【正文】 【 CA解決方案】 ?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過程中丟失、被修改或者被誤用。“網(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護支持性的基礎(chǔ)架構(gòu)。“惡意軟件防護”的目標(biāo)是保護軟件和信息的完整性免受惡意軟件的傷害?！安僮鞒绦蚝拓?zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施。 1 CA Unicenter Argis 則提供了 IT 系統(tǒng)的全面財務(wù)管理，在 IT系統(tǒng)的整個生命周期上進行跟蹤、控制投資回報。 1 CA Unicener NSM 可以幫助監(jiān)視 IT 系統(tǒng)的電力供應(yīng)等，并將事件報告給響應(yīng)中心（可能是幫助臺系統(tǒng)）。 案例之三： BS7799框架下安全產(chǎn)品與技術(shù)的具體實現(xiàn) (2) 【 CA解決方案】 1 CA 專業(yè)咨詢可以提供在物理環(huán)境安全方面如何制定安全策略、設(shè)置安全措施等的幫助。而“設(shè)備安全”的控制措施可以防止資產(chǎn)丟失、受損和受到威脅，防止業(yè)務(wù)活動受到干擾，包括電信供應(yīng) 和線路安全等等。 物理和環(huán)境安全 物理和環(huán)境安全包括三個控制目標(biāo)：安全區(qū)域、設(shè)備安全和一般控制措施。 1 CA eTrust Security Command Center可以提供集 中統(tǒng)一的安全事件收集、過濾、相關(guān)、監(jiān)視、報表等管理服務(wù)。 【 CA解決方案】 1 CA 專業(yè)咨詢可以提供企業(yè)在人員安全、保密協(xié)議、崗位職責(zé)、事件報告和身份管理等方面的經(jīng)驗和業(yè)界最佳實踐?！皩Π踩录凸收系捻憫?yīng)”要求采取措施將安全事 件和故障造成的損害降低到最低水平，對此類事件進行監(jiān)控并從中汲取知識和吸取經(jīng)驗?！奥氊?zé)分工和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對設(shè)施的濫用。 1 CA Unicenter Asset Management 可以幫助 IT 管理者收集、展示、實時監(jiān)視企業(yè)范圍內(nèi)的信息資產(chǎn)，并進行配置管理 人員安全 人員安全包括三個控制目標(biāo)：職責(zé)分工和資源中的安全、用戶培訓(xùn)、對安全事件和故障的響應(yīng)。資產(chǎn)責(zé)任要求建立起翔實、全面的資產(chǎn)目錄；而信息分類則要求建立企業(yè)的信息分類原則，通過信息標(biāo)準(zhǔn)和相關(guān)處理來確保信息資產(chǎn)能夠得到適當(dāng)?shù)燃壍谋Ｗo。 1 CA eSCC 可以提供覆蓋第三方和外包方的全方位監(jiān)控和審計手段，并且提供基于角色的視圖。 1 CA eTrust Identity amp。安全組織要求定義企業(yè)機構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時，要求管理者能夠識別第三方合作和外包過程中的風(fēng)險，并通過相關(guān)的合同控制安全風(fēng)險。另外 eSCC 提供的各種報表、實時監(jiān)控等可以提供很好的安全策略審計和評估手段。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助識別安全方針方面的需求，提供業(yè)界的最佳實踐參考，幫助開發(fā)適合的安全方針。 1 第四，一般情況下，安全方針需要若干支持性文檔和配套規(guī)范。 