【正文】 中采取的安全控制 措施進(jìn)行有效性跟蹤，如發(fā)現(xiàn)問 題將會啟動新的一輪風(fēng)險(xiǎn)評估，并且將持續(xù)監(jiān)控 殘余風(fēng)險(xiǎn)，信息安全事件會得到及時(shí)發(fā)現(xiàn)和報(bào)告，并啟動響應(yīng)恢復(fù)流程。 信息安全風(fēng)險(xiǎn)評估不是一次性的孤立的工作，應(yīng)當(dāng)在信息風(fēng)險(xiǎn)策略或者信息 風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，及時(shí)再次進(jìn)行系統(tǒng)化風(fēng)險(xiǎn)評估，從而得到具有可比性和連 貫性的評估結(jié)果。為提 高自評估效果，可由經(jīng)驗(yàn)豐富的風(fēng)險(xiǎn)評估公司對 M公司的評估人員進(jìn)行技能培 訓(xùn)，并且提供科學(xué)的 評估工具。 M公司在實(shí)施風(fēng)險(xiǎn)管理時(shí)應(yīng)注意的事項(xiàng) 根據(jù) M公司現(xiàn)在的信息安全管理狀況來看，應(yīng)選擇適當(dāng)?shù)脑u估方法和工具， 結(jié)合自評估和第三方評估的方式開展信息安全風(fēng)險(xiǎn)評估。為了防止不必要的風(fēng)險(xiǎn)，應(yīng)該 及時(shí)調(diào)整因預(yù)算不足以提供足夠質(zhì)量的安全控制措施。風(fēng)險(xiǎn)管理流程如圖 44所示： 在發(fā)生了安全事故時(shí)，從保險(xiǎn)公司獲得價(jià)值相當(dāng)?shù)难a(bǔ)償。一個(gè)信息系統(tǒng)是否安全，主要看它的風(fēng)險(xiǎn)是否己經(jīng)在現(xiàn)有措 施的控制下 降低到了最小程度，或者是否仍在可控范圍內(nèi)，而不是絕對的沒有風(fēng)險(xiǎn)，想要完 全消除風(fēng)險(xiǎn)也是不切實(shí)際的。但是，由于第三方審計(jì)人員在開展審計(jì)工作的過程中 很可能會接觸到一些公司內(nèi)部敏感信息，所以有必要采取嚴(yán)格的管控措施，保障 第三方審計(jì)過程中的信息安全。但是對于 M公司這樣的小型公司來說，挑選內(nèi)部審計(jì)員可能 存在困難，可以應(yīng) 聘請外部審計(jì)員執(zhí)行審計(jì)活動。 (2)信息安全審計(jì)人員應(yīng)接受過專業(yè)技能培訓(xùn) 信息安全審計(jì)工作對審計(jì)人員的業(yè)務(wù)素質(zhì)有著特殊的要求，要么審計(jì)人員 在開展工作之前必須接受必要的專業(yè)技能培訓(xùn)，要么選用獲得信息安全管理或?qū)? 計(jì)認(rèn)證資格的專業(yè)人員來擔(dān)任審計(jì)人員。根據(jù)審計(jì)活動監(jiān)視的結(jié) 果，每年進(jìn)行一次總結(jié)，以便改進(jìn)下一年度的審計(jì)方案。 ③審計(jì)活動 的監(jiān)視。糾正措施完成后，責(zé)任部門應(yīng)向主管部門報(bào)告，主管部門組織 審計(jì)員對糾正措施的實(shí)施情況及其有效性進(jìn)行驗(yàn)證，驗(yàn)證內(nèi)容包括：各項(xiàng)措施是 否按規(guī)定日期都已完成；完成后的效果如何，必要時(shí)進(jìn)行抽查，看是否還有類似 的不符合發(fā)生；糾正措施的實(shí)施情況是否有記錄，有證據(jù)可查，驗(yàn)證有關(guān)證據(jù)； 如因糾正措施引起程序文件修改，應(yīng)提請管理部門考慮修改文件。