【文章內(nèi)容簡介】 元素。這 133 個控制措施被分成 11 個方面，成為組織實施信息安全管理的實用指南，在所有這些領(lǐng)域中，信息安全政策是 ISO17799 中最重要的控制目標(biāo)。 二、什么是信息安全政策？ 信息安全政策從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個計劃，其 目的就是對組織中成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任，詳細(xì)描述對員工的安全意識與技能要求，列出被組織禁止的行為 。 ISO17799 明確提出：管理層應(yīng)當(dāng)提出一套清晰的政策來指導(dǎo)信息安全實踐，并且通過在組織內(nèi)發(fā)布和維護信息安全政策來表明對信息安全的支持和承諾。 ISO17799 標(biāo)準(zhǔn)中的英文 “Policy”一詞可以有兩種解釋：一個信息安全方針，另一個是具體的信息安全策略。 所謂信息安全方針就是組織的信息安全委員會或管理當(dāng)局制定的一個高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。信息安全方針應(yīng)當(dāng)闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準(zhǔn)，采用適當(dāng)?shù)姆椒▽⒎结槀鬟_給每一個 員工。 第 6 頁 具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風(fēng)險評估的結(jié)果而制定的明確具體的管理風(fēng)險的信息安全實施規(guī)則。下表列出一些常見的信息安全策略： ? 人員審查策略 ? 清除桌面和清除屏幕策略 ? 電子郵件使用策略 ? 電子辦公系統(tǒng)安全策略 ? 訪問控制策略 ? 網(wǎng)絡(luò)服務(wù)使用策略 ? 移動計算設(shè)施的安全策略 ? 遠程工作策略 ? 使用密碼控制技術(shù)策略 ? 安全政策的內(nèi)容與格式 三、安全政策的內(nèi)容與格式 信息安全政策通過為組織的每一個人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護標(biāo)準(zhǔn)，防止員工的不安全行為引入風(fēng)險。信息安全政策是 進一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。安全政策應(yīng)當(dāng)目的明確、內(nèi)容清楚，能廣泛地被組織成員接受與遵守，而且要有足夠的靈活性、適應(yīng)性，能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動和資源。建立了信息安全政策，就設(shè)置了組織的信息安全基礎(chǔ)，可以使員工了解與自己相關(guān)的信息安全保護責(zé)任，強調(diào)信息系統(tǒng)安全對組織業(yè)務(wù)目標(biāo)的實現(xiàn)、業(yè)務(wù)活動持續(xù)運營的重要性。 安全方針屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。信息安全方針應(yīng)當(dāng)簡明、扼要，便于理解，至少應(yīng)包括以下內(nèi)容： ? 信息安全的定義，總體目標(biāo)、范圍，安全 對信息共享的重要性 ? 管理層意圖、支持目標(biāo)和信息安全原則的闡述。 ? 信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要性。 ? 信息安全管理的一般和具體責(zé)任定義，包括報告安全事故。 信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)，安全策略的格式如下表所示： 目標(biāo) 建立信息系統(tǒng)安全的總體目標(biāo)，定義信息安全的管理結(jié)構(gòu)和提出對組織成員的安全要求 。 第 7 頁 信息安全策略必須有一定的透明度并得到高層管理 層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。 信息安全策略要對所有員工強調(diào) “信息安全，人人有責(zé) ”的原則，使員工了解自己的安全責(zé)任與義務(wù)。 