企业实施信息安全保障

　　现代企业的生存与发展高度依赖网络信息系统支持，确保网络的通畅、信息系统安全可靠就显得尤其重要。本文从信息安全综合治理战略理念出发，结合当前企业IT运维管理现状和安全风险防范的新思路、新方法，从组织体系、制度体系和技术体系三个层面论述建立和实施信息系统安全运行治理防控保障体系，实现信息系统可持续改进运行。

　　1 综合治理信息安全的战略背景

　　IT管理技术发展历程，从被动管理转向主动管理，从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准：诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架，面向内部控制;ISO17799：信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考，其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程，指导企业如何建立可持续改进的体系。

　　目前企业IT运维管理现状。需求变化：IT本身快速变更;管理目标多角度变换并存。资源不足：IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响：难以判断事件对业务的影响和处理事件的优先级。信息孤岛：IT 资源多样性的，不能进行事件的关联分析，缺少统一的健康视图。IT网络与信息系统运维存在监测盲点，缺少主动预警和事件分析机制。

　　如何把此项复杂的工程进行细化与落地，建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下，IT运营面临严峻的挑战，企业多半缺乏信息系统应用开发能力，在很大程度上依赖于产品开发商的支持，为此，要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想，自主加外包的混合运维方式无疑是一种好的服务方式。

　　2 建立和实施信息安全保障体系思路和方法

　　针对IT管理问题和价值取向的服务方式，借鉴PDCA工作循环原理和标准化体系建设方法，从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系，以规范引导人、以标准流程引导人，以业绩激励人，从而促被动变主动，坚持持续改善，促进工作效率，促进安全保障。

　　2.1 建立和推行目标管理

　　体系建设应以目标管理为先导、循序渐进，按顶层布局、中层发力、底层推动内容设计与构建，为此，借鉴当前IT运维管理目标演进方式，确立各阶段建设目标。

　　基础架构建设阶段(SMB)，手工维护阶段。主要实现IT基础架构建设。

　　网络和系统监控(NSM)阶段，重视自动化监控阶段。主要实现IT设备维护和管理。

　　IT服务管理(ITSM)阶段，重视流程管理阶段。主要实现IT服务流程管理。

　　业务服务管理(BSM)阶段，重视用户服务质量与满意度。主要实现IT与业务融合管理。

　　从IT投入和业务价值来看，前三个阶段是间接业务价值，第四阶段才是直接业务价值。

　　根据ITIL这个IT服务管理的方法论，先是搭建一个框架，借用工具的配合促进落地。如图1、IT运维管理系统参考模型。

　　从安全目标出发，结合IT运维管理系统参考模型，每个阶段的工作向着实现直接业务价值，不断消除或减轻对性能的约束，促进IT产品或服务满足确定的规范，实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。

　　2.2 规划融合信息安全保障体系

　　通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系，实现稳健的信息安全保障状态。

　　①组织体系：通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然，需要提出的问题，组织有可能要依赖长期可靠的合作伙伴：通过长期可靠的合作关系，快速引进外部专业资源和先进技术，可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求，企业实施IT网络与信息系统安全运维体系标准，组织应做到定期对全体员工进行信息安全相关教育，包括：技能、职责和意识，通过相关审核，证明组织具备实施体系的意识和能力。

　　②制度体系：企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此，企业应明确内部运维和外部协同的内容及其标准规范，包括绩效标准。建立实施IT网络与信息系统安全运维体系标准，首先把高效的信息安全做法固化下来形成规则制度或标准，成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

　　③技术体系：一般来说，网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则，综合采用各种安全工具进行组合，形成企业“适用的”安全技术防线。适时根据风险评估的结果，采取相应措施，降低风险。

　　其中，需要采用1～2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用，ITRM作为综合风险呈现，是给企业风险或安全管理层使用。

　　④体系运行和监控：体系的日常运行和监控就是从信息的生命周期进行流程控制，即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中，往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理，包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布，给如何建立一套完善的应急体系提供了参考。

　　3 企业建立和实施信息安全保障体系实践

　　面对网络系统互连，网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程，井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护，而且结合国家、社会和个人的力量构建综合保障体系。

　　①依据ISO9000、ISO14000和OHSAS18000标准，国家计算机网络和信息安全相关法律法规，参考当前科学的IT管理方法论方面形成了一系列标准，结合YC/T384烟草企业安全生产标准等，识别这些与信息安全相关的法律法规及其它要求，将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。

　　②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始，企业对照YC/T384烟草企业安全生产标准要求，在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后，制订了新的三年信息安全管理目标和建设规划，将目标和规划分解到各年度实施，并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。

　　③建立信息安全管理组织和工作标准，同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化，实现企业的物资(服务)流、资金流和信息流的一体化，及时、准确和完整地传递企业的经营数据，保证企业的经营管理。利用信息化改进管理，形成企业信息安全文化，促进员工接受、理解和主动配合，不断提升全员的信息安全意识和技能，从而使信息安全管理真正落到实处。

　　④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求，结合行业和企业的特点和发展趋势，规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”，做到“统一规划、统一标准、统一平台、统一编码”，同步实施信息系统等级保护制度，促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化，做到一切工作都按照程序办，同时，事事处于相互制衡的环境之下、人人处于监督管理之中，从而形成职责明确、运转协调、相互制衡的工作机制，为企业内部信息安全监管提供强有力的保障。

　　几年来，企业坚持企业信息安全方针目标，以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系，全面融入了质量、安全和环境管理体系一体化建设和实践，截止到2015年底，企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。

　　作者：罗余作 来源：价值工程 2016年15期