中建立一套信息安全管理制度体系,防止员工的不安全行为引入风险。信息安全管理制度体系分为三层结构:总体方针、具体管理制度、各类操作规程。信息安全方针应当阐明管理层的承诺,提出机构管理信息安全的方法;具体的信息安全管理制度是在信息安全方针的框架内,为保证安全管理活动中的各类管理内容的有效执行而制定的具体的信息安全实施规则,以规范安全管理活动,约束人员的行为方式;操作规程是为进行某项活动所规定的途径或方法,是有效实施信息安全政策、安全目标与要求的具体措施。这三层体系化结构完整的覆盖了机构进行信息安全管理所需的各类文件化指导。
该控制点在不同级别主要表现为: 一级:要求制定日常常用的管理制度。
二级:在一级要求的基础上,管理制度要求更高,并增加了总体方针和安全策略,重要操作规程的要求。
三级:在二级要求的基础上,提出了建立信息安全管理制度体系的要求。 四级:与三级要求相同。 具体见下表49: 要求项 项目 合计 一级 a) 1 二级 a)b)*-c) 3+ 三级 a)b)*-d) 4+ 四级 a)-d) 4 其中,二级b)要求除了一级的日常管理制度外增加了对重要管理内容都要建立管理制度;三级b)增加要求,要健全各类管理制度。 2. 制定和发布
制定安全管理制度是规范各种保护单位信息资源的安全活动的重要一步,制定人员应充分了解机构的业务特征(包括业务内容、性质、目标及其价值),只有这样才能发现并分析机构业务所处的实际运行环境,并在此基础上提出合理的、与机构业务目标相一致的安全保障措施,定义出与管理相结合的控制方法,从而制定有效的信息安全政策和制度。机构高级管理人员参与制定过程,有利于:1)制定的信息安全政策与单位的业务目标一致;2)制定的安全方针政策、制度可以在机构上下得到有效的贯彻;3)可以得到有效的资源保障,比如在制定安全政策时必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。
该控制点在不同级别主要表现为:
一级:要求有人员负责安全管理制度的制定,相关人员能够了解管理制度。
二级:在一级要求的基础上,要求有专门部门或人员负责安全管理制定的制定,并且发布前要组织论证。
三级:在二级要求的基础上,对制度的制定格式、发布范围、发式等进行了控制。 四级:除三级要求外,侧重对有密级的安全制度的管理。
41
具体见下表50: 要求项 项目 合计 一级 a)-b) 2 二级 a)*-c) 3+ 三级 a)-e) 5 四级 a)-f) 6 二级要求增加了专门的部门或人员负责安全管理制定的制定。 3. 评审和修订
安全政策和制度文件制定实施后,并不能“高枕无忧”,机构要定期评审安全政策和制度,并进行持续改进,尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时。因为机构所处的内外环境是不断变化的,信息资产所面临的风险也是一个变数,机构中人的思想、观念也在不断变化。在这个不断变化的世界中,要想保证本系统的安全性,就要对控制措施和信息安全政策与制度持续改进,使之在理论上、标准上及方法上与时俱进。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求对安全管理制度定期评审和修订。
三级:在二级要求的基础上,增加了安全领导小组负责组织定期评审和修订,并对评审和修订的时机做了要求。
四级:除三级要求外,侧重对有密级的安全制度的修订和制度的日常维护等。 具体见下表51: 要求项 项目 合计 一级 N/A 0 二级 a) 1 三级 a)-b)* 2+ 四级 a)-d) 4 三级中,b)要求增加了要不定期评审和修订。 4.2.2 安全管理机构
安全管理,首先要建立一个健全、务实、有效、统一指挥、统一步调的完善的安全管理机构,明确机构成员的安全职责,这是信息安全管理得以实施、推广的基础。在单位的内部结构上必须建立一整套从单位最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。其主要工作内容包括对机构内重要的信息安全工作进行授权和审批、内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类单位的合作、定期对系统的安全措施落实情况进行检查,以发现问题进行改进。
安全管理机构主要包括:岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等五个控制点。其中,前两个控制点主要是从“硬件配备”方面对管理机构进行了要求,而后三个则是具体介绍机构的主要职责和工作。
不同等级的基本要求在安全管理机构方面所体现的不同如3.1节和3.2节所描述的一
42
样,在三个方面都有所体现。
一级安全管理机构要求:主要要求对开展信息安全工作的基本工作岗位进行配备,对机构重要的安全活动进行审批,加强对外的沟通和合作。
二级安全管理机构要求:在控制点上增加了审核和检查,同时,在一级基础上,明确要求设立安全主管等重要岗位;人员配备方面提出安全管理员不可兼任其它岗位原则;沟通与合作的范围增加与机构内部及与其他部门的合作和沟通。