范圍 信息安全策略應(yīng)當(dāng)有足夠的范圍廣度，包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。在某些場合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點、各種重要裝置和大型系統(tǒng)。此外，還應(yīng)包括組織所有信息資源類型的綜述，例如，工作站、局域網(wǎng)、單機等。 策略內(nèi)容 根據(jù) ISO17799 中定義，對信息安全策略的描述應(yīng)該集中在三個方面：機密性、完整性和 可用性，這三種特性是組織建立信息安全策略的出發(fā)點。機密性是指信息只能由授權(quán)用戶訪問，其他非授權(quán)用戶、或非授權(quán)方式不能訪問。完整性就是保證信息必須是完整無缺的，信息不能被丟失、損壞，只能在授權(quán)方式下修改。可用性是指授權(quán)用戶在任何時候都可以訪問其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運行。 根據(jù)給定的環(huán)境，應(yīng)當(dāng)給員工明確描述與這些特性相關(guān)的信息安全要求，組織的信息安全策略應(yīng)當(dāng)以員工熟悉的活動、信息、術(shù)語等方式來反映特定環(huán)境下的安全目標(biāo)， 例如，組織在維護大型但機密性要求并不高的數(shù)據(jù)庫 時，其安全目標(biāo)主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對數(shù)據(jù)的機密性要求高時，安全目標(biāo)的重點就會轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露。 角色責(zé)任 信息安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求，比如：部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計算機系統(tǒng)安全小組等。 在某些情況下，信息安全策略中要理順組織中的各種個體與團體的關(guān)系，以避免在履行各自的責(zé)任與義務(wù)時發(fā)生沖突。例如，要明確規(guī)定誰應(yīng)該負(fù)責(zé)批準(zhǔn)新系統(tǒng)所使用的安全措施，是相關(guān)業(yè)務(wù)部門的負(fù)責(zé)人，還是內(nèi)部專職信息 系統(tǒng)人員。如果可能的話，還應(yīng)該由安全程序的負(fù)責(zé)人簽署授權(quán)書。 執(zhí)行紀(jì)律 沒有一個正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機制，信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。信息安全策略中應(yīng)當(dāng)描述與安全策略損害行為的類型與程度相對應(yīng)的懲戒辦法。對于嚴(yán)重安全事件，例如：盜竊、內(nèi)部破壞、密謀犯罪等行為全，要執(zhí)行開除、起訴等懲戒措施；對于一般安全事件，例如：使用盜版軟件，要執(zhí)行相應(yīng)的處罰條款。 還要考慮到有時員工違反安全策略并非是有意的，比如，由于缺乏必要的知識或訓(xùn)練，員工可能會有違規(guī)行為；有 時也可能是對安全策略缺乏必要的了解造成的。對于這種情況，信息安全策略要預(yù)先采取措施，在合理的期限內(nèi)，進行相關(guān)安全策略介紹和安全意識教育培訓(xùn)。 第 8 頁 專業(yè)術(shù)語 對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述，使組織成員對策略的了解不會產(chǎn)生歧義。 版本歷史 對策略版本在各個階段的修訂情況做出說明。 四、信息安全政策的制定過程 （ 1） 理解組織業(yè)務(wù)特征和企業(yè)文化 充分了解組織業(yè)務(wù)特征是設(shè)計信息安全政策的前提，只有了解組織業(yè)務(wù)特征，才能發(fā)現(xiàn)并分析組織業(yè)務(wù)所處的風(fēng)險環(huán)境，并在此基礎(chǔ)上提出合理的、與組織業(yè)務(wù)目標(biāo)相一 致的安全保障措施，定義出技術(shù)與管理相結(jié)合的控制方法，從而制定有效的信息安全政策和程序。 （ 2） 得到管理層的明確支持與承諾 要制定一個好的信息安全政策，必須與決策層進行有效溝通，并得到組織高層領(lǐng)導(dǎo)的支持與承諾，這有三個作用，一是制定的信息安全政策與組織的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全政策時必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。 （ 3） 組建一個安全政策制定小組 安全政策制定小 組應(yīng)當(dāng)由以下人員組成： ? 高級管理人員 ? 信息安全管理人員 ? 負(fù)責(zé)安全政策執(zhí)行的管理人員 ? 熟悉法律事務(wù)的人員 ? 用戶部門的人員 小組成員人數(shù)的多少視政策的規(guī)模與范圍的大小而定，通常制定一個小規(guī)模的安全政策只需 1－ 2人，要制定較大規(guī)模的安全政策可能需要 5－ 10 人。要具體指定政策的起草人、檢查審閱人、測試用戶，要確定政策由什么管理人員批準(zhǔn)發(fā)布，由什么人員負(fù)責(zé)實施。 （ 4） 確定信息安全整體目標(biāo) 描述信息安全宏觀需求和要達到的目標(biāo)。一個典型的目標(biāo)是：通過防止和最小化安全事故的影響，保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè) 的實現(xiàn)業(yè)務(wù)目標(biāo)提供保障。 （ 5） 確定信息管理體系的范圍 第 9 頁 確定信息管理體系的范圍后，組織需要根據(jù)自己的實際情況，可以在整個組織范圍內(nèi)、或者在個別部門或領(lǐng)域制定信息安全方針，因為范圍不一樣，方針的制定可能不一樣。 （ 6） 風(fēng)險評估與選擇安全控制 組織信息安全管理現(xiàn)狀調(diào)查與風(fēng)險評估工作是建立具體的信息安全策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個過程中，風(fēng)險評估工作占了很大的比例，風(fēng)險評估的工作質(zhì)量直接影響安全控制的合理選擇和安全策略的完備制定。 （ 7） 起草擬訂安全政策 根據(jù)前面風(fēng)險評估與選擇安全控制的結(jié)果，起草 擬訂安全政策，安全政策要盡可能地涵蓋所有的風(fēng)險和控制，沒有涉及的內(nèi)容要說明原因。 （ 8） 評估安全政策 安全政策被制訂出來后，要進行充分的專家評估和用戶測試，以評審安全政策的完備性、易用性，確定安全政策能否達到組織所需的安全目標(biāo)。 （ 9） 安全政策的實施 安全政策通過測試評估后，需要由管理層正式批準(zhǔn)實施。可以把安全方針與具體安全政策編制成組織信息安全政策手冊，然后發(fā)布到組織中的每個員工與相關(guān)利益方，明確安全責(zé)任與義務(wù)。 （ 10） 政策的持續(xù)改進 安全政策制定實施后，并不能 “高枕無憂 ”，組織要定期評審安全政 策，并進行持續(xù)改進，因為組織所處的內(nèi)外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風(fēng)險也是一個變數(shù)，組織中的人的思想、觀念也在不斷的變化，在這個不斷變化的世界中，組織要想把風(fēng)險控制在一個可以接受的范圍內(nèi)，要對控制措施及信息安全政策持續(xù)的改進，使之在理論上、標(biāo)準(zhǔn)上及方法上與時俱進。 五、案例：信息安全方針示例 文件名稱： XXXX 科技股份有限公司信息安全方針 編號： TFISM001 版次： 機密等級： 一般 目 標(biāo)： 為保護本公司的相關(guān)信息資產(chǎn)，包括軟硬件設(shè)施、數(shù)據(jù)、信息的安全，免于因外在的威脅或 第 10 頁 內(nèi)部人 員不當(dāng)?shù)墓芾碓馐苄姑?、破壞或遺失等風(fēng)險，特制訂本政策，以供全體員工共同遵循。 宣傳口號： “信息安全是贏得客戶的基礎(chǔ)，無破壞零損失是我們的終極目標(biāo) ” “信息安全，人人有責(zé) ” 信息安全要求： ? 信息安全管理委員會是公司信息安全管理的最高機構(gòu) ? 信息資產(chǎn)應(yīng)受適當(dāng)?shù)谋Ｗo，以防止未經(jīng)授權(quán)的不當(dāng)存?。? ? 應(yīng)適當(dāng)保護信息的機密性； ? 確保信息不會在傳遞的過程中，或因無意間的行為透露給未經(jīng)授權(quán)的第三者； ? 