【正文】 。組織越依賴信息系統(tǒng)和信息服務(wù)，就越容易受到安全威脅 的破壞，信息資源的共享以及公共和私人網(wǎng)絡(luò)的互連，使實(shí)現(xiàn)訪問控制的難度進(jìn) 一步增大。 現(xiàn)如今，日益增多的組織、網(wǎng)絡(luò)及其信息系統(tǒng)都面臨著大范圍的安全威脅， 這其中包括間諜、詐騙、火災(zāi)、蓄意破壞等。信息、信 息網(wǎng)絡(luò)、對信息起支持作用的信息系統(tǒng)及信息處理過程都是重要的 商務(wù)資產(chǎn)。信息安全管理是 由組織中的所有雇員參與的，例如，為了防止組織外的其他人員非法進(jìn)入組織內(nèi) 獲取組織的機(jī)密技術(shù)，除有效的物理控制外，更要組織全體人員參與，加強(qiáng)控制。內(nèi)部審核一般由組織名義進(jìn)行，是組織自我 ?檢查合格的基礎(chǔ)；外部審核是由外部獨(dú)立的組織進(jìn)行，提供符合 IS027001要求 的認(rèn)證或注冊。 信息安全管理體系審核 為獲得審核證據(jù)就要進(jìn)行體系審核，主要是客觀評價(jià)體系，要進(jìn)行系統(tǒng)的、 獨(dú)立的并形成文件的檢查過程，以確定滿足審核準(zhǔn)則的程度。這樣，信息安全管理體系就進(jìn)入運(yùn)行階段。適用范圍文檔、安全方針文檔、實(shí)施與控制文檔、適用性聲明文檔及 風(fēng)險(xiǎn)評估文檔都應(yīng)當(dāng)包含在信息安全管理體系所建立的文件當(dāng)中。 建立信息安全管理框架 建立信息安全管理體系首先要搭建一個(gè)合理的信息安全管理框架，從整體和 全局的角度，進(jìn)行整體安全建設(shè)，由信息系統(tǒng)本身，根據(jù)技術(shù)條件、業(yè)務(wù)性質(zhì)、 信息資產(chǎn)狀況和組織特征，建立信息資產(chǎn)清單，做出需求分析、風(fēng) 險(xiǎn)分析和選擇 安全控制，準(zhǔn)備適用性聲明，以此建立安全體系并提出安全解決方案。在確定適用范圍時(shí)，應(yīng)重點(diǎn)考慮組織的適用人員、適用環(huán)境、現(xiàn)有 信息資產(chǎn)、現(xiàn)有 rr技術(shù)等。根據(jù)自己的實(shí) 際，在整個(gè)組織范圍內(nèi)或在個(gè)別部門、領(lǐng)域內(nèi)實(shí)施。 (三）方案的實(shí)施步驟及保障措施 信息安全管理體系建設(shè)準(zhǔn)備工作 策劃與準(zhǔn)備 階段的任務(wù)就是做好建立管理體系的各項(xiàng)前期準(zhǔn)備工作。 如何進(jìn)行有效監(jiān)控 可以通過審計(jì)信息系統(tǒng)生成的運(yùn)行日志來有效實(shí)現(xiàn)事中監(jiān)控，記錄操作行 為、標(biāo)示敏感行為、記錄異常事件和監(jiān)控運(yùn)行狀態(tài)，對操作人員、系統(tǒng)狀態(tài)和預(yù) 警信息進(jìn)行實(shí)時(shí)跟蹤，防范可能發(fā)生的信息安全事件。 要確保執(zhí)行有效，需要注意一下幾個(gè)方面：一是制定科學(xué)合理的執(zhí)行計(jì)劃， 將目標(biāo)任務(wù)、執(zhí)行范圍和行為規(guī)范作出明確規(guī)定，并且實(shí)時(shí)跟蹤執(zhí)行效果，以便 隨時(shí)調(diào)整計(jì)劃；二是加強(qiáng)宣傳和溝通工作，使員工對執(zhí)行計(jì)劃有一致性認(rèn)識；三 是建立合理的績效評估機(jī)制，使員工的業(yè)績和收入掛鉤，從而保證執(zhí)行效果；四 動態(tài)監(jiān)控，實(shí)時(shí)反 饋，持續(xù)改進(jìn)執(zhí)行計(jì)劃。