学术研究
Acade
企业信息安全管理研究
刘仁勇1,2,王卫平1
(1中国科学技术大学管理学院,安徽 合肥 230000;
2
中兴通讯股份有限公司,广东 深圳 518100)
【摘 要】保护核心信息资产,加强信息资产传递渠道的管理,提高整个企业在信息安全管理上的执行力,即“护”、“堵”“、执行力”,是有效提高企业信息安全水平的重要的管理方法。论文给出了企业的信息安全管理模型和推广方案.【关键词】信息安全;信息安全管理;信息安全产品;信息资产;执行力
【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2007) 06-0113-03
Research on the Information Security Management in Enterprise
LIU Renyong1,2, WANG Weiping1
(1School of Management, University of Science & Technology of China, Hefei Anhui 230052, China;
2
ZTE corperation LTD, Shenzhen Guangdong 518100, China)
【Abstract】Protect the essential information asset , enforce the management in the transfering channel of theinformation, Improve the implementation in the management of information security, namely
【Keywords】Information security; the management of information security; the product in information security;information asset; implement
业通过一系列信息安全产品,在某些方面起到了一些作用,
1 引言
信息安全是指信息的保密性、完整性、可用性的保持[2]。信息安全管理则是组织为了实现信息安全目标而进行的计划、组织、领导、控制的过程。随着企业的发展,企业信息化程度的提高,信息安全成为企业发展的重要内容。
许多企业已开始着手信息安全工作,但信息安全在企业推行更多的是购买或部署信息安全产品。这些信息安全产品是为了满足某一项安全功能而生产开发的有针对性的软件或硬件产品。信息安全产品分为四个层次:基础安全设备、终端安全设备、网络安全设备、系统安全设备[4]。企
但企业的信息安全并没有本质的提高,比如企业购买了防病毒产品,但是员工不乐意安装,或者安装后不久又卸掉了,难以起到防病毒的作用。专业从事信息安全管理的人员也试图用国内外的一些管理标准在企业中推行信息安全,确实起到一些作用。但对一般的企业来说,管理标准是一个系统的标准,理论程度比较高,难以真正和企业的实践相结合,对一般管理干部和员工来说更是难以在短时间内接受。于是很多专业从事信息安全工作的人士提出了如何管理;如何能简便快速地将信息安全管理深入到员工意识中;如何能快速看到成效等诸多问题。本文给出了一个简单的信息安全管理模型,试图将信息安全管理简单化,帮助企业在内部更
好地进行信息安全管理的推广和落实。
2 信息安全管理模型
信息资产有三个非常重要的属性:保密性、完整性、可用性[1]。可以说这三个属性缺一不可,但是在不同的企业或企业的不同阶段,信息资产的这三个属性又有不同的地位。
2007.6
113
学术研究
search
对于大部分企业来说,推广信息安全的目的更重要是保证信息资产的保密性。信息资产的完整性和可用性在一定程度上是信息安全的附属属性,因此信息资产的保密性对很多企业来说更加重要。本文着重帮助企业在保密性的管理方面进行分析,提出针对性的管理方法和管理模型。
的损失的资产,如企业的数据、纸质和电子类的文档、影像等企业的核心资产。
—核心信息资产的保护通过:资产分级管理、核心流程梳理、文档安全管理、数据保密、容灾与备份等工作对企业的核心资产进行保护。