三级安全管理机构要求:对于岗位设置,不仅要求设置信息安全的职能部门,而且机构上层应有一定的领导小组全面负责机构的信息安全全局工作。授权审批方面加强了授权流程控制以及阶段性审查。沟通与合作方面加强了与外部组织的沟通和合作,并聘用安全顾问。同时对审核和检查工作进一步规范。
四级安全管理机构要求:同三级要求。
下表表明了安全管理机构在控制点上逐级变化的特点:
表52 安全管理机构控制点的逐级变化
控制点 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 合计 一级 * * * * 4 二级 * * * * * 5 三级 * * * * * 5 四级 * * * * * 5 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 3. 岗位设置
需要一定的人员进行机构信息安全不同方面的工作,如,系统管理员负责系统的安全配置、帐户管理、系统升级等方面;而网络管理员则侧重于对整个网络结构的安全、网络设备(包括安全设备)的正确配置等工作。因此,应对各种岗位的职责进行明确的定义。
光有岗位的设置,并不能完全对机构信息安全工作进行有组织的、有目的的管理,若设置专门安全管理部门,则会根据机构整体安全状况,具体将工作落实。职能部门的主要工作职责是负责具体工作的落实,而上层信息安全战略或方针的确定,则需机构领导层全面把握和决策。因此,需设立信息安全领导小组来负责信息安全工作的总体走向和未来发展。
该控制点在不同级别主要表现为: 一级:要求设置基本的工作岗位。
二级:在一级要求的基础上,增加了安全主管,安全管理各个方面的负责人等岗位要求。 三级:除二级要求外,提出设置信息安全的职能部门和上层领导小组的要求。 四级:与三级要求相同。
43
具体见下表53: 要求项 项目 合计 一级 a) 1 二级 a)-b) 2 三级 a)*-d) 4+ 四级 a)-d) 4 三级中a)增加了设置信息安全的职能部门的要求,所以是增强要求。 4. 人员配备
各种信息安全工作需要具体的人员来负责,因此,必须设置相应的工作岗位,并明确各自的工作职责。
该控制点在不同级别主要表现为:
一级:要求配备一定数量的基本岗位工作人员。
二级:在一级要求的基础上,提出安全管理员不可兼任其它岗位的原则。 三级:除二级要求外,明确提出设专职安全员,并且加强了对关键事务的管理要求 四级:同三级要求。 具体见下表54: 要求项 项目 合计 5. 授权和审批 机构必须对信息系统安全相关的关键活动进行控制,保证关键活动的进行在机构的掌握之中。由于关键活动(如对系统重要资源的访问)对整个系统的安全性有很大影响,因此,必须通过授权和审批的形式,允许或拒绝关键活动的发生。
该控制点在不同级别主要表现为:
一级:要求明确授权和审批职责对关键活动进行审批。 二级:在一级要求的基础上,增加了对审批形式的要求。
三级:除二级要求外,增强了审批制度、程序、审查、记录等方面的要求。 四级:与三级要求相同。 具体见下表55: 要求项 项目 合计 一级 a) 1 二级 a)-b) 2 三级 a)*-d) 4+ 四级 a)-d) 4 一级 a) 1 二级 a)-b) 2 三级 a)-c) 3 四级 a)-c) 3 三级中a)项增加了应该明确授权审批事项。 6. 沟通和合作
由于信息安全工作与机构内其他业务部门都有直接或间接的工作联系,因此,信息安全
44
管理部门可以说是部门间工作的“纽带”,必须加强部门间的信息沟通和工作协调。同时,为了获取信息安全的最新发展动态,保证在发生安全事故时能尽快采取适当措施和得到支持和帮助,管理职能部门还应当和执法机关、管理机构、兄弟单位以及电信运营部门保持适当的联系,加强与信息服务提供机构、业界专家、专业的安全公司、安全组织的合作与沟通。
该控制点在不同级别主要表现为: 一级:主要要求加强对外的沟通和合作。
二级:在一级要求的基础上,增加了与机构内部及与其他部门的沟通和合作要求。 三级:在二级要求的基础上,扩大了与外界组织沟通的范围。 四级:与三级要求相同。 具体见下表56: 要求项 项目 合计 一级 a) 1 二级 a)-b) 2 三级 a)*-e) 5+ 四级 a)-e) 5 三级中,a)增加了要定期或不定期召开协调会议的要求。 7. 审核和检查
为保证信息安全方针、制度能够正确贯彻执行,及时发现现有安全措施的漏洞和脆弱性,管理职能部门应定期组织相关部门人员按照安全审核和检查程序进行安全核查。检查的主要内容涉及:现有安全措施的有效性、安全配置与安全策略的一致性以及安全管理制度的落实情况等。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:提出了定期进行安全检查和检查的基本内容要求。
三级:在二级要求的基础上,增强了对检查内容的要求,增加了对检查制度、负责人、检查流程、检查结果处理等的要求。
四级:与三级要求相同。 具体见下表57: 要求项 项目 合计 一级 N/A 0 二级 a) 1 三级 a)-d) 4 四级 a)-d) 4 4.2.3 人员安全管理 人,是信息安全中最关键的因素,同时也是信息安全中最薄弱的环节。很多重要的信息系统安全问题都涉及到用户、设计人员、实施人员以及管理人员。如果这些与人员有关的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。只有对人员进行
45