同時，安全方針的建設(shè)和維護還有以下若干個特點： 1 首先，該安全方針應(yīng)該在企業(yè)范圍內(nèi)為廣大用戶所了解和接受； 1 其次，安全方針應(yīng)該納入正式的變更、配置和發(fā)布管理過程中，定期的、持續(xù)性的評審和檢查非常重要。 安全方針 安全方針為信息安全活動提供了管理的方向以及所需的支持手段和管理層的承諾，同時安全方針還應(yīng)該明確定義企業(yè)機構(gòu)中安全方針的維護責(zé)任。 同時，我們應(yīng)該注意到， BS7799 定義了安全管理活動中的目標(biāo)和措施，但是并沒有規(guī)定如何去實現(xiàn)這些措施，如何通過工具和信息技術(shù)手段來保障，而 把這些過程留給了企業(yè)和安全專業(yè)廠家?？梢钥吹剑@十個領(lǐng)域覆蓋了安全管理活動中的大部分內(nèi)容，從物理安全到人員組織，從運行維護到系統(tǒng)開發(fā)，從安全策略到各種具體的控制措施。 二、 BS7799控制目標(biāo)與措施 BS7799 定義了安全管理的十個主要領(lǐng)域，它們分別是：安全方針、安全組織、資產(chǎn)分類及控制、人員安全、物理和環(huán)境安全、通信和運行管理、系統(tǒng)訪問控制、系統(tǒng)開發(fā) 與維護、業(yè)務(wù)持續(xù)性管理和符合性。 其中，第 1部分已經(jīng)于 2020年被批準(zhǔn)為 ISO標(biāo)準(zhǔn)，稱為 ISO/IEC17799： 2020。它由兩部分組成： 1 第 1部分規(guī)定了一系列需要滿足的關(guān)鍵安全目標(biāo)，并確定了一系列可以用來滿足這些目標(biāo)的安全控制措施。 案例之三： BS7799框架下安全產(chǎn)品與技術(shù)的具體實現(xiàn) (1) 一、引言 近年來， BS7799 獲得了 越來越多的關(guān)注，越來越多的企業(yè)采用 BS7799作為安全管理方面的最佳實踐參考，使用它來進行安全審計和風(fēng)險評估，進而建立自己的信息安全管理系統(tǒng)（ ISMS），最終通過 BS7799認證。 五、 經(jīng)驗總結(jié) BS7799 信息安全管理體系的實施，最大意義不在于顯著改善企業(yè)的安全風(fēng)險水平，而在于讓企業(yè)擁有可控的風(fēng)險管理架構(gòu)、方法和保障落實機制。 四、 實施效果 通過實施 BS7799， Ibas香港獲得了以下方面的成功和收益： 建立了完整的文件化的信息安全管理體系，為企業(yè)各項安全相關(guān)活動的開展提供了明確的目標(biāo)和操作指引； 進一步明確了安全管理對于業(yè)務(wù)促進的重要作用，使安全風(fēng)險和責(zé)任意識從傳統(tǒng)的 IT部門擴展到企業(yè)每個員工，提高了安全管理的整體效率； 通過 PDCA過程方法和相應(yīng)的組織保障體系 ，使企業(yè)安全管理從“無序、零散、被動”的風(fēng)險補救行為轉(zhuǎn)變?yōu)椤跋到y(tǒng)、科學(xué)、連貫、主動”的風(fēng)險駕馭狀態(tài)； 通過把 BS7799的要求引入業(yè)務(wù)流程，使現(xiàn)有的業(yè)務(wù)運作更加安全規(guī)范，減少了流程和操作過程帶來的安全風(fēng)險；另外，通過完善的資產(chǎn)管理，增強的物理環(huán)境安全，以及業(yè)務(wù)連續(xù)性計劃的制定、模擬和定期演練，極大提高了企業(yè)對突發(fā)事件和外部威脅的風(fēng)險防范能力； 通過 BS7799認證，意味著企業(yè)對安全風(fēng)險的管理能力獲得國際權(quán)威機構(gòu)的認可，有助于消除客戶對于服務(wù)過程中隱私和敏感數(shù)據(jù)泄密的擔(dān)憂，從而鞏固在數(shù)據(jù)安全服務(wù)領(lǐng)域的 專業(yè)形象和市場號召力。 