构建信息安全保障体系.docx

如何有效构建信息安全保障体系随着信息化的发展，政府或企业对信息资源的依赖程度越来越大，没有各种信息系统的支持，很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱更容易受到损害，更应该加以妥善保护。而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，信息安全保障体系应运而生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的信息系统面临的风险能够达到一个可以控制的标准，进一步保障信息系统的运行效率。　通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。　构建第一步　确定信息安全管理体系建设具体目标　信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。　信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。　信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次：　第一层 策略总纲　策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。　第二层 技术指南和管理规定　遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分：　技术指南：从技术角度提出要求和方法;　管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。　第三层 操作手册、工作细则、实施流程　遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。　　构建第二步　确定适合的信息安全建设方法论　太极多年信息安全建设积累的信息安全保障体系建设方法论，也称“1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。信息安全保障框架　一、风险管理基础理论　信息系统风险管理方法论就是建立统一安全保障体系，建立有效的应用控制机制，实现应用系统与安全系统全面集成，形成完备的信息系统流程控制体系，确保信息系统的效率与效果。　二、遵循五个相关国内国际标准　在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:　ISO 27001标准　等级保护建设　分级保护建设　IT流程控制管理(COBIT)　IT流程与服务管理(ITIL/ISO20000)　三、建立四个信息安全保障体系　信息安全组织保障体系：建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程。　信息安全管理保障体系：是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。　信息安全技术保障体系：综合利用各种成熟的信息安全技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。　信息安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行。　四、三道防线　第一道防线：由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施，形成对安全苗头进行事前防范的第一道防线，为业务运行安全打下良好的基础。　第二道防线：由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。　第三道防线：由技术体系构成事后控制的第三道防线。针对各种突发灾难事件，对重要信息系统建立灾备系统，定期进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。　五、四大保障目标　信息安全：保护政府或企业业务数据和信息的机密性、完整性和可用性。　系统安全：确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。　物理安全：使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。　运行安全：确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求，保证系统运行稳定可靠。　构建第三步　充分的现状调研和风险评估过程　在现状调研阶段，