引言

　　随着信息技术的不断发展和广泛应用，信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产。然而信息正面临着来自各方面越来越多的威胁，如何保障信息安全已经成为亟待解决的关键问题。

　　目前企业解决信息安全问题的常见方式：发现问题-->进行安全项目投资-->寻找产品-->制定方案-->产品实施，这种头痛医头脚痛医脚的方式很快便暴露其弊端。随着业务系统的发展和多样性安全需求的提出，就会出现产品兼容问题、集成问题、扩展问题、管理问题等，难以支持业务发展，安全状况并没有得到明显改善。

　　随着信息安全技术和理论的发展，已经逐步形成了一个共识：信息安全问题是一个动态的、整体的、持续性的问题。基于以上共识，出于从最大程度上提高信息系统整体安全的水平和预防安全事件发生的角度来考虑，信息系统安全建设不能仅仅局限于若干安全产品的简单意义上的集成，企业迫切需要的是“需求导向”的安全管理，从技术、人员和流程三个方面构建完善的信息安全管理体系。本文针对企业具体的信息安全管理问题，结合信息安全管理体系的标准，研究如何将信息安全管理体系标准，经过裁减和筛选，将其应用于具体的实践过程中。

　　1、企业信息安全及其基本特征

　　企业信息安全是和企业发展的战略密切相关的，对企业决策层而言，企业的信息安全与股东利益和业务目标的实现高度相关。因此，信息安全管理是一个全局的问题，必须站在战略的角度来考虑。同时，企业的信息安全又是和业务紧密联系的，是一个管理与技术结合的问题。因此，要在综合评价业务的成熟度、信息的敏感性、信息的重要性以及信息价值的基础上，来制定和实施企业信息安全管理策略。通常从三个层面讨论企业的信息安全问题：

　　(1)管理层研究企业信息安全管理的目标、任务和对象，制定有效的策略、运作计划和执行规程。

　　(2)技术层研究业务权限设置、信息资产分类和保护，以及安全应用系统的设计、实施和维护。

　　(3)操作层从组织上设置安全控制点、建立员工的职责和权限、以及定期检查和监控。基础设施上要考虑自然灾害、地点选择、毗邻威胁等。

　　2、信息安全管理体系标准和COBIT

　　建设企业的信息安全管理体系需要遵循一定的程序，并以行业内已经确立的最佳实践经验作为行动的指导和参考。目前国际上公认的信息安全管理方面的标准如ISO/IEC17799、COBIT、SysTrust、COSO等给企业的实践提供了非常全面的安全控制目标。当前有可用的两种控制模型：业务控制模型(如COSO)和信息技术控制模型(ISO/IEC17799)。COBIT(信息及相关技术的控制目标)是连接这两者的桥梁，是通过研究支持业务目标所需信息，以及被信息技术流程管理的、由信息技术相关的应用工具所产生的信息，来实现对信息和信息技术的控制。

　　COBIT由信息系统审计和控制委员会与IT治理协会开发和推广，是IT治理的一个开放性标准，目前已成为国际上公认的最先进、权威的安全与信息技术管理和控制的标准之一。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。

　　COBIT把IT治理分成4个领域(规划与组织、采集与实施、交付与支持、监控)，共计34个IT业务流程以及318个详细控制目标。此外对每个过程提供了评审工具。

　　其中与信息安全直接密切相关的三个业务流程是：(1)规划与组织流程9(风险评估)；(2)交付与支持流程4(确保服务的持续性)；(3)交付与支持流程5(确保系统安全)。

　　COBIT作为IT治理领域全球公认的辅助工具，具有较强的普适性，对于具体的企业应用，应根据具体的业务特点对标准进行剪裁，制定出最适合的实施方案，然后持续改善，这样才能保证企业信息安全控制体系保持一个持续、良性和健康的发展状态。

　　3、企业信息安全管理所面临的问题

　　当前企业在信息安全管理中普遍面临的问题：(1)缺乏来自法律规范的推动力和约束。(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法。(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理。(4)在安全管理中不够重视人的因素。(5)缺乏懂得管理的信息安全技术人员。(6)企业安全意识不强，员工接受的教育和培训不够。