應(yīng)適當(dāng)確保信息的完整性，以防止未經(jīng)授權(quán)的竄改； ? 應(yīng)適當(dāng)確保信息的可用性，以確保使用者需求可以得到滿足； ? 相關(guān)的信息安全措施或規(guī)范 應(yīng)符合現(xiàn)行法令的要求； ? 盡可能維護、測試企業(yè)的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃的可行性； ? 應(yīng)依其職務(wù)、責(zé)任對全體員工進行信息安全適當(dāng)?shù)慕逃c培訓(xùn)； ? 所有信息安全意外事故或可疑的安全弱點，都應(yīng)依循適當(dāng)回報系統(tǒng)向上反應(yīng)，予以適當(dāng)調(diào)查、處理。 適用范圍： 本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及廠商委派支持本公司的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。 責(zé)任劃分： ? 本公司高層主管應(yīng)適時復(fù)核、修訂此方針，以確保該信息安全方針符合現(xiàn)行需求。 ? 信息安全管理人員應(yīng)透過適當(dāng)程序落實此方針的要求。 ? 全體 員工、外聘人員及相關(guān)外部人員都有責(zé)任遵循此安全方針。 ? 全體員工都有責(zé)任通過適當(dāng)反饋系統(tǒng)，報告所發(fā)現(xiàn)的信息安全意外事故或信息安全弱點。任何危及信息安全的行為，都應(yīng)訴諸適當(dāng)?shù)膽土P程序或法律行動。 復(fù)核： 此方針應(yīng)由高層主管根據(jù)企業(yè)內(nèi)外環(huán)境的變化，適當(dāng)?shù)挠枰孕抻啞⒐?，以符合形勢所需? 第 11 頁 實施時間： 此方針自簽發(fā)之日起，正式實施。 XXXX 科技股份有限公司 總經(jīng)理： 沈 XX 200X年 X月 X日 第 12 頁 第三講 信息資產(chǎn)的分類與控制 一、前言 根據(jù)《光明日報》 2020 年 2 月 9 日的統(tǒng)計數(shù)字，國內(nèi) 2020 年電子 政務(wù) 信息安全 市場規(guī)模超過 15億元， 金融信息化 安全市場規(guī)模約有 億元，電信行業(yè)信息安全市場規(guī)模不低于 20 億元，石化、電力、交通運輸、制造、教育、衛(wèi)生等行業(yè)和個人市場的安全市場規(guī)模約有近 20 億元。從 2020 年的總共將近 90 億元市場情況看，防火墻、防病毒、入侵檢測系統(tǒng)、虛擬專用網(wǎng)設(shè)備等占了整個安全產(chǎn)品市值的絕大部分， 企業(yè) 花費在信息安全 管理 、咨詢、安全意識、 培訓(xùn) 、教育方面的費用微乎其微。 從統(tǒng)計 數(shù)據(jù) 我們可以 分析 出，目前在用戶中普遍比較流行的信息資產(chǎn)保護觀點是：通過部署防病毒 軟件 、防火墻及入侵檢測系統(tǒng)等邊界保護 與檢測設(shè)備來保護儲存在計算機中的數(shù)據(jù)資產(chǎn)免受非法入侵。 然而信息資產(chǎn)真的只是儲存在計算機中的數(shù)據(jù)嗎？ 英國泰晤士報曾對企業(yè)中知識的儲存方式做了一個調(diào)查，結(jié)果發(fā)現(xiàn)在一個企業(yè)的知識結(jié)構(gòu)中， 26%的知識以紙質(zhì)文件的形式儲存， 20%的知識以電子文件存儲， 42%的知識儲存在員工的頭腦中， 12%以其他形式存在。 Ernst amp。Young 在 2020 年經(jīng)過調(diào)查發(fā)現(xiàn)：國家政府和軍隊信息受到的攻擊 70%來自外部，而 銀行和企業(yè)信息受到的攻擊 70%來自于內(nèi)部。 中國 國家信息安全測評 認(rèn)證 中心提供的調(diào)查結(jié)果也得出了相似的結(jié)論。 這就是說 我們花了絕大部分的錢，保護了只占信息資產(chǎn) 20%的數(shù)據(jù)資產(chǎn)！而且我們的技術(shù)手段還談不上 100%地有效保護這 20%的數(shù)據(jù)資產(chǎn)。 也許，我們應(yīng)該重新定義一下什么是信息資產(chǎn)了。 二、什么是信息資產(chǎn)？ 信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以