或组织。比如,本文件8.1.4描述了如何对权责进行分类以便防止诈骗或失误。对许多小的单位或组织来说,这种办法就不一定适合,而另外的办法可能更好一些。 管制的选择应当基于相对风险而言执行管制时的成本。也应当考虑其它非财务方面的因素,如对单位或组织名誉的损坏等等。
本文件中的某些管制手段可以用作多数单位的信息安全管理的指导原则。其细节在下述的“信息安全起始点”中将加以详细描述。
信息安全起始点
几条管制手段作为指导原则提供了信息安全执行方面的起始点。它们或者基于重大的立法要求,或者被认为是信息安全领域内的最佳实施手法。
从立法角度审视,对单位十分重要的管制手段主要包括: 甲、知识产权(详见12.1.2) 乙、保护单位记录(详见12.1.3) 丙、数据保护和个人隐私(详见12.1.4)
对信息安全来说被认为是最佳实施手段的管制手段包括: 甲、信息安全政策文件(详见3.1.1) 乙、信息安全权责的分配(详见4.1.3) 丙、信息安全教育和培训(详见6.2.1) 丁、安全事故的回报(详见6.3.1) 戊、持续运营管理(详见11.1)
这些管制手段适用于多数单位和多数情形。应当注意的是,尽管本文件所述的管制手段很重要,但所有手段的适用性仍然取决于具体的当事情形。因此,上述的步骤虽然是很好的起点,它并不取代基于具体风险评估而导出的管制手段。
重大成功因素
- 安全政策,目标和反应单位运营目标的活动 - 符合单位文化的安全防卫模式 - 管理层明显的支持和承诺
- 对安全要求、风险评估和风险管理的充分理解
以往经验证实各单位要确保执行信息安全管理的成功需考虑如下重大因素:
- 向所有管理人员和员工推行安全概念的有效途径
- 向所有员工和承包方发放有关本单位信息安全政策和标准的指导纲要 - 提供恰当的培训和教育
- 一整套用于评估信息安全管理表现及反馈改进意见的测量系统
制定本单位的大纲
本指导条例可用作各单位依据本身具体情况制定自己内部信息安全指导大纲的基础。本条例所描述的指导原则和管制手段也并不一定适合所有单位的情况。因此,有必要适时加以调整。
一、信息安全范围
此部分针对各单位内部从事安全工作的人员提出了信息安全管理方面的建议。其目的是提供一个公共平台以各单位制定各自的安全标准和有效的安全管理手段,并增强各单位就此进行交流时的信心。
二、术语与定义
在本文件中,下列术语其定义如下: 2.1
信息安全
对信息保密性、完整性和可得性的保护。
保密性被定义为确保唯有经过授权的人员方可存取信息。 完整性被定义为保护信息和信息加工方法的准确和完全。
可得性被定义为确保经授权的人员在必要时能存取信息和相关资产。 2.2
风险评估
对信息和信息处理设施的弱点、其所受威胁、后果及其发生概率的评估。 2.3
风险管理
以可以接受的成本,对影响信息系统的安全风险进行辨认、控制、减少或消除的过程
三、安全政策 3.1
目标:为信息安全提供管理指导和支持。 管理层应制定一套清晰的指导原则,并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。
信息安全政策
3.1.1 信息安全政策文件 信息安全政策文件在经管理层批准后,要印行并颁发给单位的所有员工。该文件要阐明管理层对信息安全的承诺,并提出单位信息安全的管理方法。它至少要包括如下部分:
- 对信息安全的定义,其总体目标和范围,安全作为信息分享确保机制的重要性 - 支持信息安全目标和原则的管理意向声明
- 对安全政策、原则、标准和应达到要求的简要解释,比如:1)符合立法和契约的规定;2)安全教育方面的要求;3)对病毒和其它有害软件的预防和检测;4)持续运营管理;5)违反安全政策的后果等; - 信息安全管理的总体和具体权责的定义,包括安全事故回报等;
- 用以支持政策的文献援引;例如,适用于具体信息系统的更详细的安全政策和流程,或使用者应当遵守的安全条例等;
本政策应以恰当、易得、易懂的方式向单位的标的使用者进行传达。
3.1.2 审核与评估 本政策要求有专人按既定程序对其进行定期检讨和审订。检讨和审订的过程要能够反应风险评估方面所发生的新变化,譬如重大安全事故、组织或技术基础设施上出现的新漏洞,等等。为此,要求对下列事项进行定期、有计划的审订: - 政策的有效性,可通过记录在案的安全事故的性质、数目和影响来论证 - 对运营效率进行管制的成本及影响 - 技术变化的影响
