【文章內(nèi)容簡介】 元素。這 133 個控制措施被分成 11 個方面，成為組織實施信息安全管理的實用指南，在所有這些領域中，信息安全政策是 ISO17799 中最重要的控制目標。 二、什么是信息安全政策？ 信息安全政策從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個計劃，其 目的就是對組織中成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時應當承擔什么樣的責任，詳細描述對員工的安全意識與技能要求，列出被組織禁止的行為 。 ISO17799 明確提出：管理層應當提出一套清晰的政策來指導信息安全實踐，并且通過在組織內(nèi)發(fā)布和維護信息安全政策來表明對信息安全的支持和承諾。 ISO17799 標準中的英文 “Policy”一詞可以有兩種解釋：一個信息安全方針，另一個是具體的信息安全策略。 所謂信息安全方針就是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的規(guī)則和指示。信息安全方針應當闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準，采用適當?shù)姆椒▽⒎结槀鬟_給每一個 員工。 第 6 頁 具體的信息安全策略是在信息安全方針的框架內(nèi)，根據(jù)風險評估的結(jié)果而制定的明確具體的管理風險的信息安全實施規(guī)則。下表列出一些常見的信息安全策略： ? 人員審查策略 ? 清除桌面和清除屏幕策略 ? 電子郵件使用策略 ? 電子辦公系統(tǒng)安全策略 ? 訪問控制策略 ? 網(wǎng)絡服務使用策略 ? 移動計算設施的安全策略 ? 遠程工作策略 ? 使用密碼控制技術(shù)策略 ? 安全政策的內(nèi)容與格式 三、安全政策的內(nèi)容與格式 信息安全政策通過為組織的每一個人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護標準，防止員工的不安全行為引入風險。信息安全政策是 進一步制定控制規(guī)則、安全程序的必要基礎。安全政策應當目的明確、內(nèi)容清楚，能廣泛地被組織成員接受與遵守，而且要有足夠的靈活性、適應性，能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動和資源。建立了信息安全政策，就設置了組織的信息安全基礎，可以使員工了解與自己相關(guān)的信息安全保護責任，強調(diào)信息系統(tǒng)安全對組織業(yè)務目標的實現(xiàn)、業(yè)務活動持續(xù)運營的重要性。 安全方針屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應該篇幅短小，內(nèi)容明確。信息安全方針應當簡明、扼要，便于理解，至少應包括以下內(nèi)容： ? 信息安全的定義，總體目標、范圍，安全 對信息共享的重要性 ? 管理層意圖、支持目標和信息安全原則的闡述。 ? 信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要性。 ? 信息安全管理的一般和具體責任定義，包括報告安全事故。 信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎，安全策略的格式如下表所示： 目標 建立信息系統(tǒng)安全的總體目標，定義信息安全的管理結(jié)構(gòu)和提出對組織成員的安全要求 。 第 7 頁 信息安全策略必須有一定的透明度并得到高層管理 層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。 信息安全策略要對所有員工強調(diào) “信息安全，人人有責 ”的原則，使員工了解自己的安全責任與義務。 范圍 信息安全策略應當有足夠的范圍廣度，包括組織的所有信息資源、設施、硬件、軟件、信息、人員。在某些場合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點、各種重要裝置和大型系統(tǒng)。此外，還應包括組織所有信息資源類型的綜述，例如，工作站、局域網(wǎng)、單機等。 策略內(nèi)容 根據(jù) ISO17799 中定義，對信息安全策略的描述應該集中在三個方面：機密性、完整性和 可用性，這三種特性是組織建立信息安全策略的出發(fā)點。機密性是指信息只能由授權(quán)用戶訪問，其他非授權(quán)用戶、或非授權(quán)方式不能訪問。完整性就是保證信息必須是完整無缺的，信息不能被丟失、損壞，只能在授權(quán)方式下修改?？捎眯允侵甘跈?quán)用戶在任何時候都可以訪問其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運行。 根據(jù)給定的環(huán)境，應當給員工明確描述與這些特性相關(guān)的信息安全要求，組織的信息安全策略應當以員工熟悉的活動、信息、術(shù)語等方式來反映特定環(huán)境下的安全目標， 例如，組織在維護大型但機密性要求并不高的數(shù)據(jù)庫 時，其安全目標主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對數(shù)據(jù)的機密性要求高時，安全目標的重點就會轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露。 