光 有目標(biāo)而沒有具體的方法和手段是無法令員工按照企業(yè)發(fā)展規(guī)劃正確執(zhí)行上級 決策的，主要是因?yàn)槊總€(gè)員工都可能對如何達(dá)成目標(biāo)有自己不同的理解，因此造 成執(zhí)行結(jié)果和成效的不確定。 如何保證執(zhí)行效果 能否使決策真正落地，保證執(zhí)行不打折扣，關(guān)鍵在于管理者是否能夠準(zhǔn)確把 控企業(yè)發(fā)展規(guī)劃和執(zhí)行計(jì)劃之間的關(guān)系。 (3)注重人才培養(yǎng)，充分發(fā)揮 每位員工的才能和潛力。建立崗位工作手冊， 對該崗位的工作內(nèi)容、工作要求做詳細(xì)描述，降低人員和崗位的耦合性，使某項(xiàng) 工作的開展不再依賴于具體某個(gè)人，保障輪崗機(jī)制能夠順利實(shí)施，從而有效地避 免由于人員變動而引發(fā)的風(fēng)險(xiǎn)。確保所設(shè)計(jì)開發(fā)的信息系統(tǒng)包含的 業(yè)務(wù)邏輯和操作符合相關(guān)規(guī)定，并能實(shí)時(shí)記錄所有的操作行為，自動生成標(biāo)明 了 敏感行為的系統(tǒng)日志，以便安全審計(jì)人員進(jìn)行審計(jì)，從而可以有效避免使用者帶 來的操作風(fēng)險(xiǎn)。 如何規(guī)避人員風(fēng)險(xiǎn) 人對于酒店等服務(wù)行業(yè)來說處于主體地位，所以有效控制和規(guī)避人員風(fēng)險(xiǎn)是 M公司風(fēng)險(xiǎn)管理的重點(diǎn)內(nèi)容 ,這就要求我們做好以下幾方面的工作： (1)實(shí)現(xiàn)流程系統(tǒng)化、自動化，減少對人的依賴度。 (3)制度建設(shè)要納入項(xiàng)目管理的范疇。因此，在進(jìn) 行制度建設(shè)時(shí)應(yīng)該同時(shí)考慮是否能夠通過技術(shù)實(shí)現(xiàn)，確保制度可操作。所以，需要以 宏觀的角度來進(jìn)行制度建設(shè)，而流程設(shè)計(jì)則需要具體而微，這就要 求我們的信息 安全管理人員既要有宏觀思維也要具備實(shí)戰(zhàn)經(jīng)驗(yàn)。企業(yè)制度建設(shè)應(yīng)該 是進(jìn)行頂層設(shè)計(jì)，自上而下，并且互相關(guān)聯(lián)的。但是這些制度對于 M 公司來講是否包含了所有層面的信息安全行為，是否具有可操作性，都是需要認(rèn) 真考量的。 如何保障制度的可操作和全覆蓋 目前，很多公司都已經(jīng)建立或者正在建立信息安全管理制度體系。 (二）方案實(shí)施的難點(diǎn)分析 如何解決并落實(shí)信息安全管理中的重點(diǎn)問題是 M公司積極抵御安全風(fēng)險(xiǎn)、 建立一套行之有效信息安全管理體系的關(guān)鍵之處。 加強(qiáng)內(nèi)控評估和審計(jì)檢查工作，不僅可以督促信息安全制度落實(shí)、檢查信息安全 技術(shù)工作質(zhì)量，而且可以有效預(yù)防公司運(yùn)營風(fēng)險(xiǎn)。 監(jiān)督 監(jiān)督的主要內(nèi)容有：實(shí)時(shí)監(jiān)控、內(nèi)控評估、風(fēng)險(xiǎn)評估和審計(jì)檢查。