—资产分级管理:将企业的信息资产按涉密的级别进行划分并分级管理,通常根据企业资产情况将企业核心资产分为绝密、机密、秘密、内部公开、外部公开等密级。信息资产的分级管理需要通过制度来保障,需要通过从事项目的专业人员来参与。
—核心流程梳理:确定企业最核心的业务流程,并对其进行梳理,对核心业务流程在不同阶段产生的不同密级的信息资产进行分级分权限管理,实际上是对企业核心信息资产在整个生命周期的管理。这一步需要从事项目的专业人员来主导。
信息安全管理是一个自上而下的管理活动,是全员的责任,要求企业中的每一个人、每一个岗位、每一项工作都要关注信息安全,最终将信息安全融入到企业文化中,才能最根本的做到企业的信息安全。但是对于企业来说,企业的经济指标才是管理层和员工关注的主要内容,要求员工或者管理层投入巨大精力来从事信息安全,在大部分企业是不现实的。因此必须有一套简洁而实用的信息安全管理理论做为指导,以循序渐进而又关注重点业务的落实方法为指南。通过多年企业的信息安全管理实践,和对行业客户信息安全服务的经验,总结了一套简化的安全管理工作模型:该模型从三个方面进行信息安全管理,包括:护—核心信息资产保护,执行力—建立与企业文化相适堵—信息传递渠道管理,
应的安全体系。图1为信息安全管理模型。
—文档安全管理:是对通过以上工作分离出来的文档类资产采取保护手段,保证核心文档的保密性。可以借助文档安全类产品实现。
—数据保密:数据保密就是采取多种复杂的措施对数对通过以据加以保护,以防第三方窃取、伪造或篡改数据[3]。上工作梳理出的核心数据采取保护手段。企业的数据大部分都在某些应用系统或数据库上,因此这部分应用系统或数据库的保护是安全工作考虑的重要内容。
—容灾与备份:对通过以上工作梳理出的核心信息资产防止其由于受到自然或人为的灾难而全部或部分受到破坏。通常采用业务连续性的管理(在此不详述)。
对备受关注的核心信息资产的保护,能够快速提升企业某一类信息资产的安全水平,提高企业在信息安全方面的信心,争取到员工和管理者的支持,同时也能快速解决企业面
3 管理模型具体内容研究
“护”“、堵”“、执行力”是信息安全管理提炼和简单化的总结,在不同的企业,不同的阶段侧重点和实施计划的先后顺序会有不同。对企业不同层次的人员有不同的推广落实方法,对一般员工或一般管理干部通过宣传很容易让他们记住这五个字:“护”、“堵”、“执行力”,对于专业从事信息安全管理的人员可从以下三个方面的基本内容着手。
3.1 护:核心信息资产保护
核心信息安全资产保护主要是对企业内部最核心的信息资产进行保护,这是非常重要且非常有效的。企业的资源总是有限的,信息安全相对业务的投入来说也是相对的,因此对核心信息资产的保护才是企业非常关心的内容。核心信息资产主要指价值比较高或一旦泄露可能会对企业造成比较大
临的信息安全困境。
3.2 “堵”:信息传递渠道的管理
“堵”主要是对信息资产的传递渠道进行管理,分析信息资产传输的各个渠道,禁止非授权的访问或传递。“堵”的工作是一个长期的工作,而且会随着技术进步,信息资产传递的渠道会增加,传播的方法会进行改变。“堵”的方法主要是通过人员的安全管理、物理安全管理、计算机系统与通信的管理等。
人员的安全管理是“堵”的核心,企业的信息资产都是通过人来管理和控制的。对人的管理实际是信息安全工作中难度最大的工作,业界有一句话:“在企业中信息安全最大的风险是心怀不测的一些员工可能带来的风险”。但是我们仍然可以通过加强对掌握企业核心涉密资产的人员的安全管理,提高信息安全水平。同时对员工调动离职的信息安全审计能
学术研究
Acade有效减少信息资产非授权的传递。随着企业时外合作的加强,对客户、供应商、合作伙伴在合作中的信息资产传递与交流中产生的信息资产的传递管理也是比较重要的内容。
物理安全管理是信息安全管理的配套内容,通过划分核心涉密区域,加强核心涉密区域的管理,通过建立对核心涉密区域的门禁系统、物品出入管理系统,也会减少在此方面的信息安全管理漏洞。