　　以上的问题在具体被调查的某个贸易公司中表现在以下方面：

　　(1)打印机和传真机输出的信息过度暴露。公司使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。

　　(2)贸易行业中企业员工跳槽现象非常普遍。但是电脑易手问题没有妥善解决，新员工都有过这样的经历：新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道，公司里曾经发生过的事情“尽收眼底”，从公司以往的客户记录、奖惩制度、甚至还有幸阅读前任的辞呈。

　　(3)大部分员工为了方便记忆在电子邮件和操作系统中使用相同的用户名和密码，不慎泄露其中任何一个那另外一个也就自动暴露了。而且用户密码的设置规律性很强，基本上就是使用人的生日，例如800214。

　　(4)将公司的整个内部网络按域划分，实现部门级别的权限管理。每个部门内的每个员工在文件服务器上都有互相独立的存储空间。但是访问权限的设置没有体现实际的安全需求：部门之间禁止互相访问，而部门内的员工对自己的文件并不具有独占的管理权，比如一个业务员可以读、更改、删除另一个业务员在文件服务器中文件夹里面的资料。信息安全管理没有体现业务的需求。

　　(5)向企业的客户提供资料时没有考虑到企业敏感信息泄露的可能性。在发布的信息中应该出现“此为本公司机密信息，请保密。”字样，并在事前签订保密协议，但是目前企业根本没有考虑到这个问题，也没有规定信息安全对应到每个员工的责任。

　　(6)没有实现集中化的安全管理。只有当员工电脑出现问题才会有信息技术人员来给你安装操作系统的补丁，或者电脑上的杀毒软件没有采用服务器分发升级包进行自动病毒库更新，而要等到员工发现病毒了才会去升级杀毒软件。

　　4、COBIT在信息安全管理中的应用

　　结合实际情况研究COBIT中与信息安全管理有关的三个流程如何在企业环境中应用，并使用名为SW的一家贸易企业作为示例。

　　4.1风险评估

　　在风险分析过程中，最开始考虑的有两方面的内容：一个是对企业资产的识别，另一个是对威胁的识别。

　　1)确定资产

　　SW拥有很多宝贵的信息资产，范围包括从电子邮件到客户基本数据，以及客户需求预测报告等。作为一个贸易型企业，员工频繁地通过电子邮件、电话和传真机与客户联系业务，因此邮件服务器和通讯系统对业务的成功是必不可少的，相比而言，企业内部的业务管理信息系统就不那么重要了。

　　2)确定威胁

　　通过电子邮件传递的客户需求预测报告面临由内部人员故意或无意的非授权访问或操作形成的完整性和机密性损失的威胁。

　　3)确定漏洞

　　考虑SW的客户需求预测报告面临的完整性和机密性损失威胁时，可以找出以下三个漏洞：(1)员工滥用数据而造成的泄露；(2)数据从局域网主机被盗；(3)数据从移动计算设备中被盗。

　　4)评估资产暴露程度

　　(1)由于员工的滥用而造成的完整性和机密性的破坏可能对企业造成损失，也会导致严重的或高度的损失，因为员工更加了解客户数据的特性。

　　(2)发生在LAN主机上的客户数据被盗造成的完整性和机密性损坏会导致严重的或高度的损失。发生可以在短时间内收集多个客户数据的自动化攻击时尤其如此。

　　(3)发生在移动计算设备上的客户数据被盗造成的完整性和机密性损坏，但是可能不会太严重。损失程度有一定限制，因为各个业务员只能访问其管理的客户数据，造成的损失将较小。

　　5)确定现有控制措施和利用可能性

　　(1)员工滥用数据而造成的泄露：员工和企业签订了保密协议，通过电子邮件发送客户数据不会被检查。(2)数据从局域网主机被盗：LAN按照部门划分域，不同的域之间有严格的访问权限，但是属于相同的域的员工可以互相访问对方在文件服务器上的文件。(3)数据从移动计算设备中被盗：业务员使用的笔记本电脑由个人负责保管，但是没有要求核查其中是否含有机密的客户数据以防止泄露(客户数据规定只能存放在文件服务器上)。

　　6)风险衡量(定性分析方法)

　　应用以上方法可以确定不同风险的优先级，并形成风险优先级列表，如表1和表2所示，对于风险级别高的资产应该优先分配资源进行保护。

　　7)安全控制

　　通过风险评估对风险进行识别后，风险管理的下一步工作就是采用成本效益的方式对风险进行安全控制，以确保风险降低或消除。组织有两种处理风险的基本策略：可以接受风险，也可以实施降低风险的控制措施。如果选择接受风险，则叮以决定将全部或部分风险转移给第三方，例如保险公司或管理服务公司。

