2017-03-02 10:40
信息安全治理(六)
——创造新的战略竞争机遇
孙强 左天祖 孟秀转
6. 监管和标准制定部门应采取的行动
目前,金融业走在了所有行业的前头,中国人民银行在今年4月专门成立了“网上银行发展与监管工作组”,希望促进国内商业银行加强网上银行业务风险管理,安全和IT是此风险地重要方面。而过去主要的风险是由内部控制、疏忽和IT造成的。
首先,我们回顾一下国际信息安全的发展过程:
经济合作和发展组织,《信息系统安全指南》(1992)
经济合作和发展组织的《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在:
?
提高信息系统风险意识和安全措施;
?
提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作;
?
促进人们对信息系统的信心,促进人们应用和使用信息系统;
?
方便国家间和国际间信息系统的开发、使用和安全防护;
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的标杆,社会能通过此标杆测量进展。
国际会计师联合会,《信息安全管理》(1998)
信息安全的目标是“保护依靠信息、信息系统和传送信息的通讯设施人的利益不受因为信息可用性、保密性和完整性导致故障的损害”。认可组织在满足下面3条准则时可以认为达到信息安全目标:信息系统在需要时可用和有用(可用性);数据和信息只透露给有权知道该数据和信息的人(保密性);数据和信息保护不受未经授权的修改(完整性)。
可用性、保密性和完整性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。
信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通讯设施传送信息,外包业务等等)可能潜在地导致管理控制的失效和监督不力。
国际标准化组织,《ISO 17799国际标准》(2000)
ISO17799(根据BS7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用商业信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其它重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。
ISO17799认为信息安全有下列特征:
保密性——确保信息只被相应的授权用户访问;
完整性——保护信息和处理信息程序的准确性和完整性;
可用性——确保授权用户在需要时能够访问信息和相关资产;
信息安全保护信息不受广泛威胁地损害,确保业务连贯性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施包括政策、实践、程序、组织结构和/或者软件组成。
美国注册会计师协会/加拿大特许会计师协会,《SysTrust?系统可靠性原理和准则V2.0》(2001)
SysTrust服务是一种保证服务,用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担如下保证服务:注册会计师从可用性、安全性、完整性和可维护性4个基本方面评估和测试系统是否可靠。
可用性——系统在服务水平声明或协议规定的时间内可以运行和使用;
安全性——确保系统拒绝未经授权的物理的或逻辑的访问;
完整性——系统的数据处理是完整的、准确的、及时的和被授权的;
可维护性——必要时能够升级系统而不影响系统或者与系统的可用性、安全性和完整性相冲突。
SysTrust定义在特定环境下及特定时期内,没有重大错误、缺陷或故障地运行的系统为可靠系统。系统的界限由系统所有者确定,但必须包括以下几个关键部分:基础设施、软件、人、程序和数据。
SysTrust的框架是可升级的,因此,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断,不是对系统整体可靠性的判断。
信息系统审计和控制基金会/IT治理协会,《信息和相关技术的控制目标》(CoBIT?)
CoBIT由信息系统审计和控制基金会与IT治理协会开发和推广(第三版),CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、保密性、可靠性和一致性。
CoBIT进一步把IT分成4个领域(计划和组织,获取和运用,传送和支持,控制),共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是:
?
计划和组织流程9——评估风险;
?
传递和支持流程4——确保连贯的服务;
?
传递和支持流程5——保证系统安全。
每个流程定义了一个高级别的目标:
?
识别IT流程中最重要的信息准则;
?
列出需要经常调整的资源;
?
考虑控制IT流程的重要方面
CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。
CoBIT最近增加了一个管理和治理层,该层提供给管理者一个工具箱,包括:
绩效评估项目(所有IT流程的成果测量和改进动力);
一个关键成功因素列表。该列表为每个IT流程提供了成功的、非技术的最佳实践;
一个协助建立标杆和做出进行IT控制决策的成熟度模型。
总之,建立信息安全治理机制是一个动态的过程。结合国情,我们对建立我国信息安全治理机制有如下建议:
?
制定国家层面上的信息安全框架及安全组织机构。从战略视角来看,信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应该包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但较零散,尤为突出的是缺少国家级的统领全局的信息安全框架。信息安全的管理工作、标准的制定、安全产品评测与认证等工作政出多门、各行其是,目前相关政府部门在网吧管理上的不一致就是这种情况的表现。因此要求政府部门必须采取相互协调、目标明确的措施,以免在制订和审定政策时发生拖杳、重复、甚至冲突的现象。
安全组织包括建立健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。发达国家一般都建立有信息安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英、法等国家建立了“国家信息安全委员会”:德国成立了“国家信息安全局”。我国设置信息安全管理机构可采用建立专门信息安全管理机构或在现有的安全部门下设立信息安全管理分支机构。
?