计算机系统与网络安全是现今社会发展最快的内容。有很多的安全产品解决某一方面或几方面的安全。通过对各个安全产品进行整合并选择能融合现有系统和未来系统,且各个系统间能形成相互关联,能同管理体系相融合的安全管理系统,可以有效地提高计算机系统与网络安全水平。
3.3 执行力:建立与企业文化相适应的安全体系(P-D-C-A)
信息安全体系建设与企业文化相适应是非常重要的内容,不同的企业,文化不一样,采用的信息安全方法和管理思路也会有较大的区别。比如一个执行力强的单位,更多的采用强制管理手段,会非常有效;相反一个执行力不够的单位,靠合理的管理方法,配以技术的支持、审计和监控管理等也会有明显的效果。因此信息安全的建设与企业文化要有机地结合。
安全组织建设是信息安全工作的基础,我们要提高信息安全水平,要有资源投入,要有员工来做,要有组织来支撑,做到企业总部和各个分支机构的信息安全真正有人想、有人管。信息安全制度的建设需要一步一步从无到有地建立、推行和落实,不能一次追求大而全,否则员工会吃不消,推行会很困难。安全培训和安全考核是企业信息安全水平提高的重要手段。信息安全的监控和审计是信息安全工作的重要内容,这是一个无形的手和眼,对任何没有遵守企业安全策略的行为进行监控、审计和纠正。对于大型企业来说,这方面非常重要,需要建立一系列监控和审计体系,而用好监控和审计这一方法,要同企业的文化相适应。
事件管理在信息安全管理中要强调事件和快速反映能力及对相关事件和关联分析能力。信息安全在企业的推行是一个P-D-C-A持续改进的过程,在每一个过程中,都需要和企业文化相结合的推行方法和各方的支持,通过不断改进的循环,能够不断地提升企业的信息安全水平。
资产如经营工作会议等进行重点保护。可以说“护”的方法非常有效,公司的经营会议等重要资料得到了较好的保护,在管理干部中起到非常好的作用。第一步打响后,又进行了另外几项业务资产的保护,同样取得了较好的效果。从此信息安全在企业中开始逐步得到了认同,尤其在管理层中受到了重视,并正式做为一个独立的职能进行推行,随后成立了信息安全管理部门,实现了信息安全从上到下有人管的状态。同时,企业开始了对核心信息资产的逐步清理,尤其是企业最核心的信息资产保护,大大提高了该类信息资产的安全水平,带动了企业信息安全整体水平的提高。
为了在更大范围提高企业信息安全水平,企业逐步在一些方面采用和实施“堵”的方法,建立了核心涉密区域,尤其是对研发区域加强了物品出入和核心资产的管理。对核心涉密人员在上网管理、邮件安全、USB管控、终端安全、网络监控等方面进行了监控和审计管理,对现有的安全产品进行了整合。自主开发了企业安全管理平台,使信息安全工作逐步走上有序。在信息安全管理中,“执行力”始终是最重要的内容,针对该企业国有企业性质较浓,员工和管理层在接受信息安全方面有一个过程,因此始终采用的是“逐步推行、小步快跑”,更多的是采用审计的方式进行信息安全管理,而较少采用强制的方法。
通过一系列的“护”、“堵”、“执行力”工作,该企业信息安全泄露事件大大降低,企业从员工到各层管理者都对信息安全有了初步的认识,部分员工已形成了一种自觉的安全意识。安全管理部门也逐步将主导安全管理转变为指导各个业务部门针对具体的业务进行针对性的信息安全管理。
5 结语
护、堵、执行力在企业信息安全管理尤其是企业信息安全管理的起步阶段,会起到很好的指导作用。随着企业在信息安全管理的完善,信息安全管理体系的建设也可以针对企业的不同情况进一步丰富具体的内容。
参考文献
[1] ISO IEC(ISO标准-IEC27001:2005).信息安全管理体系-规范与使用指南. 2005.
[2] 门洪利,孙洪涛,俎全胜,等. 信息安全管理概论.
4 模型应用及实践
在国内某大型IT企业的信息安全管理推广中,采用了护、堵、执行力的管理模型和实践,取得了非常好的效果。为了能取得员工和各级管理者的支持,达到信息安全管理快速有效,首先采用了“护”的方式,对公司最重要的核心信息
第一版,北京:机械工业出版社,2002.
[3] 沈金龙,计算机通信网. 第一版,西安:西安电子科技大学出版社,2003.
[4] 张勇进,张知恒. 信息安全产品体系概述. 北京:网络安全技术与应用,2002.
