构筑信息安全体系,并非只有IT。IT的目标是运营获利,而非其他。没有一个体系是完整的,也没有一个体系运营是没有风险的,所以必须很清楚知道风险管理机制。
信息安全风险只是所有风险中的一部分,所以必须在整个企业运营的框架中考虑信息流的重要程度。信息安全必须根据业务需求做出判断。
要建设信息安全管理体系,必须了解企业目前的规范流程,并且获得企业最高管理层的支持。然后进行培训、定义作业和信息安全方针。因为所有的操作必须向下展开,90%操作都会无法完成。因此,必须要求领导懂IT技术也有核心思想,要像谈判一样不断循环建立这个系统。
在信息安全管理体系中,信息安全的核心应该以风险评估为基准,不能以达标为目标。信息安全管理体系不仅要依赖IT手段,还必须跟其它所有管理体系,包括SOX法案等联合进行。
在风险评估方法中,可以采用定性或者定量的风险评估方法。然而,对于一般的企业来说,定量分析难度极大。倘若数据库积累不够,便无进行定量分析,企业必须积累3到5年,才可以尝试定量分析,否则没有获得数据积累的效益。
比较流行的方法是以资产驱动风险评估方法。应该盘点企业风险评估中所看重的企业资产,而这个过程将非常复杂。然而信息无处不在,要理清所有信息,难度也非常大。国际企业的惯例是要构筑安全体系,首先分析风险差异。一般先进行信息安全风险评估,然后定出解决方案,确认实践与完成风险处置计划的方案。
风险评估的方法,在ISO13335中有一个方法论,据此评估外部风险和内部的脆弱点。只有威胁和脆弱点都被评估出来,才能够保证安全。脆弱点是心肝肺出现问题,威胁是感冒和病毒,而它们结合才会产生风险。
在信息安全领域,还必须注意机密性、完整性和可用性。尤其是电信运营商,必须保证业务的不间断性,如果因为自身管理疏失,就会造成客户流失。尽管机密性、完整性、可用性跟信息安全无关,信息安全的定义很狭义,但这些都值得重视,要构筑信息安全体系,也并非只有IT手段。(T121)