在評審階段，由于加安派出的獨立審計員預(yù)先對已建立的文件體系和實施成果 進行了檢查，提出了評審意見和不符合項的糾正措施，然后幫助 Ibas 進行了改善，因此，正式外審非常順利獲得了通過。這些成果，最終通過高層批準(zhǔn)成為企業(yè)制度的一部分。如果在安全手冊的扉頁有 CEO對安全的評論和簽名，顯然增加了該文檔的權(quán)威性。所有這些，需要有效的培訓(xùn)和管理層的支持。 如何發(fā)揮人的主觀能動性？ 人是安全管理體系的靈魂，而不是沒有生命力的產(chǎn)品或文檔體系。在此情況下，基于特定的指標(biāo)進行范圍分級往往是值得推薦的評估方法。 （ 5）風(fēng)險評估的好壞不局限于采用定性或定量的風(fēng)險評估方法，而在于能否為安全控制提供足夠的決策參考依據(jù)。我們還檢查了實驗室的裝修環(huán)境，與其他區(qū)域的分隔，以及門禁、監(jiān)控等措施的有效性。我們和客戶討論了各種細微的業(yè)務(wù)流程隱患，甚至以 Ibas用戶身份參觀公司，以了解這項服務(wù)存在的外部隱患。此外，完整的風(fēng)險評估應(yīng)涵蓋物理和邏輯兩方面的因素。 （ 4）成功的風(fēng)險評估還要避免片面性、主觀性，避免與漏洞掃描或穿透測試混為一談。 （ 3）風(fēng)險評估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進行，比如說，在評估資產(chǎn)和威脅的影響時，都要做 BIA（業(yè)務(wù)影響分析），其中制定的參考指標(biāo)就應(yīng)依據(jù)企業(yè)安全目標(biāo)。風(fēng)險評估既然服務(wù)于企業(yè)的業(yè)務(wù)目標(biāo)，就應(yīng)當(dāng)?shù)玫綐I(yè)務(wù)部門的支持，事實上，只有他們最理解需要保護什么，保護的 程度如何，擔(dān)心哪些安全問題，發(fā)生過什么安全事件，是否值得以特定成本實施安全控制而降低某項風(fēng)險。就我們的體會來說： （ 1）風(fēng)險評估成功與否的關(guān)鍵首先不在于技術(shù)問題，而在于良好的客戶溝通和會議組織技巧，包括讓管理層和業(yè)務(wù)人員理解風(fēng)險評估的重要性、方法，予以必要的配合、支持，并通過高效的會議組織，獲得較全面的和客觀的調(diào)查反饋信息。在本項目中，最終選擇了企業(yè)的核心業(yè)務(wù)系統(tǒng)作為此次認證的范圍，其 ISMS 邊界包括數(shù)據(jù)安全實驗室及所有與“數(shù)據(jù)銷毀和數(shù)據(jù)恢復(fù)服務(wù)”相關(guān)的信息資產(chǎn)，從而確保了 BS7799 實施與預(yù)期目標(biāo)的一致性。它界定了涵蓋的業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn)，因而也確定了 BS7799 信息安全管理體系的邊界和目標(biāo)，這對于實施周期、實施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。 Audit 針對差距分析和風(fēng)險控制的結(jié)果進行定時復(fù)查 陪同客戶接受認證公司的答問和檢查，并就認證公司所審核出來的問題作修改和完善 ISMS 運行階段 +20 工作日 項目結(jié)束 BS7799 的兩部分分別給出了組織安全管理體系的要求和最佳參考實踐，但距離實際操作仍留下許多空白，這給安全顧問公司提供了價值發(fā)揮的空間。 