2007.6
115
学术研究
Acade
企业信息安全管理研究
刘仁勇1,2,王卫平1
(1中国科学技术大学管理学院,安徽 合肥 230000;
2
中兴通讯股份有限公司,广东 深圳 518100)
【摘 要】保护核心信息资产,加强信息资产传递渠道的管理,提高整个企业在信息安全管理上的执行力,即“护”、“堵”“、执行力”,是有效提高企业信息安全水平的重要的管理方法。论文给出了企业的信息安全管理模型和推广方案.【关键词】信息安全;信息安全管理;信息安全产品;信息资产;执行力
【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2007) 06-0113-03
Research on the Information Security Management in Enterprise
LIU Renyong1,2, WANG Weiping1
(1School of Management, University of Science & Technology of China, Hefei Anhui 230052, China;
2
ZTE corperation LTD, Shenzhen Guangdong 518100, China)
【Abstract】Protect the essential information asset , enforce the management in the transfering channel of theinformation, Improve the implementation in the management of information security, namely
【Keywords】Information security; the management of information security; the product in information security;information asset; implement
业通过一系列信息安全产品,在某些方面起到了一些作用,
1 引言
信息安全是指信息的保密性、完整性、可用性的保持[2]。信息安全管理则是组织为了实现信息安全目标而进行的计划、组织、领导、控制的过程。随着企业的发展,企业信息化程度的提高,信息安全成为企业发展的重要内容。
许多企业已开始着手信息安全工作,但信息安全在企业推行更多的是购买或部署信息安全产品。这些信息安全产品是为了满足某一项安全功能而生产开发的有针对性的软件或硬件产品。信息安全产品分为四个层次:基础安全设备、终端安全设备、网络安全设备、系统安全设备[4]。企
但企业的信息安全并没有本质的提高,比如企业购买了防病毒产品,但是员工不乐意安装,或者安装后不久又卸掉了,难以起到防病毒的作用。专业从事信息安全管理的人员也试图用国内外的一些管理标准在企业中推行信息安全,确实起到一些作用。但对一般的企业来说,管理标准是一个系统的标准,理论程度比较高,难以真正和企业的实践相结合,对一般管理干部和员工来说更是难以在短时间内接受。于是很多专业从事信息安全工作的人士提出了如何管理;如何能简便快速地将信息安全管理深入到员工意识中;如何能快速看到成效等诸多问题。本文给出了一个简单的信息安全管理模型,试图将信息安全管理简单化,帮助企业在内部更
好地进行信息安全管理的推广和落实。
2 信息安全管理模型
信息资产有三个非常重要的属性:保密性、完整性、可用性[1]。可以说这三个属性缺一不可,但是在不同的企业或企业的不同阶段,信息资产的这三个属性又有不同的地位。
2007.6
113
学术研究
search
对于大部分企业来说,推广信息安全的目的更重要是保证信息资产的保密性。信息资产的完整性和可用性在一定程度上是信息安全的附属属性,因此信息资产的保密性对很多企业来说更加重要。本文着重帮助企业在保密性的管理方面进行分析,提出针对性的管理方法和管理模型。
的损失的资产,如企业的数据、纸质和电子类的文档、影像等企业的核心资产。