角色責任 信息安全策略除了要建立安全程序及程序管理職責外，還需要在組織中定義各種角色并分配責任，明確要求，比如：部分業(yè)務管理人員、應用系統(tǒng)所有者、數(shù)據(jù)用戶、計算機系統(tǒng)安全小組等。 在某些情況下，信息安全策略中要理順組織中的各種個體與團體的關(guān)系，以避免在履行各自的責任與義務時發(fā)生沖突。例如，要明確規(guī)定誰應該負責批準新系統(tǒng)所使用的安全措施，是相關(guān)業(yè)務部門的負責人，還是內(nèi)部專職信息 系統(tǒng)人員。如果可能的話，還應該由安全程序的負責人簽署授權(quán)書。 執(zhí)行紀律 沒有一個正式的、文件化的安全策略，管理層不可能制定出懲戒執(zhí)行標準與機制，信息安全策略是組織制定和執(zhí)行紀律措施的基礎。信息安全策略中應當描述與安全策略損害行為的類型與程度相對應的懲戒辦法。對于嚴重安全事件，例如：盜竊、內(nèi)部破壞、密謀犯罪等行為全，要執(zhí)行開除、起訴等懲戒措施；對于一般安全事件，例如：使用盜版軟件，要執(zhí)行相應的處罰條款。 還要考慮到有時員工違反安全策略并非是有意的，比如，由于缺乏必要的知識或訓練，員工可能會有違規(guī)行為；有 時也可能是對安全策略缺乏必要的了解造成的。對于這種情況，信息安全策略要預先采取措施，在合理的期限內(nèi)，進行相關(guān)安全策略介紹和安全意識教育培訓。 第 8 頁 專業(yè)術(shù)語 對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述，使組織成員對策略的了解不會產(chǎn)生歧義。 版本歷史 對策略版本在各個階段的修訂情況做出說明。 四、信息安全政策的制定過程 （ 1） 理解組織業(yè)務特征和企業(yè)文化 充分了解組織業(yè)務特征是設計信息安全政策的前提，只有了解組織業(yè)務特征，才能發(fā)現(xiàn)并分析組織業(yè)務所處的風險環(huán)境，并在此基礎上提出合理的、與組織業(yè)務目標相一 致的安全保障措施，定義出技術(shù)與管理相結(jié)合的控制方法，從而制定有效的信息安全政策和程序。 （ 2） 得到管理層的明確支持與承諾 要制定一個好的信息安全政策，必須與決策層進行有效溝通，并得到組織高層領導的支持與承諾，這有三個作用，一是制定的信息安全政策與組織的業(yè)務目標一致；二是制定的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；三是可以得到有效的資源保證，比如在制定安全政策時必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。 （ 3） 組建一個安全政策制定小組 安全政策制定小 組應當由以下人員組成： ? 高級管理人員 ? 信息安全管理人員 ? 負責安全政策執(zhí)行的管理人員 ? 熟悉法律事務的人員 ? 用戶部門的人員 小組成員人數(shù)的多少視政策的規(guī)模與范圍的大小而定，通常制定一個小規(guī)模的安全政策只需 1－ 2人，要制定較大規(guī)模的安全政策可能需要 5－ 10 人。要具體指定政策的起草人、檢查審閱人、測試用戶，要確定政策由什么管理人員批準發(fā)布，由什么人員負責實施。 （ 4） 確定信息安全整體目標 描述信息安全宏觀需求和要達到的目標。一個典型的目標是：通過防止和最小化安全事故的影響，保證業(yè)務持續(xù)性，并最小化業(yè)務損失，為企業(yè) 的實現(xiàn)業(yè)務目標提供保障。 （ 5） 確定信息管理體系的范圍 第 9 頁 確定信息管理體系的范圍后，組織需要根據(jù)自己的實際情況，可以在整個組織范圍內(nèi)、或者在個別部門或領域制定信息安全方針，因為范圍不一樣，方針的制定可能不一樣。 （ 6） 風險評估與選擇安全控制 組織信息安全管理現(xiàn)狀調(diào)查與風險評估工作是建立具體的信息安全策略的基礎與關(guān)鍵，在安全體系建立的整個過程中，風險評估工作占了很大的比例，風險評估的工作質(zhì)量直接影響安全控制的合理選擇和安全策略的完備制定。 （ 7） 起草擬訂安全政策 根據(jù)前面風險評估與選擇安全控制的結(jié)果，起草 擬訂安全政策，安全政策要盡可能地涵蓋所有的風險和控制，沒有涉及的內(nèi)容要說明原因。 （ 8） 評估安全政策 安全政策被制訂出來后，要進行充分的專家評估和用戶測試，以評審安全政策的完備性、易用性，確定安全政策能否達到組織所需的安全目標。 （ 9） 安全政策的實施 安全政策通過測試評估后，需要由管理層正式批準實施?？梢园寻踩结樑c具體安全政策編制成組織信息安全政策手冊，然后發(fā)布到組織中的每個員工與相關(guān)利益方，明確安全責任與義務。 （ 10） 政策的持續(xù)改進 安全政策制定實施后，并不能 “高枕無憂 ”，組織要定期評審安全政 策，并進行持續(xù)改進，因為組織所處的內(nèi)外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風險也是一個變數(shù)，組織中的人的思想、觀念也在不斷的變化，在這個不斷變化的世界中，組織要想把風險控制在一個可以接受的范圍內(nèi)，要對控制措施及信息安全政策持續(xù)的改進，使之在理論上、標準上及方法上與時俱進。 五、案例：信息安全方針示例 文件名稱： XXXX 科技股份有限公司信息安全方針 編號： TFISM001 版次： 機密等級： 一般 目 標： 為保護本公司的相關(guān)信息資產(chǎn)，包括軟硬件設施、數(shù)據(jù)、信息的安全，免于因外在的威脅或 第 10 頁 內(nèi)部人 員不當?shù)墓芾碓馐苄姑?、破壞或遺失等風險，特制訂本政策，以供全體員工共同遵循。 宣傳口號： “信息安全是贏得客戶的基礎，無破壞零損失是我們的終極目標 ” “信息安全，人人有責 ” 信息安全要求： ? 信息安全管理委員會是公司信息安全管理的最高機構(gòu) ? 信息資產(chǎn)應受適當?shù)谋Ｗo，以防止未經(jīng)授權(quán)的不當存??； ? 應適當保護信息的機密性； ? 確保信息不會在傳遞的過程中，或因無意間的行為透露給未經(jīng)授權(quán)的第三者； ? 應適當確保信息的完整性，以防止未經(jīng)授權(quán)的竄改； ? 應適當確保信息的可用性，以確保使用者需求可以得到滿足； ? 相關(guān)的信息安全措施或規(guī)范 應符合現(xiàn)行法令的要求； ? 盡可能維護、測試企業(yè)的災難恢復與業(yè)務持續(xù)性計劃的可行性； ? 應依其職務、責任對全體員工進行信息安全適當?shù)慕逃c培訓； ? 所有信息安全意外事故或可疑的安全弱點，都應依循適當回報系統(tǒng)向上反應，予以適當調(diào)查、處理。 適用范圍： 本信息安全管理方針適用于公司全體員工、業(yè)務合作伙伴、外聘人員及廠商委派支持本公司的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。 責任劃分： ? 本公司高層主管應適時復核、修訂此方針，以確保該信息安全方針符合現(xiàn)行需求。 ? 信息安全管理人員應透過適當程序落實此方針的要求。 ? 全體 員工、外聘人員及相關(guān)外部人員都有責任遵循此安全方針。 ? 全體員工都有責任通過適當反饋系統(tǒng)，報告所發(fā)現(xiàn)的信息安全意外事故或信息安全弱點。任何危及信息安全的行為，都應訴諸適當?shù)膽土P程序或法律行動。 復核： 此方針應由高層主管根據(jù)企業(yè)內(nèi)外環(huán)境的變化，適當?shù)挠枰孕抻?、公告，以符合形勢所需? 第 11 頁 實施時間： 此方針自簽發(fā)之日起，正式實施。 XXXX 科技股份有限公司 總經(jīng)理： 沈 XX 200X年 X月 X日 第 12 頁 第三講 信息資產(chǎn)的分類與控制 一、前言 根據(jù)《光明日報》 2020 年 2 月 9 日的統(tǒng)計數(shù)字，國內(nèi) 2020 年電子 政務 信息安全 市場規(guī)模超過 15億元， 金融信息化 安全市場規(guī)模約有 億元，電信行業(yè)信息安全市場規(guī)模不低于 20 億元，石化、電力、交通運輸、制造、教育、衛(wèi)生等行業(yè)和個人市場的安全市場規(guī)模約有近 20 億元。從 2020 年的總共將近 90 億元市場情況看，防火墻、防病毒、入侵檢測系統(tǒng)、虛擬專用網(wǎng)設備等占了整個安全產(chǎn)品市值的絕大部分， 企業(yè) 花費在信息安全 管理 、咨詢、安全意識、 培訓 、教育方面的費用微乎其微。 從統(tǒng)計 數(shù)據(jù) 我們可以 分析 出，目前在用戶中普遍比較流行的信息資產(chǎn)保護觀點是：通過部署防病毒 軟件 、防火墻及入侵檢測系統(tǒng)等邊界保護 與檢測設備來保護儲存在計算機中的數(shù)據(jù)資產(chǎn)免受非法入侵。 然而信息資產(chǎn)真的只是儲存在計算機中的數(shù)據(jù)嗎？ 英國泰晤士報曾對企業(yè)中知識的儲存方式做了一個調(diào)查，結(jié)果發(fā)現(xiàn)在一個企業(yè)的知識結(jié)構(gòu)中， 26%的知識以紙質(zhì)文件的形式儲存， 20%的知識以電子文件存儲， 42%的知識儲存在員工的頭腦中， 12%以其他形式存在。 Ernst amp。Young 在 2020 年經(jīng)過調(diào)查發(fā)現(xiàn)：國家政府和軍隊信息受到的攻擊 70%來自外部，而 銀行和企業(yè)信息受到的攻擊 70%來自于內(nèi)部。 中國 國家信息安全測評 認證 中心提供的調(diào)查結(jié)果也得出了相似的結(jié)論。 這就是說 我們花了絕大部分的錢，保護了只占信息資產(chǎn) 20%的數(shù)據(jù)資產(chǎn)！而且我們的技術(shù)手段還談不上 100%地有效保護這 20%的數(shù)據(jù)資產(chǎn)。 也許，我們應該重新定義一下什么是信息資產(chǎn)了。 二、什么是信息資產(chǎn)？ 信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以