在条件较为成熟的地方试行建立安全治理的机制。信息安全安全不是个产品,它是一个完整的过程。作为一个过程,它有人、技术、流程这三个组成部分,这些组成部分匹配得越好,过程进展得越顺利。因此,如果要使我们的信息系统安全,在外部环境上亟需建立、健全统一指挥、统一步调的强有力的各级信息安全治理机制,这是实现信息安全目标的基本组织保障;在内部结构上就必须建立一整套从组织最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证这三个组成部分。
环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防与挑战,但对于企业而言,除非碰到严重的安全问题,否则大都仍无法体会信息安全治理机制的重要性,甚至会有人认为即使碰上了,也损失不大的错误观念。因此,我们建议在需求较为强烈的政府电子政务和金融业等条件较为成熟的地方试行建立安全治理的机制,达到预先防治、应急处理及事后复原的基本要求,在长期的工作目标上,逐步形成广泛的安全文化和安全治理机制,建立与国际接轨的信息安全机制,推动国际化合作网络的发展,以提升国内企业在国际上的竞争力。
信息安全治理机制和策略的制定要建立在上下互动的基础上(这就是为什么使用“治理”而不是监管、监控或其它词语的原因)。加强信息安全治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过上下协商、交互式地制定规则,这样才能解决规则的充分合法性、可执行性问题,“治理不是一种正式的制度,而是持续的互动”。对于企业的最高管理层(董事会)在制定信息安全策略时亦是如此,只有这样才有可能制定出与企业需要相匹配的安全策略。另外,由于国家制定标准会出现滞后于信息技术的发展、把用户“锁定”在过时的技术上、有可能阻碍技术创新等问题,在对国内外信息安全治理广泛研究的基础上,我们认为与信息安全有关的产品或服务将不会只有一种标准,技术标准也不必是强制性的。因此,国家应该鼓励协会等自愿性组织在制订促进可互操作的标准和行业自律规范方面发挥作用。在某些情况下,多个标准将在市场上竞争,看哪种标准能被大家认可。在另一些情况下,不同的标准将应用于不同的环境。简言之,在市场竞争中胜出的标准将有利于促进信息安全产业的发展。
很多这方面的安全策略和标准实际上是为 "理想环境"所写的,在这种环境所有的标准和技术控制与整个组织匹配得天衣无缝。然而,这样的策略在实际实施过程中必然会出现问题,组织或使用者会发现策略的定制者们并未理解他们真正的需要。这就产生了所谓的"一致性鸿沟"──组织或使用者希望在策略中体现的规则与实际制定出的规则的差异。当"一致性鸿沟"在组织中出现并达到一定的程度时,如果这些策略过于理论化或限制性太强,那么组织的执行管理层人员和最终用户就会漠视这这些策略。因此,我们认为在策略定制、发展过程中需要体现所有信息拥有者和知识财产的管理者的心声,并且这一点是非常重要的。
同时,在制定信息安全制度时要注意考虑组织文化。许多信息安全方面的规章制度都是参考制度模板或者以其他组织的规章制度为模板而制定出来的。与组织文化和组织业务活动不相适应的信息安全制度往往会导致发生大范围的不遵守现象。另外,规章制度还必须包括适当的监督机制。
?
建议设立一年一度的"安全意识日",树立信息安全第一的意识。目前,非常多的信息安全工作都将工作重点放在技术方面,而将员工的信息安全意识和安全教育放在次要的位置,这样做的结果是企业不恰当地在技术方面花费太多的时间。但是信息并非只是一个技术问题,它也是一个关于人和管理的问题。纵观各类的信息安全规则,我们会发现它们都具有一个共同点──进行员工培训。一年一度的"安全意识日"应当通过讲座、研讨会、新闻媒体、网站和其它宣传方式将安全意识扩展为一种氛围,努力提高和强化社会的信息安全观念意识,确立信息安全管理的基本思想与政策,加快信息安全人才的培养,同时倡导信息伦理,提高公务员和公民的信息安全自律水平。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化,这也是我们实现信息安全目标的基本前提。
?
对信息系统进行安全审计。信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以完成组织的战略目标,同时最经济的使用资源。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。
信息安全审计工作可以分为两大类:一种是组织自行完成的内部审计,另一种是由会计师事务所或专业技术服务提供商完成的外部审计。内部审计的主要目的是检查组织各部门对安防制度的遵守情况,外部审计通常是因为上市、并购、年终检查或其它法规的要求而进行,一般都很正规,也非常深入。
?
把安全视为一种理念,不断推进。许多公司都把信息安全看成是一个项目,具有开始和结束,但是一旦将它看成一个动态的过程,就更容易分阶段地引入一些更为全面的安全策略。还有安全策略必须变得更具用户导向性和更加动态。技术发展日新月异,组织如果想继续保持竞争力,就必须更多地承担起教育员工、合作伙伴和客户的责任。而这一切是一个没有终点的过程,必须建立在一套好的信息安全治理机制的基础上。
全文完
浏览:信息安全治理(一)