—核心信息资产的保护通过:资产分级管理、核心流程梳理、文档安全管理、数据保密、容灾与备份等工作对企业的核心资产进行保护。
—资产分级管理:将企业的信息资产按涉密的级别进行划分并分级管理,通常根据企业资产情况将企业核心资产分为绝密、机密、秘密、内部公开、外部公开等密级。信息资产的分级管理需要通过制度来保障,需要通过从事项目的专业人员来参与。
—核心流程梳理:确定企业最核心的业务流程,并对其进行梳理,对核心业务流程在不同阶段产生的不同密级的信息资产进行分级分权限管理,实际上是对企业核心信息资产在整个生命周期的管理。这一步需要从事项目的专业人员来主导。
信息安全管理是一个自上而下的管理活动,是全员的责任,要求企业中的每一个人、每一个岗位、每一项工作都要关注信息安全,最终将信息安全融入到企业文化中,才能最根本的做到企业的信息安全。但是对于企业来说,企业的经济指标才是管理层和员工关注的主要内容,要求员工或者管理层投入巨大精力来从事信息安全,在大部分企业是不现实的。因此必须有一套简洁而实用的信息安全管理理论做为指导,以循序渐进而又关注重点业务的落实方法为指南。通过多年企业的信息安全管理实践,和对行业客户信息安全服务的经验,总结了一套简化的安全管理工作模型:该模型从三个方面进行信息安全管理,包括:护—核心信息资产保护,执行力—建立与企业文化相适堵—信息传递渠道管理,
应的安全体系。图1为信息安全管理模型。
—文档安全管理:是对通过以上工作分离出来的文档类资产采取保护手段,保证核心文档的保密性。可以借助文档安全类产品实现。
—数据保密:数据保密就是采取多种复杂的措施对数对通过以据加以保护,以防第三方窃取、伪造或篡改数据[3]。上工作梳理出的核心数据采取保护手段。企业的数据大部分都在某些应用系统或数据库上,因此这部分应用系统或数据库的保护是安全工作考虑的重要内容。
—容灾与备份:对通过以上工作梳理出的核心信息资产防止其由于受到自然或人为的灾难而全部或部分受到破坏。通常采用业务连续性的管理(在此不详述)。
对备受关注的核心信息资产的保护,能够快速提升企业某一类信息资产的安全水平,提高企业在信息安全方面的信心,争取到员工和管理者的支持,同时也能快速解决企业面
3 管理模型具体内容研究
“护”“、堵”“、执行力”是信息安全管理提炼和简单化的总结,在不同的企业,不同的阶段侧重点和实施计划的先后顺序会有不同。对企业不同层次的人员有不同的推广落实方法,对一般员工或一般管理干部通过宣传很容易让他们记住这五个字:“护”、“堵”、“执行力”,对于专业从事信息安全管理的人员可从以下三个方面的基本内容着手。
3.1 护:核心信息资产保护
核心信息安全资产保护主要是对企业内部最核心的信息资产进行保护,这是非常重要且非常有效的。企业的资源总是有限的,信息安全相对业务的投入来说也是相对的,因此对核心信息资产的保护才是企业非常关心的内容。核心信息资产主要指价值比较高或一旦泄露可能会对企业造成比较大
临的信息安全困境。
3.2 “堵”:信息传递渠道的管理
“堵”主要是对信息资产的传递渠道进行管理,分析信息资产传输的各个渠道,禁止非授权的访问或传递。“堵”的工作是一个长期的工作,而且会随着技术进步,信息资产传递的渠道会增加,传播的方法会进行改变。“堵”的方法主要是通过人员的安全管理、物理安全管理、计算机系统与通信的管理等。
人员的安全管理是“堵”的核心,企业的信息资产都是通过人来管理和控制的。对人的管理实际是信息安全工作中难度最大的工作,业界有一句话:“在企业中信息安全最大的风险是心怀不测的一些员工可能带来的风险”。但是我们仍然可以通过加强对掌握企业核心涉密资产的人员的安全管理,提高信息安全水平。同时对员工调动离职的信息安全审计能
学术研究
Acade有效减少信息资产非授权的传递。随着企业时外合作的加强,对客户、供应商、合作伙伴在合作中的信息资产传递与交流中产生的信息资产的传递管理也是比较重要的内容。
物理安全管理是信息安全管理的配套内容,通过划分核心涉密区域,加强核心涉密区域的管理,通过建立对核心涉密区域的门禁系统、物品出入管理系统,也会减少在此方面的信息安全管理漏洞。
