第 5 章 博士公司基于 ISO27001 体系的信息安全管理改进方案
基于博士公司在信息安全领域目前所展现的问题以及其背后的原因分析,结合前期的业务访谈、调查问卷结果以及博士公司的整体发展战略,本文为解决博士公司目前所暴露的信息安全隐患制定了一系列改善的方案,具体如下:
5.1 建立体系化的信息安全管理机制
目前博士公司缺乏一套体系化的信息安全管理框架为信息安全工作提供理论基础,信息安全体系建设也必须以它作为指导依据,从而达到公司对信息安全方面的期望和要求,降低信息安全事件(故)的数量以及对企业所造成的损害。信息安全建设的目的主要是保证企业的信息免收各种威胁、业务的可持续性以及内部控制和管理的合规性,其要求的高低是源于企业的整体战略,因此战略和业务的需求是建立信息安全管理框架的前提。在已经制定了信息安全方针,其具体化了公司战略对信息安全的要求,基本明确了信息安全的相关标准和基线,但还需制定一系列配套的流程和制度来进行落地实施。
ISO27001 信息安全管理体系作为国际上公认的该领域最佳实践已经被广泛证明可以适用于各个行业的业务发展,作为没有监管机构提供信息安全指引的博士公司,其完全可以按照使用其方法论来构建一套适合于博士公司的信息安全管理体系。【1】
在整套体系中以企业整体风险管理体系、信息安全风险管理平台、信息安全意识管理为基线结合 PDCA 的原则,明确了这个体系建设中各阶段的主要任务和建设目标。
5.2 完善企业信息安全组织结构
博士公司的信息安全组织架构涉及到整个企业的成员,从最高的董事会决策层到普通的基层员工,确保信息安全管理工作的执行能覆盖到组织中的每一个单元。制定信息安全组织构应重点考虑如下因素:
(1)信息安全组织构架有高层参与可提升信息安全工作在博士公司的地位和重要性。另外,信息安全委员会由 CEO 和 CSO(首席安全官)牵头,无论在规划层面还是执行层面,有着权力支撑和相对较强的协调能力。
(2)把业务部门纳入到信息安全组织中可以解决信息安全执行小组和 IT 部难以使业务部门配合信息安全建设的问题。同时,让业务部门参与信息安全工作可以避免信息安全人员因为不了解业务而制定出无法适应业务需求和发展的可执行信息安全制度。
(3)信息安全工作中的业务人员应该有广泛的代表性和执行力,同时,其职能也应覆盖部门内所涉及的信息安全范围的业务,并有着丰富的实践经验,而且其在业务部门内必须具备一定的影响力,候选人通常为部门负责人或资深员工。
(4)结合博士公司期望的信息安全目标以及现有的情况设立信息安全组织构架。
组织构架的建立应满足信息安全要求又要经济的原则,既不能简单到形同虚设,而无法帮助信息安全工作,也不能过于繁琐,造成沟通成本的上升和各种资源的过分投入。
根据博士公司现有的企业组织架构特点建立的信息安全组织架构,如图5.2所示。
其明确了信息安全工作在企业中的处于的重要地位。首先,设立首席安全官(CSO)职位,负责博士公司日常信息安全团队的管理和运营,负责主持整个企业的信息安全工作。其次,成立了信息安全管理委员会负责博士公司信息安全工作的规划和方针制定, 同时其成为风险控制委员会的一部分并由公司 CEO 和 CSO 领导直接向董事局汇报。另外,信息安全管理人员也不再隶属于 IT 部门,而是单独成立了信息安全管理和执行组并担任这两个小组的负责人,制定日常的信息安全管理制度并监督和审计各部门的实施情况,直接向公司 CSO 甚至 CEO 汇报。为信息安全人员在日常工作中提供了影响力和权利支撑。【2】
从上图中可以看到,信息安全管理委员会、信息安全管理小组、信息安全执行小组和各职能部门分别代表了决策、管理、执行和用户四个层面覆盖了整个博士公司的整个企业,为后续的信息安全措施和制度的执行打下了坚实的组织基础,同时也使得信息安全工作渗透到企业的每个角落。在信息安全工作领域建立了一套独立的人员组织架构,也彰显了公司管理层对信息安全的重视。