無論是決策層、管理層還是具體執(zhí)行者，都需 要按照公司關(guān)于信息安全管理工作的統(tǒng)一部署和安排，以身作則，盡職盡責(zé)，才 能有效地保證公司經(jīng)營過程中的信息安全。 執(zhí)行 信息安全管理目標(biāo)的實(shí)現(xiàn)需要有效的執(zhí)行來保障，這也是實(shí)現(xiàn)公司戰(zhàn)略目標(biāo) 的重要手段之一。另外， M公司還應(yīng)該注意 信息安全專業(yè)人員的培養(yǎng)，自上而下、按照金字塔式的人員結(jié)構(gòu)設(shè)立信息安全決 策層、信息安全管理層和信息安全專業(yè)技術(shù)層。 任和義務(wù)。 M公司的信息安全制度體系也應(yīng)當(dāng)以 IS027001標(biāo)準(zhǔn)作為參考， 建立健全這 11 個(gè)控制領(lǐng)域的管理制度，利用規(guī)范的流程和制度來控制和約束所 有可能會影響信息安全的行為。現(xiàn)在， IS027001已經(jīng)成為了國際上最具典型、應(yīng)用最為廣泛的信息安全管 理標(biāo)準(zhǔn)，被各種組織用來指導(dǎo)信息安全管理工作的開展。 五、 M公司信息安全管理優(yōu)化方案實(shí)施 ()方案實(shí)施的重點(diǎn)分析 制度 信息安全管理制度在信息安全體系建設(shè)中起著非常重要的作用。 (3)通用性原則 信息安全文件系統(tǒng)的執(zhí)行范圍 為全公司，所以，要使文件內(nèi)容盡量通俗易懂， 盡量避免使用太過于專業(yè)的詞匯，以便于參與實(shí)施信息安全管理體系的人員理解 和掌握?？紤]到有些文件可能會包含敏感信息，所以必須要對文件內(nèi)容進(jìn)行分級公 開，并予以適當(dāng)保護(hù)。 建立文件系統(tǒng)的過程中應(yīng)注意旳原則 (1)適度公開原則 為了保證信息安全管理體系得到較好地實(shí)施，在其實(shí)施過程中要保證所有參 與的人員都能了解自己所承擔(dān)的信息安全職 責(zé)，并且對公司的信息安全政策、標(biāo) 準(zhǔn)規(guī)范要有一定的了解。 四級文件為相關(guān)記錄。 三級文件為指南及作業(yè)文件，包括編寫、操作、管理指南、使用手冊和技術(shù) 規(guī)范等。 二級文件為程序、規(guī)定性文件。一個(gè) 組織建立、完善文件化的體系，本身就是實(shí)現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化管理的重要標(biāo)志。在實(shí)際應(yīng)用中，通 過釆用備份、冗余、容錯(cuò)等技術(shù)手段，使信息資產(chǎn)安全能夠得到比較好的保證， 一旦發(fā)生問題后能夠及時(shí)地恢復(fù)。 (7)備份恢復(fù)技術(shù) 當(dāng)發(fā)生信息安全事件后，響應(yīng)恢復(fù)機(jī)制啟動，將數(shù)據(jù)從備份中恢復(fù)，從而保 證了業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。另外，在實(shí)施系統(tǒng)加固手段的同時(shí)注意與周期性的評估相結(jié) 合，避免造成的額外安全風(fēng)險(xiǎn)。 (5)系統(tǒng)加固技術(shù) 為了確保信息安全，應(yīng)對操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備和數(shù)據(jù)庫等重點(diǎn)部位采取 加固技術(shù)，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方 法，進(jìn)行合理的安全 性加強(qiáng)。