表 101：項目實施規(guī)劃 階段 子階段 工作內(nèi)容 時間 準(zhǔn)備階段 項目開始 +5工作日 ISMS建立 建立框架 Scoping 定立 ISMS Scope 管理會議 安全小組會議 確定雙方工作責(zé)任和范圍 獲得管理審批 準(zhǔn)備階段 +35工作日 差距分析 Gap Analysis 文檔審查 進行安全狀況調(diào)查 進行差距分析 輸出報告，列出明差異處并計劃實際資源投放 風(fēng)險評估 Risk Assessment 識別信息資產(chǎn)，評估資產(chǎn)價值 確認漏洞和威脅并加分析 輸出風(fēng)險評估報告 制定策略和 手段把風(fēng)險降減或轉(zhuǎn)移 輸出控制手段之理論報表和確定實施日期 安全改善 Security Control 將風(fēng)險評估報告內(nèi)確定的控制手段轉(zhuǎn)化為具體行動，例如安裝設(shè)備、更改流程、意識培訓(xùn)等 控制實施進度和資源 適用聲明 Statement of Applicability 編制 SoA文檔 審閱認證必需的相關(guān)文檔 ISMS運行 ISMS 建立階段 +60 工作 日 ISMS評審 復(fù)查 amp。 Ibas 香港希望通過 BS7799項目的實施，建立起符合安全管理國際標(biāo)準(zhǔn)和業(yè)務(wù)運作要求的信息安全管理體系，獲得權(quán)威機構(gòu)的資質(zhì)認證，從而在提高業(yè)務(wù)安全管理水平的同時，增強客戶對Ibas專業(yè)安全服務(wù)的信心和品牌知名度。包括香港中文大學(xué)、香港警署、香港地鐵公司，以及 IBM、 HP、 AIA（友邦保險）、富士通、ASL等眾多跨國企業(yè)的香港分支機構(gòu)都是 Ibas香港的重要客戶。 憑藉獨創(chuàng)的先進科技，超過 20年的專業(yè)經(jīng)驗和強大的研發(fā)能力， Ibas一直是政府、軍隊、警務(wù)、金融、保險等高敏感應(yīng)用客戶的首選方案提供商，同時，在航空和海難事故、刑事案件、戰(zhàn)爭罪行等諸多知名案例調(diào)查過程中的出色表現(xiàn)，為 Ibas贏得了崇高的聲望和長期的市場領(lǐng)先地位。 案例之二：在 IBAS公司內(nèi)建立信息安全管理體系 一、 企業(yè)背景 Ibas公司成立于 1978年，是世界公認的數(shù)據(jù)修復(fù)、銷毀和計算機犯罪取證領(lǐng) 域的領(lǐng)導(dǎo)者。 依據(jù) BS7799建設(shè)安全可靠的 PKI/CA認證中心，不僅僅提高了認證中心的安全性，還為天威誠信贏得了客戶的信賴，國內(nèi)很多大的企業(yè)都認可天威誠信 PKI/CA 認證中心的安全管理，承認天威誠信 PKI/CA 認證中心的確是安全的認證中心，包括微軟（中國）、新浪、聯(lián)想、華為、 TCL 等等國內(nèi)知名企業(yè)都購買天威誠信 PKI/CA 認證中心提供的數(shù)字信任服務(wù)，依托于天威誠信 PKI/CA認證中心提供的安全可靠的數(shù)字信任服務(wù)，構(gòu)建企業(yè)安全的應(yīng)用系統(tǒng)。 三、實施 BS7799帶來的效益 通過參照 BS7799定義的安全管理活動中的目標(biāo)和措施，天威誠信針對 PKI/CA認證中心的安全管理制定了完善的策略和措施，策略和措施涉及信息系統(tǒng)安全、數(shù)據(jù)通 信安全、密鑰管理安全、證書管理、安全審計、物理安全和人員安全等等各個方面，并嚴(yán)格按照策略和措施執(zhí)行，使得天威誠信 PKI/CA 認證中心成為國內(nèi)首屈一指的、真正安全可靠的認證中心。并設(shè)置專人負責(zé)日常的安全與審計工作，通常由專職的安全管理員承擔(dān)此項工作?！跋到y(tǒng)審核考慮”的目標(biāo)是將系統(tǒng)審計程序的效力提升到最高，將其對系統(tǒng)的影響降到最低。“符合法律要求”要求的內(nèi)容覆蓋了明確適用的法律、知識產(chǎn)權(quán)保護、企業(yè)記錄保護、個人隱私和數(shù)據(jù)保護、防止信息設(shè)施濫用、證據(jù)收集等。 4， 定期、不定期的評審、評定業(yè)務(wù)連