5.3 识别各类信息资产重要等级进行分级保护
在对博士公司信息资产进行保护时,信息安全相关人员首先应该明确什么才是安全策略和制度所应该保护的对象,如果无法识别被保护的对象,那各种安全措施也就无从谈起。博士公司的信息资产具有多种表现形式,如数据、硬件、软件、人员、文档、服务等(具体说明见图 5.3),各类信息资产中基本上都含有敏感的商业信息,其被破坏、丢失、泄露都会给博士公司造成巨大的影响。【3】
当前,博士公司对信息资产保护的工作重点应该落在信息资产识别和分类上。根据 ISO27001 信息安全管理体系对信息资产识别原则,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)这个三个指标,博士公司的日常业务情况,其信息资产目前可分为四个级别:
(1)绝密信息“绝密信息”是指那些在企业内部只有指定的很少部分人员知晓,并具有很高商业价值的,并且没有经过管理层授权使用或泄露会对博士公司名誉或利益甚至于公司的生存造成巨大影响的信息。(2)机密信息“机密信息”是指该信息公司外部以及竞争对手通常不知道的,具有一定商业价值的。并且未经公司内有关部门的授权的使用或泄露会对公司业务开展、日常运营或公司内部员工造成严重损害的信息。
(3)内部公开信息“内部公开信息”是指公司不能或无法对公众开放的信息,擅自使用或泄露会对公司或员工造成一定的负面影响。在其它信息级别中没有被定义的信息的默认为“内部公开信息”。
(4)外部公开信息“外部公开信息”是指公司已经在媒体或其他公开场合公布的信息,社会公众可以免费获取,且该信息的泄露不会给公司和员工造成危害。
根据信息资产的分类和分级原则,结合博士公司自身的业务经营模式,列举了典型信息资产分类结果,见下表:【4】
5.4 加强员工安全意识培训
在信息安全建设过程中,风险点最不可控制的是人,同时人又是所有信息安全的工作的基础。在任何信息安全管理体系中,无论制度制定的多么完善,如果制度执行的主体不了解或不认同,再好的流程制度都无法得以落地。要想达到预期的目标和效果博士公司所有员工,上至董事会管理层,下至普通基层员工都应该充分认识到信息安全对公司的重要性,深入领会和遵守博士公司所制订的并颁布的安全策略、流程标准以及方针指导。
要想提高企业内部人员的信息安全意识,必须在日常的工作中加强对员工这方面的教育和培训。通过培训可以让公司的员工知道信息安全的重要性以及各种安全威胁给公司带来的危害和后果,这样的后果会影响到每一位员工的自身利益,从而使员工在意识上主动的遵守各项信息安全制度以及规避违反公司的信息安全制度而遭受的处罚,从人员意识层面上设立起一道主动的“防火墙”。
虽然信息安全培训是面向博士公司全员,但根据职位高低和工作性质不同,公司对员工的信息安全意识要求也会不同。按照对象的不同,博士公司信息安全意识培训方式可分为三种类型:
(1)面向管理层培训管理层对信息安全的认识和理解决定了博士公司对信息安全工作的期望和要求、具体的范围和内容、所能给予的最大资源和权利以及信息安全工作在整个公司发展过程中的地位和重要性。由于对象的层次较高,培训内容可更偏重于宏观,如信息安全知识体系、公司的风险管理、资源需求、企业信息安全政策、绩效评估等。目的在于使管理层在培训过程中认识到信息安全的重要性及所涉及人员的任职资格和角色定义。另外,了解 ISO27001 信息安全管理体系可方便管理层督促、规划信息安全工作,识别信息安全风险和提高博士公司的抗风险能力,也可让管理层把信息安全作为年终的绩效考核与每一位员工的利益挂钩。
(2)面向信息技术人员培训信息技术人员在日常工作中主要负责用于公司业务运作的各类信息系统管理、维护以及监控。除了掌握基础的信息安全意识之外,还需偏重于不断学习信息安全防范技术以及新型信息安全产品的使用,如系统安全、网络安全、访问控制技术、身份认证技术以及识别信息系统中的安全风险。目的在于让信息技术人员掌握最先进的信息安全技术和产品,可以根据不断变化的业务安全需求从技术层面提出相应的解决方案以及在日常工作中能够第一时间识别信息技术系统中所存在的安全隐患并加以控制和消除。