在防惡意代碼技術(shù)實(shí)施過程中，應(yīng)注意以下事項(xiàng)： ①多重保護(hù) 防惡意代碼不僅僅指安裝一套殺毒軟件，需要建立起一套較完整的體系，包 括：提高員工防病毒意識，培訓(xùn)防殺病毒技術(shù)；部署上網(wǎng)行為檢測系統(tǒng)，根據(jù)用戶 上網(wǎng) 行為判斷病毒來源和特點(diǎn)，提供有效地防毒策略；配合訪問控制系統(tǒng)，在個(gè) 別主機(jī)感染病毒后能夠及時(shí)將其隔離；部署系統(tǒng)加固和數(shù)據(jù)備份系統(tǒng)，有效抵御 病毒入侵。 (3)邊界防護(hù)技術(shù) 通過在 M公司內(nèi)部網(wǎng)絡(luò)和青 海機(jī)場公司內(nèi)網(wǎng)之間，以及 M公司互聯(lián)網(wǎng)接入口 部署防火墻、入侵檢測系統(tǒng)等安全設(shè)備，能夠有效防御來自外部網(wǎng)絡(luò)的攻擊。 (1)身份認(rèn)證和訪問控制 根據(jù) M公司的信息安全狀況和信息技術(shù)水平，建議建立集中管控平臺，集身 份認(rèn)證和訪問控制為一體，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)接入認(rèn)證，并實(shí)現(xiàn)授權(quán)管理，從而實(shí)現(xiàn) 統(tǒng)一存儲管理用戶身份信息，并保證用戶對資源的訪問可控可管，而且可以最大 程度利用已有的安全設(shè)備。 M公司所采用的所有信息安全技術(shù)手段都應(yīng)該以保障企業(yè)信息安全為目的， 并且隨著信息技術(shù)的發(fā)展而不斷加以改進(jìn)。必要時(shí)進(jìn)入新的一輪 信息安全 管理周期，以便持續(xù)改進(jìn)和發(fā)展信息安全。標(biāo)準(zhǔn)化以保證糾正和預(yù)防措施的長期有效性，以防止原來的問題再 次發(fā)生。 (3)監(jiān)督和評審階段（ Check) 執(zhí)行內(nèi)部 ISMS審計(jì)，依據(jù)信息安全策略中定義的管理范圍、管理目標(biāo)和信 息安全基線，監(jiān)督各項(xiàng)措施的實(shí)施，評估信息安全控制措施的有效性，是否達(dá)到 預(yù)期目標(biāo)和效果，并向信息安全管理委員會報(bào)告審核結(jié)果。如建立信息安全管理框架、明確管理職 責(zé)、安全意識培訓(xùn)、管理信息安全管理系統(tǒng)的運(yùn)行、實(shí)施程序以及控制措施、信 息安全績效考核機(jī)制、以及及時(shí)檢測和應(yīng)對安全事故等等。信息安全符合 性計(jì)劃作為相關(guān)業(yè)務(wù)部門的部門計(jì)劃納入部門的平衡計(jì)分卡，并作為績效考核的 一部分，接受內(nèi)控部門的監(jiān)督和審計(jì)。新的信息按要求可來源于業(yè)務(wù)調(diào)整產(chǎn)生的新的安 全需求、新標(biāo)準(zhǔn)的頒布、其它管 理體系對信息安全的要求、新信息技術(shù)的應(yīng)用等 等。 ②信息安全符合性計(jì)劃 信息安全是隨著信息技術(shù)、企業(yè)競爭環(huán)境及業(yè)務(wù)調(diào)整變化而不斷變化的，沒 有一層不變的信息安全要求。這就把 PDCA的 規(guī)劃 (Plan)以制度化的方式形成企業(yè)管理的一部分。 (1)規(guī)劃階段（ Plan) 通過建立能夠形成制度的年度信息安全改善計(jì)劃和信息安全符合性計(jì)劃來 實(shí)現(xiàn) PDCA的規(guī)劃階段。 IS027001標(biāo)準(zhǔn)也采用了 PDCA管理模型 [9],用于建 立組織 的信息安全管理體系 (ISMS)。 (七）建立可持續(xù)改善的信息安全管理機(jī)制 釆用 PDCA (Plan, Do, Check, Action)方法，通過持續(xù)改進(jìn)信息安全管理， 使企業(yè)的向著既定目標(biāo)的發(fā)展有效可控，是保證管理體系持續(xù)改進(jìn)的有效模式。所以 M公 司在進(jìn)行災(zāi)難恢復(fù)管理時(shí)，應(yīng)該根據(jù)其各種信息系統(tǒng)的重要性，找到恢復(fù)成本和 中斷損失的平衡點(diǎn)，合理地配置災(zāi)難恢復(fù)所需 資源。 (4)主次分明，明確災(zāi)難恢復(fù)的水平 為了使響應(yīng)恢復(fù)基礎(chǔ)設(shè)備投入和運(yùn)行維護(hù)資金獲得盡量高的投資回報(bào)，應(yīng)為 重要業(yè)務(wù)投入更多資金預(yù)算用以災(zāi)難恢復(fù)。要定期對應(yīng)急預(yù)案 和計(jì)劃進(jìn)行有效性測試，并在處理安全事件后及時(shí)總結(jié)分析其效果，修訂應(yīng)急預(yù) 案和計(jì)劃，以便對響應(yīng)恢復(fù)能力進(jìn)行持續(xù)性改進(jìn)。并且應(yīng)該通過定期檢查、模擬演練、等手段事先測試應(yīng) 急預(yù)案的可行性，若發(fā)現(xiàn)實(shí)施過程中存在的不足，應(yīng)當(dāng)及時(shí)予以調(diào)整修改。 應(yīng)急預(yù)案和計(jì)劃必須具有可操作性。 (2)制定應(yīng)急預(yù)案及計(jì)劃，強(qiáng)化可操作性 制定有效的應(yīng)急預(yù)案和計(jì)劃是十分必要的，可以有效應(yīng)對信息安全事件，減 少由此造成的損失。 M公司可以考慮建立應(yīng)急處理工作組，負(fù)責(zé)安全應(yīng)急計(jì)劃的制定、維護(hù)和管 理，并且組織、協(xié)調(diào)其他部門根據(jù)安全應(yīng)急計(jì)劃的要求履行相應(yīng)的職責(zé)。 M公司在響應(yīng)恢復(fù)實(shí)施階段中需重點(diǎn)關(guān)注下面四個(gè)方面： (1)明確職責(zé)，保證響應(yīng)恢復(fù)機(jī)制有效運(yùn)行 響應(yīng)恢復(fù)需要及時(shí)執(zhí)行，才能有效地降低殘余風(fēng)險(xiǎn)帶來的負(fù)面影響，提高信 息安全防護(hù)能力。 響應(yīng)恢復(fù)機(jī)制的建立與注意事項(xiàng) 當(dāng)信息資產(chǎn)受到安全安全事件威脅時(shí)，可采取響應(yīng)恢復(fù)來快速有效地響應(yīng)、 處理、恢復(fù)信息安全事件帶來的威脅， 從而減少對公司業(yè)務(wù)的沖擊。 (2)加強(qiáng)實(shí)時(shí)監(jiān)控 由于信息安全事件可能會隨時(shí)發(fā)生，所以應(yīng)該 7X24小時(shí)連續(xù)不斷地 對信息 安全事件進(jìn)行實(shí)時(shí)監(jiān)控，以便能夠及時(shí)發(fā)現(xiàn)并且報(bào)告信息系統(tǒng)和網(wǎng)絡(luò)中發(fā)生安全 事件或者存在的安全隱患。安全監(jiān)控對規(guī)劃實(shí)施