經(jīng)審計組認可。責任部門還要舉一反三，查找 有無類似的問題，同樣要采取糾正措施。糾正措施計劃的實施期限一般不超過 30天，特殊情況適當延長。 ②跟蹤驗證。糾正措施完成后，責任部門應向主管部門報告，主管部門組織 審計員對糾正措施的實施情況及其有效性進行驗證，驗證內(nèi)容包括：各項措施是 否按規(guī)定日期都已完成；完成后的效果如何，必要時進行抽查，看是否還有類似 的不符合發(fā)生；糾正措施的實施情況是否有記錄，有證據(jù)可查，驗證有關證據(jù)； 如因糾正措施引起程序文件修改，應提請管理部門考慮修改文件。審計員經(jīng)驗證 簽署后，此項不符合即已關閉。 ③審計活動 的監(jiān)視。在審計過程中，管理部門應對審計活動進行監(jiān)視，內(nèi)容 有：審計活動和結果與審計方案、審計計劃的符合性；審計組實施審計計劃的能 力；審計文件、記錄是否符合要求；審計目標是否達到。根據(jù)審計活動監(jiān)視的結 果，每年進行一次總結，以便改進下一年度的審計方案。 審計工作開展中旳關鍵因素 (1)規(guī)章制度應當同國際標準相結合 公司內(nèi)部制度規(guī)范通常是審計工作的依據(jù)和基礎，但是由于 M公司目前還沒 有建立完整的信息安全管理制度體系，缺少可以用來對照的標準和規(guī)范，所以需 要借鑒相關的國際標準開展審計工作，比 如信息安全管理方面的國際權威標準 IS027001，或者信息安全和技術審計標準 COMT等。 (2)信息安全審計人員應接受過專業(yè)技能培訓 信息安全審計工作對審計人員的業(yè)務素質(zhì)有著特殊的要求，要么審計人員 在開展工作之前必須接受必要的專業(yè)技能培訓，要么選用獲得信息安全管理或?qū)? 計認證資格的專業(yè)人員來擔任審計人員。 (3)嚴格控制第三方審計 在進行內(nèi)部審計的過程中，首先要注意回避原則，即當事人不能對自己所從 事的工作進行審計。但是對于 M公司這樣的小型公司來說，挑選內(nèi)部審計員可能 存在困難，可以應 聘請外部審計員執(zhí)行審計活動。作為第三方審計組織，有些知 名的審計專業(yè)機構在審計方面擁有豐富的經(jīng)驗，能夠獨立地開展審計工作，從而 獲得比較公正的審計結果。但是，由于第三方審計人員在開展審計工作的過程中 很可能會接觸到一些公司內(nèi)部敏感信息，所以有必要采取嚴格的管控措施，保障 第三方審計過程中的信息安全。 (五）建立信息安全風險管理機制 建立科學化信息安全風險管理流程 所謂的信息風險就是指威脅利用系統(tǒng)弱點對信息資產(chǎn)造成損失或者破壞的 可能性。一個信息系統(tǒng)是否安全，主要看它的風險是否己經(jīng)在現(xiàn)有措 施的控制下 降低到了最小程度，或者是否仍在可控范圍內(nèi)，而不是絕對的沒有風險，想要完 全消除風險也是不切實際的。按照風險管理的一般步驟，風險管理由風險評估和 風險處置兩方面組成。風險管理流程如圖 44所示： 在發(fā)生了安全事故時，從保險公司獲得價值相當?shù)难a償。 ②確定安全控制措施 選擇安全控制措施時需考慮其成本 ,安全控制措施實施的成本應低于其保護 的資產(chǎn)價值，同時也應低于安全部門的資金預算。為了防止不必要的風險，應該 及時調(diào)整因預算不足以提供足夠質(zhì)量的安全控制措施。除了成本 因素，還要考慮 其他一些因素，包括安全控制措施實施的難易程度或者用戶的接受程度等。 M公司在實施風險管理時應注意的事項 根據(jù) M公司現(xiàn)在的信息安全管理狀況來看，應選擇適當?shù)脑u估方法和工具， 結合自評估和第三方評估的方式開展信息安全風險評估。由于在評估實施過程中 可能會對公司的信息資產(chǎn)構成安全威脅，所以在實際操作過程中，可由第三方評 估公司對外圍系統(tǒng)及網(wǎng)絡進行評估，而核心系統(tǒng)則由公司人員進行自評估。為提 高自評估效果，可由經(jīng)驗豐富的風險評估公司對 M公司的評估人員進行技能培 訓，并且提供科學的 評估工具。當 M公司評估人員評估技能的不斷提高，可逐步 過渡到以自評估為主，第三方評估為輔。 信息安全風險評估不是一次性的孤立的工作，應當在信息風險策略或者信息 風險狀況發(fā)生變化時，及時再次進行系統(tǒng)化風險評估，從而得到具有可比性和連 貫性的評估結果。 (六）建立信息安全監(jiān)控報警及響應恢復機制 監(jiān)控報警機制的建立與注意事項 為保證安全控制措施能夠被正確實施，需要建立信息安全監(jiān)控機制，安全事 件發(fā)生時可以被及時發(fā)現(xiàn)并且得到響應。安全監(jiān)控對規(guī)劃實施中采取的安全控制 措施進行有效性跟蹤，如發(fā)現(xiàn)問 題將會啟動新的一輪風險評估，并且將持續(xù)監(jiān)控 殘余風險，信息安全事件會得到及時發(fā)現(xiàn)和報告，并啟動響應恢復流程。 M公司 需要按照以下原則實施安全監(jiān)控： (1)實行集中監(jiān)控 M公司的信息安全事件可能發(fā)生自網(wǎng)絡、信息系統(tǒng)、或者其他應用，集中式 的信息安全監(jiān)控能夠全面收集來自這些風險點的日志和警告信息，將不同層面的 安全事件信息集中起來統(tǒng)一進行分析，有利于全面掌握全公司的信息安全狀況， 能夠有效提高信息安全監(jiān)控水平。 (2)加強實時監(jiān)控 由于信