糾正措施計(jì)劃的實(shí)施期限一般不超過 30天，特殊情況適當(dāng)延長。糾正措施要經(jīng)審計(jì)組認(rèn)可。 (4)改進(jìn) ①糾正措施。評價(jià)后結(jié)合審計(jì)目標(biāo)提交審計(jì)報(bào)告，主要內(nèi)容有：審計(jì)的目標(biāo)、 范圍和準(zhǔn)則；審計(jì)組成員，審計(jì)日期及審計(jì)過程簡述；審計(jì)中發(fā)現(xiàn)的不合格項(xiàng)分 布；信息安全管理體系運(yùn)行有效性的評價(jià)；審計(jì)結(jié)論及整改意見等。審計(jì)實(shí)施后，審計(jì)組根據(jù)掌握的證據(jù)，經(jīng)過分析論證，對信息 安全管理體系進(jìn)行綜合性評價(jià)，其內(nèi)容包括：管理體系主要過程應(yīng)進(jìn)行的活動和 體系文件中各項(xiàng)規(guī)定是否得到實(shí)施和保持；各項(xiàng)活動結(jié)果是否達(dá)到預(yù)定的目標(biāo)； 組織的信息安全方針和目標(biāo)的適宜性和實(shí)現(xiàn)程度；信息安全管理水平的提高，即 信息安全事件的發(fā)生頻率及影響；信息安全意識提髙的表現(xiàn)；管理體系自我完善 與持續(xù)改進(jìn)的情況相機(jī)制是否建立和健全等。其主要議程有：重申審核目標(biāo)、范圍、準(zhǔn)則；報(bào)告審核過程； 宣布不符合項(xiàng)報(bào)告單；詢問受審核部門有否需要澄清之處；對此次審核工作進(jìn)行 總結(jié)；請 公司領(lǐng)導(dǎo)作總結(jié)講話。 ③末次會議?，F(xiàn)場審計(jì)是指審核 員按準(zhǔn)備好的檢查表進(jìn)行檢查，這是一個(gè)尋 找客現(xiàn)證據(jù)的過程。會議 的議程是：確認(rèn)內(nèi)審目標(biāo)、范圍和審核準(zhǔn)則；介紹審核日程安排；介紹審核組成 員及分組；明確審核方法、程序和要求；請主要領(lǐng)導(dǎo)簡短講話。 (2)實(shí)施 ①首次會議。每次審計(jì)前應(yīng)編制檢査表， 以使審計(jì)工作規(guī)范化，格式化，減少審計(jì)員的隨意性和盲目性。檢查表是依據(jù)標(biāo)準(zhǔn)、組織的管理體系文件，按部門職能分配 和過程 /活動特點(diǎn)進(jìn)行編制，部門、項(xiàng)目的職責(zé)涉及哪些要素，哪些是主控要素， 哪些是相關(guān)要素，過程的輸人、輸出和活動的內(nèi)容是什么，都需要在檢查表中列 出審計(jì)要點(diǎn)。其中審計(jì)目標(biāo)一般包括：評價(jià)信息安全管理體系與審計(jì)準(zhǔn)則及所適用 的法律法規(guī)的符 合程度，評價(jià)組織的目標(biāo)和信息安全管理方案的實(shí)現(xiàn)程度等；審 計(jì)準(zhǔn)則主要有：標(biāo)準(zhǔn)，企業(yè)方針、目標(biāo)，程序文件、國家和行業(yè)部門發(fā)布的有關(guān) 法律法規(guī)、技術(shù)標(biāo)準(zhǔn)等；審計(jì)范圍包括：審計(jì)活動所涉及的區(qū)域、場所、過程、 活動、產(chǎn)品以及覆蓋的時(shí)間等。 ②編制審計(jì)計(jì)劃。選擇有資格的 34人組成審計(jì)組，并任命一名組長。審計(jì)工作包括以下內(nèi)容：檢驗(yàn)是否依照相關(guān)要求制定了相應(yīng)的規(guī)章制度和實(shí) 施細(xì)則；檢驗(yàn)員工對各類規(guī)章制度的執(zhí)行情況，核查對以往審計(jì)結(jié)果進(jìn)行的整改 措施是否得以落實(shí)；檢驗(yàn)分析信息安全控制措施的運(yùn)行效果，以評估其有效性 。 (四）建立信息安全審計(jì)制度 建立規(guī)范的審計(jì)制度 內(nèi)部審計(jì)是對信息安全管理體系 在實(shí)施過程中的情況作出評價(jià)，所以應(yīng)該 定期組織進(jìn)行審計(jì)，可以有效促進(jìn)體系不斷地改進(jìn)和完善，審計(jì)制度是信息安全 管理體系自我改進(jìn)機(jī)制的重要組成部分。 信息安全人員的素質(zhì)應(yīng)根據(jù)相應(yīng)的工作職責(zé)來確認(rèn)，要求其能夠勝任本職工 作，并且具備相應(yīng)的技術(shù)能力和協(xié)調(diào)管理能力。 以上 5個(gè)內(nèi)設(shè)崗位要求由不同的人員擔(dān)任、各自獨(dú)立。 ④安全審計(jì)員 —— 負(fù)責(zé)審計(jì)和監(jiān)督信息系統(tǒng)安全事件和操作人員行為，按操 作員證書號、操作時(shí)間、操作類型、事件類型進(jìn)行分類審計(jì)，并管理審計(jì)日志等。 ②網(wǎng)絡(luò)管理員 —— 負(fù)責(zé)管理信息網(wǎng)絡(luò)，是網(wǎng)絡(luò)安全策略及安全運(yùn)行細(xì)則的實(shí) 施者；配置管理網(wǎng)絡(luò)用戶權(quán)限，合理配置網(wǎng)絡(luò)安全參數(shù)，保證網(wǎng)絡(luò)的安全正常運(yùn) 行；負(fù)責(zé)監(jiān)控關(guān)鍵性網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)物理線路和端口，防范網(wǎng)絡(luò)攻擊和入侵，如 發(fā)生安全事件應(yīng)及時(shí)向信息安全人員報(bào)告；監(jiān)督其他的網(wǎng)絡(luò)操作人員，以保證其 操作合規(guī)安全。 (3)信息安全工作組 —— 按照信息安全領(lǐng)導(dǎo)小組的決議和工作部署，對公 司信息安全工作進(jìn)行具體安排，并監(jiān)督落實(shí)；訂立公司總體信息安全戰(zhàn)略規(guī)劃； 協(xié)調(diào)和督促公司各部門開展信息安全工作；制定和審查公司重大信息安全工作制 度和技術(shù)規(guī)范；開展信息安全工作檢查，調(diào)查分析信息安全總體狀況，并提出應(yīng) 對 方案；接受各部門的信息安全事件報(bào)告，并且對事件原因、涉及范圍，危害程 度進(jìn)行分析評估，依照評估結(jié)論提出防范措施；向信息安全工作領(lǐng)導(dǎo)小組及時(shí)報(bào) 告信息安全事件，定期向全公司通報(bào)信息安全事件處理結(jié)果；負(fù)責(zé)公司信息安全 知識培訓(xùn)和宣傳工作。 根據(jù)業(yè)界信息安全組織的建設(shè)經(jīng)驗(yàn)，結(jié)合 M公司實(shí)際情況，建議將信息安全 組織結(jié)構(gòu)及職責(zé)設(shè)計(jì)如下： (1)信息安全領(lǐng)導(dǎo)小組 —— 由 M公司總經(jīng)理 、主管信息化的副總經(jīng)理以及 各部門負(fù)責(zé)人組成，決策信息安全方面的重大問題，推動信息安全工作在公司內(nèi) 的實(shí)施。如有可能，建議建立信息安全 專家小組，以提供安全標(biāo)準(zhǔn)和評估方法方面的專業(yè)建議，并對安全標(biāo)準(zhǔn)的實(shí)施進(jìn) 行監(jiān)督。 (三）改良信息安全管理組織結(jié)構(gòu)與職責(zé) 為保證在組織內(nèi)部順利實(shí)施信息安全管理， M公司應(yīng)建立合適的信息安全管 理組織框架。