<tt id="8hexo"></tt> 一、信息安全建設的缺憾
???
信息化時代,信息安全事件頻發,風險無處不在。我們從技術保障、管理控制、體系建設等方面,一直進行著不懈努力。然而,信息安全建設投入大、效果卻不盡人意。
?
許多機構認為,信息安全就是安裝部署硬件和軟件,并作一些技術控制,但管理層往往失望地發現并沒有達到預期目標。盡管他們作了一些防火墻策略、防病毒策略等,但不成體系,難以適應不同的產品和應用,往往導致重復建設。
?
我們常說:三分技術、七分管理。但實際上,信息安全管理很難真正落實到位。機構設置、崗位和角色劃分、制度規定、執行與監督檢查等,都存在落實問題。對于信息安全管理規定,業務人員嫌麻煩,也不愿承擔責任,落實效果大打折扣。
?
在我國,普遍遵循信息系統安全等級保護、涉密信息系統分級保護、信息安全管理體系要求(GB/T22080 idt ISO27001)及信息安全控制實施細則(GB/T22081 idt ISO27002)等標準。然而,各種標準為保證普適性,很難規定得太過具體,這就給信息安全體系建設帶來諸多困難,效果也參差不齊。
?
二、制定信息安全策略,指導信息安全建設
?
信息安全策略(Information Security Policy)是信息安全總體需求和具體措施的描述,其宗旨是明確信息安全目標、要求和實現途徑,指導信息安全建設。信息安全策略是信息安全技術、管理、體系建設的指針。如同交通規則的重要性一樣,信息安全策略同樣重要。
?
信息安全策略應由信息安全管理人員編制,管理層應充分重視,協調和督導相關部門參與和執行。首先,應明確總體需求,制定總體安全策略。在此指導下,綜合技術、管理、系統、業務、法規等,編制出文檔化的信息安全策略。制定策略時,應采用“必須”、“不得”等措辭,避免含糊其辭,保證執行過程有章可循。
?
我們參考《信息安全策略編制指南》,隨意選取一項“使用密碼控制”為例:
?
首先,明確總體目標為:“應制定和執行一項使用密碼控制的策略來保護信息的安全”。
?
其次,規定一系列具體策略:(1)除非得到信息安全經理批準,不得使用加密程序對數據信息加密,以防造成信息損壞、損毀或不能使用;(2)如使用加密技術,須采用政府批準的加密算法和實現方法,確保合規,并保證與其它系統的一致性;(3)不得將密鑰保存在生產計算機的內存、緩沖區或寄存器中,而應保存在安全模塊或其他專用設備等硬件設備,以預防黑客入侵竊取密鑰。……
?
《信息安全策略編制指南》(Information Security Policies Made Easy)是一部信息安全策略工具書,通過1700多個策略和幾十個實例,闡述了各種信息安全策略,極具參考價值。
?