　　8)实施控制以降低风险

　　第一步，针对风险定义功能要求：针对客户数据从移动计算设备中被盗的风险：必须确保客户数据没有长时间地保存在移动计算设备中。

　　第二步，确定控制解决方案：为每个风险制定潜在控制措施列表，以满足该风险的功能要求。员工滥用客户数据而造成泄露的风险可以通过明确员工对相关信息资产的责任，在文件服务器上安装审计软件监视对客户数据的输出和更改。

　　第三步，根据要求审奁解决方案：信息技术人员试用审计软件检查是否能监视对数据的操作，以确定实施这种验证是否能满足功能要求。

　　第四步，评估风险降低程度。

　　第五步：评估解决方案成本。

　　第六步：选择风险缓解方案。[page]

　　4.2业务持续性计划

　　业务连续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。

　　1)项目启动

　　(1)获得管理层的支持与投入，为了确保该程序能够成功，高级管理层必须参与其中。同时业务持续计划必须成为公司的战略性业务计划之一，并且公司必须设定合理预算。

　　(2)建立团队，人员包括财务部、审计部、信息技术部、人事部、行政部等等。

　　2)风险分析与业务影响

　　两个主要因素：一是引起业务中断的事件，如设备故障、自然灾害；另一个是每个中断对组织产生的影响，包括损害、恢复与替换的费用，以及因业务中断造成的损失。

　　3)业务持续计划的制定和实施

　　计划制定过程中，主要分析业务持续计划的成本、效益和潜在风险，在制定计划之前，要须考虑下列措施是否已经存在：

　　(1)变更控制流程。

　　(2)最终用户的标准操作流程。

　　(3)操作人员的具体需求和特殊外围设备需求。

　　(4)数据流图表及问题管理程序。

　　(5)重要记录。

　　(6)磁带备份/记录管理。

　　(7)日常安排异地存储。

　　计划制定之后，还要进行测试和维护，以及人员的培训工作。

　　4.3确保系统安全

　　1)确定要保护的信息资源

　　数据：业务数据，客户资料，生产报告。

　　应用系统和技术：业务信息系统，数据库系统，网站，电子邮件系统。

　　设备：打印机，传真机，台式电脑，笔记本电脑，邮件服务器，文件服务器，防火墙，交换机。

　　人员：公司所有员工。

　　2)数据分类

　　(1)按照数据保密性大致分三类

　　外部的：参加各种展览会的资料，对公共网页的阅读权限，已发布的新闻稿、产品小册子、白皮书和随发行产品提供的说明文档，过时的企业信息或有形资产。

　　内部的：报关资料，手册。出货单，装箱单，雇员名录，采购订单数据，网络基础架构设计，内部网站信息以及关于仅限于内部业务使用的内部文件共享的数据。

　　机密的：客户资料，财务数据和知识产权，密码，信用卡号码和截止日期。

　　(2)分类的数据管理

　　机密信息应该以适当的形式进行信息标注，如：打印报告可采用盖章的方式；记录的媒介可采用实物标签的形式；屏幕显示采用电子形式标注。

　　员工：每天工作结束离开的时候确保所有在适当存储器中信息安全，清理自己的桌面。例如关闭电脑以及电源，把敏感的资料锁进柜子或者抽屉，确保桌面上没有文件上包含可读的机密的信息。

　　打印机和传真机管理员：确保每天工作结束时没有机密的和内部的文件遗留在机器旁边。销毁分类数据常常通过粉碎、焚烧或者转移到提供授权文件销毁的服务中去。确保没有分类信息被不适当地放置到垃圾箱或回收站中。当分类信息的备份不再有价值或者多余时，通过双重签名确认后.应该注意销毁不需要的备份。

　　(3)签订保密协议：

　　①与客户签订保密协议，明确需要保密的数据和保密措施和责任划分。例如，客户在传真定单等机密信息之前必须以电话或者邮件通知业务员，等确认后再传真过来，尽量减少传真件在公共传真机旁暴露的时问。公司用邮件、传真、文本邮递等形式发送给客户的数据中如果有机密信息的应该用适当形式明显地标明“机密信息，请注意保存，禁止向第三方泄露”。