最后，使用培訓(xùn)和教育這兩種手段來扶持和培養(yǎng)希望成為信息安全專業(yè)人員 的員工，使其達(dá)到信息安全專業(yè)人員所需的技能水平。 另外，信 息安全認(rèn)知培養(yǎng)應(yīng)按照循序漸進(jìn)、長期堅(jiān)持的原則，從信息安全宣 傳漸漸發(fā)展到信息安全培訓(xùn)，再到信息安全教育。建立、實(shí)施、運(yùn)行和維護(hù)信息安 全管理體系所需要的可能的能力范圍見表 43: 信息安全認(rèn)知度培養(yǎng)的關(guān)鍵因素 信息安全認(rèn)知培養(yǎng)的成功實(shí)施，關(guān)鍵在于全員參與。這種教育不同于培訓(xùn)，不再是針對某崗位的簡 單技能教授，而是綜合不同特性的安全技術(shù)和能力，加上相關(guān)學(xué)科基本原理等內(nèi) 容，使接受教育的人員能夠順利獲得信息安全相關(guān)的資質(zhì)和證書。 (2)信息安全培訓(xùn) 信息安全培訓(xùn)是提高認(rèn)知度的關(guān)鍵途徑 ,要按照人力資源管理相關(guān)標(biāo)準(zhǔn)和要 求，規(guī)定好相關(guān)部門及人員的職責(zé)，做好培訓(xùn)內(nèi)容管理工作。信息安全宣傳應(yīng)該面向公司全體員工，釆用易 于員工接受的方式，盡可能利用日常所接觸到的宣傳媒體。 (1)信息安全宣傳 信息安全宣傳的主要目的是讓所有員工清楚地認(rèn)識信息安全的重要性，了解 信息安全工作的目標(biāo)，提高員工的信息安全意識。在實(shí)施內(nèi)控評估前應(yīng)該充分梳理 制度的變化情況以及關(guān)鍵性控制點(diǎn)，制作詳細(xì)的評估模板；在實(shí)施內(nèi)控評估過程 中應(yīng)本著公正客觀的原則，不回避發(fā)現(xiàn)的問題，真實(shí)地描述問題；評估后應(yīng)當(dāng)及 時(shí)制定整改方案，明確問題責(zé)任人，并在規(guī)定時(shí)間內(nèi)完成整改 。 (5)建立跟蹤式的審計(jì)監(jiān)督機(jī)制 通過實(shí)施內(nèi)控評估可以有效衡量信息技術(shù)工作的質(zhì)量、安全制度是否合規(guī)、 能否降低公司運(yùn)營風(fēng)險(xiǎn)。 ⑦檢測監(jiān)控技術(shù)。通過審計(jì)系統(tǒng)運(yùn)行日志，評估網(wǎng)絡(luò)安全策略配置，為加強(qiáng) 系統(tǒng)防御能力提供參考依據(jù) 。通過漏洞掃描、補(bǔ)丁加固等手段保護(hù)操作系統(tǒng)、數(shù)據(jù)庫等 關(guān)鍵性的系統(tǒng)軟件，從而提高系統(tǒng)的防攻擊能力?；谏矸葑R別、根據(jù)訪問者權(quán)限策略，控制訪問者對指定 資源進(jìn)行合法使用，保證網(wǎng)絡(luò)資源不被非法使用和訪問。主要的邊界防護(hù)技術(shù) 硬件有防火墻、入 侵檢測系統(tǒng)（ IPS)等。 ③邊界防護(hù)技術(shù)。通過對傳輸中或是所存儲的數(shù)據(jù)信息運(yùn)用各種加密（解 密）算法，使非法截獲數(shù)據(jù)包的人無法順利獲取到有用的信息，從而防止信息失 密。身份認(rèn) 證技術(shù)所釆用的驗(yàn)證手段包括用 戶名與口令的匹配驗(yàn)證、用戶身份識別以及 PKI密匙證書等，一般來說釆用兩個(gè) 以上的認(rèn)證技術(shù)可以有效地提升安全驗(yàn)證的級別。 (4)建立綜合性的技術(shù)保障體系 建立完善的技術(shù)保障體系是構(gòu)建信息安全管理體系的關(guān)鍵點(diǎn)，它作為信息技 術(shù)人員必須履行的職責(zé)，主要包含以下幾個(gè)方面的內(nèi)容： ①身份認(rèn)證技術(shù)。其中的管理失誤包含無預(yù)防措施、變 更管理失誤、沒有測試等問題，而人員工作疏失則 包括了疏于防范、操作不合規(guī)、 訓(xùn)練不足等，并且人員工作疏失的本質(zhì)依然是管理問題。在建設(shè)安全運(yùn)行流程時(shí)，應(yīng)當(dāng)參考本行業(yè)最佳實(shí)踐和相關(guān)標(biāo)準(zhǔn)。 (2)建立強(qiáng)化執(zhí)行的管理模式 信息安全工作主要以管理為重點(diǎn)內(nèi)容，通過加強(qiáng)制度建設(shè)，從組織策略、運(yùn) 行維護(hù)和物理環(huán)境管理等諸多方面進(jìn)行信息安全管理，按照統(tǒng)一的要求和標(biāo)準(zhǔn)建 立一套較完整的信息安全制度框架，制定涵蓋本公司信息安全管理各方面的規(guī) 章 制度，并根據(jù)公司的實(shí)際經(jīng)營情況貫徹落實(shí)各項(xiàng)制度。另外還需要建立情況報(bào)告機(jī)制和協(xié)同工作流 程，在發(fā)生緊急安全事件時(shí)可以及時(shí)作出應(yīng)急響應(yīng)。安全組織可以以實(shí)體行政單位的形式設(shè) 立，也可以以虛擬組織的形式設(shè)立，并適合采用矩陣式的管理模式對組織關(guān)系和 運(yùn)作機(jī)制進(jìn)行管理。 (1)建立總分聯(lián)動的信息安全組織 構(gòu)建綜合性的信息安全管理體系的首要任務(wù)就是建立一個(gè)有明確分工、層次 清晰的信息安全組織，確立信息安全的決策層、管理層與技術(shù)服務(wù)層，科學(xué)配置 崗位，規(guī)劃組織和崗位職責(zé)。這些環(huán)節(jié)分別是： a)安全組織：信 息安全認(rèn)知度，信息安全管理組織結(jié)構(gòu)； b)運(yùn)行流程：風(fēng)險(xiǎn)管理機(jī)制，監(jiān)控報(bào) 警及響應(yīng)恢復(fù)機(jī)制； C)審計(jì)監(jiān)督：審計(jì)制度； d)管理模式：文件系統(tǒng)； e)技 術(shù)保障：技術(shù)平臺。 四、 M公司信息安全管理優(yōu)化方案設(shè)計(jì) ()建立企業(yè)信息安全管理框架 根據(jù) M公司實(shí)際運(yùn)營狀況，結(jié)合 IS027001信息安全管理體系標(biāo)準(zhǔn)，可以從 組織、管理、運(yùn)行、技術(shù)和監(jiān)督這五個(gè)方面入手，對原有的信息安全管理框架進(jìn) 行改善，增加運(yùn)行和監(jiān)督環(huán)節(jié)，將制度建設(shè)擴(kuò)充并變更為管理模式的建設(shè)，并且 不再著重強(qiáng)調(diào)技術(shù)，將 “重技術(shù)輕管理”轉(zhuǎn)化為“三分技術(shù)，七分管理”的管理 思路，建立一個(gè)貼合實(shí)際情況的閉環(huán)的信息安全管理框架（如圖 2所示）。對當(dāng)前信息安 全隱患存在認(rèn)識不足的情況，不能使用科學(xué)的方法完整識別信 息資產(chǎn)，缺少評估 安全薄弱點(diǎn)的有效手段，對如何訂立風(fēng)險(xiǎn)管理策略和安全控制措施沒有準(zhǔn)確的定 位和規(guī)劃。組織結(jié)構(gòu)的不合理造成崗責(zé)不匹配，使得信息安全管理工 作分工不明確，管理流程存在死角，人為造成額外的風(fēng)險(xiǎn)。 (6)缺乏完整合理的信息安全管理框架和組織