(3)面向普通员工培训普通员工是信息安全建设工作的最基层,负责具体制度和流程上的操作和处理。
他们的信息安全意识的高低决定了信息安全流程和制度能否得到正确的得到执行并直接决定执行的效果。其培训重点主要集中日常工作中的角色和责任以及对相应的政策和程序的学习。其目的在于让普通员工了解什么是信息安全,其对自身和公司的关系,博士公司有哪些程序和政策需要遵守,使员工明白该做什么不该做什么。
在日常的信息安全培训过程中,信息安全意识和理论类的培训可以通过定期举办的信息安全讲座,公司内部的期刊文物,内部网站和标语等形式进行,而实践操作类的培训则可以采取演讲演示、案例研究和实际操作的方式。
博士公司的信息安全培训不应该是一个短期的工作,公司的培训部门需要制定相应的培训计划,定期调整和更新信息安全教育和培训的内容,保证培训内容的时效性和有效性,以适应不断变化的内外部威胁。员工的信息安全意识容易随着时间的推移而淡忘,培训部门在制定培训计划和内容是需要充分考虑到培训效果。对于那些违反了公司信息安全相关规章制度的员工,除了按照章程进行处罚外,还需要再次接受信息安全方面的培训,经考核合格后方能上岗。
5.5 规范外包人员管理
由于博士公司的日常业务需要大量第三方外包人员(原则上是指没有直接与博士公司签订劳动合同或协议的人员)的介入,这些外包人员掌握了博士公司大量的业务数据,在制定信息安全策略和制度时,不能忽略对外包人员的管理。
(1)访问控制管理各部门应为驻场第三方外包人员的提供制定固定的办公地点和区域并配带准入标识,如确实因工作安排需要访问数据中心、档案室、财务室等敏感区域时,访问前必须经过相应接口人或部门领导的审批,批准后由专人全程陪同或监督,并登记备案。
临时来访第三方外包人员需在内部联络人员的陪同下以约定的方式进行访问,原则上不允许进入数据中心、档案室、财务室等敏感区域。
驻场人员的办公网络应与博士公司内部网络进行隔离,第三方驻场服务人员如需访问博士公司的内部系统时,单独为其开启访问内部系统的安全策略且必须进行单独的帐号认证,此帐号的命名规则应和公司内部人员的帐号存在明显区分,在访问过程中需进行日志记录,如临时人员需要访问公司内部系统需经过相应审批后才能开启访问策略和帐号,且在离开后及时关闭和删除。
(2)办公设备管理第三方人员在日常办公中不允许使用移动设备办公,所有的办公设备都必须由博士公司信息技术部所提供。原则上外包商不得直接操作博士公司核心业务设备(如核心服务器、数据库、交易终端等),未经首席安全官的许可不允许使用任何方式(U盘、 光盘刻录、打印、手工记录等)带走任何与博士公司相关的数据。
(3)服务提供商管理在外包服务商所签订的服务合同中必须明确服务内容和要求,且在签订服务协议前需评估其所引发的信息安全风险,并评定其是否有足够的服务能力。外包服务人员入场前,应接受博士公司信息安全培训,确保能够让其理解信息安全职责和应履行的业务。在服务过程中,各部门应与外包服务机构制定应急预案与《外部联络清单》,确保在发生突发事件时能够将各项业务所遭受的影响降至最低,为了约束外包人员所掌握的业务数据的使用还需与服务商签订相关的保密及法律协议并制定考核计划。
5.6 明确各类人员的职责并设定严格的访问控制机制
博士公司信息安全水平的提高不能依靠几个部门和人员,而是需要整个公司的共同努力,每个人在博士公司的信息安全体系中都应有相应的职责:
(1)管理层在博士公司企业信息安全方针中明确定义了公司管理层的职责。CEO 最高领导人,对所发生的信息安全事件所造成的后果负最终责任,同时负责批准建立博士公司的信息安全管理组织架构,管理构架、安全方针、流程制度以及提供和协调相应资源来完成和达到信息安全建设目标.