计算机系统与网络安全是现今社会发展最快的内容。有很多的安全产品解决某一方面或几方面的安全。通过对各个安全产品进行整合并选择能融合现有系统和未来系统,且各个系统间能形成相互关联,能同管理体系相融合的安全管理系统,可以有效地提高计算机系统与网络安全水平。
3.3 执行力:建立与企业文化相适应的安全体系(P-D-C-A)
信息安全体系建设与企业文化相适应是非常重要的内容,不同的企业,文化不一样,采用的信息安全方法和管理思路也会有较大的区别。比如一个执行力强的单位,更多的采用强制管理手段,会非常有效;相反一个执行力不够的单位,靠合理的管理方法,配以技术的支持、审计和监控管理等也会有明显的效果。因此信息安全的建设与企业文化要有机地结合。
安全组织建设是信息安全工作的基础,我们要提高信息安全水平,要有资源投入,要有员工来做,要有组织来支撑,做到企业总部和各个分支机构的信息安全真正有人想、有人管。信息安全制度的建设需要一步一步从无到有地建立、推行和落实,不能一次追求大而全,否则员工会吃不消,推行会很困难。安全培训和安全考核是企业信息安全水平提高的重要手段。信息安全的监控和审计是信息安全工作的重要内容,这是一个无形的手和眼,对任何没有遵守企业安全策略的行为进行监控、审计和纠正。对于大型企业来说,这方面非常重要,需要建立一系列监控和审计体系,而用好监控和审计这一方法,要同企业的文化相适应。
事件管理在信息安全管理中要强调事件和快速反映能力及对相关事件和关联分析能力。信息安全在企业的推行是一个P-D-C-A持续改进的过程,在每一个过程中,都需要和企业文化相结合的推行方法和各方的支持,通过不断改进的循环,能够不断地提升企业的信息安全水平。
资产如经营工作会议等进行重点保护。可以说“护”的方法非常有效,公司的经营会议等重要资料得到了较好的保护,在管理干部中起到非常好的作用。第一步打响后,又进行了另外几项业务资产的保护,同样取得了较好的效果。从此信息安全在企业中开始逐步得到了认同,尤其在管理层中受到了重视,并正式做为一个独立的职能进行推行,随后成立了信息安全管理部门,实现了信息安全从上到下有人管的状态。同时,企业开始了对核心信息资产的逐步清理,尤其是企业最核心的信息资产保护,大大提高了该类信息资产的安全水平,带动了企业信息安全整体水平的提高。
为了在更大范围提高企业信息安全水平,企业逐步在一些方面采用和实施“堵”的方法,建立了核心涉密区域,尤其是对研发区域加强了物品出入和核心资产的管理。对核心涉密人员在上网管理、邮件安全、USB管控、终端安全、网络监控等方面进行了监控和审计管理,对现有的安全产品进行了整合。自主开发了企业安全管理平台,使信息安全工作逐步走上有序。在信息安全管理中,“执行力”始终是最重要的内容,针对该企业国有企业性质较浓,员工和管理层在接受信息安全方面有一个过程,因此始终采用的是“逐步推行、小步快跑”,更多的是采用审计的方式进行信息安全管理,而较少采用强制的方法。
通过一系列的“护”、“堵”、“执行力”工作,该企业信息安全泄露事件大大降低,企业从员工到各层管理者都对信息安全有了初步的认识,部分员工已形成了一种自觉的安全意识。安全管理部门也逐步将主导安全管理转变为指导各个业务部门针对具体的业务进行针对性的信息安全管理。
5 结语
护、堵、执行力在企业信息安全管理尤其是企业信息安全管理的起步阶段,会起到很好的指导作用。随着企业在信息安全管理的完善,信息安全管理体系的建设也可以针对企业的不同情况进一步丰富具体的内容。
参考文献
[1] ISO IEC(ISO标准-IEC27001:2005).信息安全管理体系-规范与使用指南. 2005.
[2] 门洪利,孙洪涛,俎全胜,等. 信息安全管理概论.
4 模型应用及实践
在国内某大型IT企业的信息安全管理推广中,采用了护、堵、执行力的管理模型和实践,取得了非常好的效果。为了能取得员工和各级管理者的支持,达到信息安全管理快速有效,首先采用了“护”的方式,对公司最重要的核心信息
第一版,北京:机械工业出版社,2002.
[3] 沈金龙,计算机通信网. 第一版,西安:西安电子科技大学出版社,2003.
[4] 张勇进,张知恒. 信息安全产品体系概述. 北京:网络安全技术与应用,2002.
2007.6
115