　　②与员工签订保密协议，作为雇佣合同基本条款的一部分，明确规定雇员对组织信息安全的责任，保密要求及违反约定的法律责任。对于试用期的新员工，要求他们签订一个保密承诺。

　　③在允许第三方使用信息处理设施之前要求他们签订保密协}义。例如网络服务提供者和信息发布站点建设者为了调试进入信息系统的情况。

　　3)访问权限控制(以SW业务相关处理举例)

　　对文件的操作：a读，b删除，c添加，d修改，e打印，f复制，g无访问权限。

　　访问者：业务员、证员、业务经理、物流部、生产计划部、核销部、财务部。

　　访问对象：客户名单、定单、销售合同、生产通知单、装箱单、发票、出口财务发票、进料加工手册。(SW中与业务相关的文件访问权限以及定单各个属性访问权限分配表略)

　　4)用户安全教育和培训

　　安永2004全球信息安全报告指出员丁缺乏信息安全意识已经成为有效信息安全控制的头号障碍"。因此加强用户安全教育和培训，对于企业信息安全管理非常重要。

　　除了定期对用户提供教育和培训外，还要考虑以下情况：

　　(1)开发和更新IT可持续性计划后。

　　(2)安全事故发生后的或者意识到有潜在的安全隐患。

　　(3)新员工加入。

　　(4)外部信息安全环境发生变化，如新的有关信息安伞的法律颁布，新威胁和新技术的出现。

　　(5)内部信息安全环境发生变化，如新加入的系统和应用程序。

　　5)安全事故监控和故障反映

　　(1)报告安全事故。明确信息安全事故的报告方式，报告的内容，报告的受理部门，即建立一个信息安全事故报告的渠道，以便信息安全事故发生后，发现者能及时将事故报告给受理部门。

　　(2)报告安全弱点。信息服务的用户发现任何可见或潜在的系统或服务的安全薄弱环节或威胁时，要求用户对其进行记录并及时报告给有关部门。

　　(3)报告软件故障。明确规定软件故障报告的方式，报告的内容，报告的接受和处理肯及有关安全要求。

　　(4)归档一个事故。记录事件的人员、特征、时间、地点、原因、影响范围等。

　　(5)事故遏制策略。停止或遏制事故的影响范围。

　　(6)事故恢复。评估事故破坏程度，然后进入恢复过程。

　　(7)从事故中吸取教训。建立相应机制，对发生的事故和故障进行记录、测量和监控，确定事故与故障的类型、严重性、损失情况，分析事故与故障产生的原因，从中吸取经验教训，防止类似情况的再次发生。

　　(8)惩戒过程。当员工违反组织信息安全方针或程序时，应该按照规定对其进行惩戒。手段可以是行政和经济等方面的处罚。

　　5、结论

　　通过对COBIT的实际应用，对基丁COBIT的应用实施有以下几点体会：(1)采用前瞻性的管理方法应对企业面临的信息安全风险。风险评估和业务持续性计划中都包涵了动态的管理思想，既编制计划，执行计划，监视行动，纠正计划，再执行计划的循环。使得企业的安全防护总是处于不断的更新当中，实际发生风险的时候不会再手忙脚乱。(2)考虑安全控制措施时始终遵循成本效益原则，真正把信息安全管理和企业的最根本目标结合在一起。能使企、啦感觉到投资的成效，从而形成一个良性的循环，使企业愿意在信息安全的管理七进行更多的投资，促进整个社会对信息安全的认识。(3)明确安全责任。承担责任意味着要付出代价，这就促使企业的成员在行为之前考虑相应的后果，从而减少由于员工无意识引起的安全事故。(4)重视人的因素。COBIT的详细控制目标中经常出现“培训”这个词。在漏洞分析中，巾于人为因素形成漏洞的影响和发生可能性都足最大的。

　　COBlT作为专注与信息技术的管理标准在信息安全管理方面给企业提供了很好的参考标准，企业可以把它作为努力的方向，通过实施COBIT的控制目标来实现对信息安全的有效管理或者进一步提高管理质量，但是COBIT以行业最佳实践为基础，并非针对具体企业的，不是每个企业都必须实施COBIT中所有涉及信息安全的控制目标，实施COBIT需要的企业预算作为支持，因此企业需要根据预算、企业文化、人员配置和信息资产面临的风险有选择地分步地实施COBIT。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。