(2)各业务部门负责人博士公司各业务部门负责人对其所管辖的业务和部门的信息安全所造成的后果负最终责任。其必须明确定义其部门内部的管理边界及范围、资产情况、信息分级、系统和数据访问的权限并提供必要的资源以及支持信息安全相关人员进行信息安全建设。
(3)信息安全管理委员会信息安全管理委员会是博士公司信息安全相关领域的最高决策机构,成员人选应由各个部门中熟悉业务的资深人员组成,同时要求所有成员能够从其本身部门以及整个公司层面的角度看待信息安全问题。委员会应由 CEO 挂帅,就博士公司内部关于信息安全战略问题做出决策,评审和审批相关策略、职责、制度流程的颁布,监督博士公司整体的信息安全状况以及协调各种信息和所需要的资源。
(4)首席安全官首席安全官应具备扎实的信息安全技术背景,同时还要有丰富的信息安全管理经验,同时熟悉和深入了解国内外的信息安全相关行业标准以和法律法规。首席安全官负责给信息安全管理委员会提供专业的技术和管理方案,也是各项安全策略、方针和各项信息安全流程制度的制定或修订者。首席安全官负责整个博士公司信息安全工作,其隶属于公司最高管理层,汇报对象为 CEO 和信息安全管理委员会。
(5)内部审计员为了确保审计结果的独立客观和公正性,信息安全内部审计人员不应该隶属于CIO 或 CSO 条线下,建议其应归于承担公司整体风险控制的 CFO 下。信息安全审计员应该熟悉各种国际上通用的审计标准和要求(如塞班斯法案、COBIT 标准)和相应审计方法。内部审计人员还需对信息安全标准体系有相应了解,负责按照事先制定的安全基线对整个博士公司信息安全管理合规性、有效性、和适用性进行独立的内部审计,检查各项制度是否有效的执行并找到未先前未被发现的问题和风险,最终形成审计报告提交到信息安全管理委员会,为下一个阶段的 PDCA 循环的提供第一手的资料。
(6)各业务部门信息安全接口各业务部门的信息安全接口人通常为资深员工或部门负责人,其主要的任务是配合信息安全相关工作人员来协调部门内各项资源来支持信息安全建设,并监督部门内的人员是否违反了公司的信息安全相关流程和制度。
5.7 制定业务持续性计划
博士公司在日常的运营中为了防止由于各种问题而导致的业务中断,确保关键业务不受故障的影响,必须制定完善的业务持续性计划(BCP)并定期实战演练。信息安全作为整体业务持续性计划的一部分,需关注并采取相应的措施来减少安全风险并限制故障或灾性事件难所带来的实际后果。
(1)信息系统层面对于业务持续性计划的建设上博士公司的信息系统有较大的提升空间。包括增加互联网外联线路实现线路冗余避免由于运营商或线路质量的问题而导致的业务终端,建立完善的本地备份和异地备份机制保证信息系统出现故障时能够及时切换并恢复业务系统,关键服务器采用 HA(High availability)技术加强系统的健壮性等。同时信息技术部也需要制定相应的应急预案和流程来应对突发的故障和灾难性事件。
(2)业务操作层面各业务部门也需制定信息系统故障时的 BCP,包括对线下原始文件、凭证、单据定期进行归档和整理,在发生信息系统故障时,由专人负责提供这些纸质文件,业务部门凭借这些单据和文件通过纯手工的方式保证博士业务的进行。
5.8 引入内部审计机制
实践证明信息安全内部审计已经成为检查企业信息安全问题的重要手段,也可同时覆盖到信息系统运维,企业内部治理、企业整体安全风险控制等相关领域。结合塞班斯法案的每季度的外部审计要求,博士公司应执行不低于每季度一次的内部审计工作,根据塞班斯法案以及 COBIT 相关标准为依据,通过内部审计工作来发现博士公司信息安全工作中所暴露出来的问题。这些问题在第二次 PDCA 循环中应重点考虑并给予解决,这样才能是整个博士公司的信息安全水平得以改善。信息安全审计的依据。