四、 安全组织
4.1
目标:管理单位内部的信息安全。 建立管理框架,以展开并管制单位内部信息安全的实施。 同时,应建立适当的信息安全管理委员会对信息安全政策进行审批,对安全权责进行分配,并协调单位内部安全的实施。如有必要,在单位内部设立特别信息安全顾问并指定相应人选。同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段,并在发生安全事故时建立恰当的联络渠道。在此方面,应鼓励跨学科的信息安全安排,比如,在经理人、用户、程序管理员、应用软件设计师、审计人员和保安人员间开展合作和协调,或在保险和风险管理两个学科领域间进行专业交流等。
信息安全基础架构
4.1.1 信息安全管理委员会 信息安全是管理团队各成员共同承担的责任。因此,有必要建立一个信息安全管理委员会来确保信息安全方面的工作指导得力,管理有方。该委员会旨在通过适当的承诺和合理的资源分配提携单位内部的安全。其可为现有管理机构的一部分,主要行使如下职能:
- 审订并批准信息安全政策和总体权责
- 监督信息资产所面临威胁方面出现的重大变化 - 审订并监督安全事故 - 批准加强信息安全的重大举措
所有有关的安全活动都应由一位经理负责。
4.1.2 部门间协调 在较大的单位内,有必要建立一个由各个部门管理代表组成的跨功能信息安全委员会来协调信息安全的实施。这样一个机构的功能包括: - 批准单位内信息安全方面的人事安排和权责分配
- 批准信息安全的具体方法和流程,如风险评估、安全分类体系等 - 批准并支持单位内信息安全方面的提议,如安全意识课程等 - 确保安全成为信息计划程序的一部分
- 针对新系统或服务,评估其在信息安全方面的充足程度并协调其实施 - 评定信息安全事故
- 在全单位范围内以显要之方式提携对信息安全的支持
4.1.3 权责分配 保护各项资产及实施具体安全流程的权责应有明确定义。
信息安全政策应当提供单位内安全人事和权责分配方面的具体指导原则。针对具体的地点、系统或服务的不同,可对此政策酌情进行补充。对各项有形、信息资产及安全程序所在方应承担的责任,如持续运营计划,也要加以明确定义。
在某些单位内,需任命一名信息安全经理负责发展实施安全、支持指定管制手段方面的有关事宜。但是,涉及资源分派和实施管制的事务仍应交由各部经理负责。通常的做法是为每项信息资产都指定一个负责人,由他来时时负责资产的日常安全。 信息资产的负责人可将其安全权责代理给各部经理或服务提供方,但他对资产的安全仍负有最终的责任,并要求能确认代理权没有被滥用或误用。
对各经理所负责的各安全领域进行定义十分重要;特别是要做到如下几点: - 和各系统有关的资产和安全程序要加以清楚辨别和定义
- 负责上述各资产和安全程序的经理人的任命要经过批准,其权责要记录在案 - 授权级别要清晰定义并记录在案
4.1.4 信息处理设备的授权流程 要建立起针对新信息处理设施的管理授权流程。 要考虑如下要素:
- 新设施要有适当的使用者管理审批制度,以此对使用目的和使用情况进行审批。批准由负责当地信息系统安全环境的经理发给,并做到符合相关安全政策和要求。 - 如必要,对软件和硬件进行检查,确保其和其它系统部件向匹配。
- 使用个人信息处理设备处理公务信息及其相关必要之管制手段皆需经过批准。 - 在公务场合使用个人信息处理设备本身可导致安全漏洞,因此要经过评估和批准。 以上管制在联网的环境中尤其重要。
4.1.5 专业信息安全顾问 许多单位可能需要专业信息安全顾问。此职位最好由单位内部某位资深信息安全顾问担当。但不是所有单位都想聘用专业信息安全顾问。因此,特建议单位指定一位具体个人来协调单位内部信息安全知识与经验方面的一致,及辅助该方面的决策。担此职务的人要和外部专家保持联系,能提出自己经验以外的建议。
信息安全顾问或相应的外部联络人员的任务是根据自己的或外部的经验,就信息安全的所有方面提出建议。他们对安全威胁评估及提出管制建议的质量决定了单位信息安全的有效性。为使其建议的有效性最大化,应允许他们接触全单位管理的各个方面。 如怀疑出现安全事故或漏洞,应尽早向信息安全顾问咨询,以获得专家指导或调查资源。尽管多数内部安全调查通常是在管理管制下进行,但仍可以委托信息安全顾问提出建议,领导或实施调查。