一、信息安全建设的缺憾
信息化时代,信息安全事件频发,风险无处不在。我们从技术保障、管理控制、体系建设等方面,一直进行着不懈努力。然而,信息安全建设投入大、效果却不尽人意。
许多机构认为,信息安全就是安装部署硬件和软件,并作一些技术控制,但管理层往往失望地发现并没有达到预期目标。尽管他们作了一些防火墙策略、防病毒策略等,但不成体系,难以适应不同的产品和应用,往往导致重复建设。
我们常说:三分技术、七分管理。但实际上,信息安全管理很难真正落实到位。机构设置、岗位和角色划分、制度规定、执行与监督检查等,都存在落实问题。对于信息安全管理规定,业务人员嫌麻烦,也不愿承担责任,落实效果大打折扣。
在我国,普遍遵循信息系统安全等级保护、涉密信息系统分级保护、信息安全管理体系要求(GB/T22080 idt ISO27001)及信息安全控制实施细则(GB/T22081 idt ISO27002)等标准。然而,各种标准为保证普适性,很难规定得太过具体,这就给信息安全体系建设带来诸多困难,效果也参差不齐。
二、制定信息安全策略,指导信息安全建设
信息安全策略(Information Security Policy)是信息安全总体需求和具体措施的描述,其宗旨是明确信息安全目标、要求和实现途径,指导信息安全建设。信息安全策略是信息安全技术、管理、体系建设的指针。如同交通规则的重要性一样,信息安全策略同样重要。
信息安全策略应由信息安全管理人员编制,管理层应充分重视,协调和督导相关部门参与和执行。首先,应明确总体需求,制定总体安全策略。在此指导下,综合技术、管理、系统、业务、法规等,编制出文档化的信息安全策略。制定策略时,应采用“必须”、“不得”等措辞,避免含糊其辞,保证执行过程有章可循。
我们参考《信息安全策略编制指南》,随意选取一项“使用密码控制”为例:
首先,明确总体目标为:“应制定和执行一项使用密码控制的策略来保护信息的安全”。
其次,规定一系列具体策略:(1)除非得到信息安全经理批准,不得使用加密程序对数据信息加密,以防造成信息损坏、损毁或不能使用;(2)如使用加密技术,须采用政府批准的加密算法和实现方法,确保合规,并保证与其它系统的一致性;(3)不得将密钥保存在生产计算机的内存、缓冲区或寄存器中,而应保存在安全模块或其他专用设备等硬件设备,以预防黑客入侵窃取密钥。……
《信息安全策略编制指南》(Information Security Policies Made Easy)是一部信息安全策略工具书,通过1700多个策略和几十个实例,阐述了各种信息安全策略,极具参考价值。