5.9 建立 PDCA 有效循环机制,不断完善企业信息安全体系
随着博士公司业务和经营模式的发展,保证企业信息安全的各类技术和管理机制也应做相应完善。ISO27001 为解决这一问题提供了 PDCA 循环模型,其实质在于通过不断的改进和完善,用于建立一套可自身学习并可持续改善以及不断完善的企业信息安全管理体系。
(1)规划阶段(Plan)博士公司虽然已经制定了企业信息安全方针,但并未正式的颁布,应与之配套各项执行标准、管控过程以及相关规程也未落实到位。因此,博士公司信息安全建设工作近阶段的首要认为是制定一个年度信息安全改善和符合计划来实现 PDCA 中的规划阶段。①改善计划按照信息安全管理方针,博士公司的每个部门在年末必须提交下一年度的年度信息安全改善计划,以制度的方式把 PDCA 中的规划阶段落实到整个博士公司,成为整个企业管理框架的一部分。改善计划的内容可以是员工在日常工作以及内部审计中所发现的信息安全问题以及相应解决方案,也可以是为了确保或防范可能出现的信息安全问题而制定的符合性计划。②符合计划由于博士公司的业务在不断的发展,所产生信息安全的风险也随之变化,对于博士公司而言没有也一成不变的信息安全要求,同时配套的符合性工作如果没有随之改善将无法控制和预防信息安全风险。因此符合性计划必须跟随根据业务发展中所产生的新的信息安全需求做调整,其内容可以包含在年度信息安全改善计划中。另外信息安全符合性计划可以计入企业各部门的 KPI,与绩效挂钩实行统一考核,并接受博士公司管理层的监督。
(2)实施和运行阶段(Do)按照规划阶段制定的计划落实执行行动方案。如建立信息安全整体管理和风险控制框架、明确整个信息安全建设中所涉及各层级部门的管理职责、加强员工的信息安全意识培训、确保各业务系统安全稳定的运行、细化程序以及访问控制措施、在全员范围内实行信息安全绩效考核机制、加强对突发信息安全事件的管理以及预防可见的信息威胁等等。实施和运行的情况应在定期举行的信息安全委员会中讨论和审视。
(3)审计和检查(Check)进行内部信息安全审计,依据博士公司信息安全方正策略中所确定的管理范围、管理标准和安全基线,监督和审查各项保证措施的实施,评估各类安全控制措施是否适应博士公司的业务发展需要以及是否达到预期设定的目标,并向组织内信息安全最高决策机构信息安全管理委员会通报审核结果。
(4)保持和改进阶段(Action)对于在内部审计和检查阶段(Check)中所暴露出的问题,采取相应的应对和改善措施来提高现有的信息安全控制水平,并形成规范和标准的过程文档记录来防止先前已经产生的问题再次发生。对于目前出于各种资源和政策限制未能解决的问题,也应形成相应的文档并提交至信息安全委员会,以便在进入下一个 PDCA 循环(信息安全管理周期)作为待解决问题讨论。使得博士公司的信息安全水平以一个螺旋状的方式上升。
(5)定期信息安全状况回顾博士公司各部门应形成定期的信息安全报告和会议制度。各业务部门应每月提交业务部门的月度信息安全状况报告,信息技术小组应每月提交信息安全技术研究报告信息安全专员每月应提交博士公司总体的信息安全评估报告,每季度召开信息安全委员会,回顾和检阅各业务部门信息安全状况报告、信息安全技术研究报告、 整体信息安全评估报告。