信息安全管理體系審核案例分析

隨著信息技術(shù)、數(shù)字技術(shù)和互聯(lián)網(wǎng)通訊技術(shù)的快速應(yīng)用和推廣，社會(huì)發(fā)展對(duì)信息化的依賴程度越來(lái)越大。從人們?nèi)粘Ｉ睢⑵髽I(yè)組織運(yùn)作到國(guó)家各方面的治理，信息資源都是不可或缺的資源和資產(chǎn)，在政治、經(jīng)濟(jì)、軍事、教育、科技、生活等方面發(fā)揮著相當(dāng)重要的作用。

但是近年來(lái)，信息安全威脅事件頻發(fā)，信息罪犯造成的經(jīng)濟(jì)損失快速增多，損失量位居全球第一。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。2023年4月，國(guó)務(wù)院國(guó)資委修訂印發(fā)的《中央企業(yè)負(fù)責(zé)人經(jīng)營(yíng)業(yè)績(jī)考核辦法》中將網(wǎng)絡(luò)安全作為央企負(fù)責(zé)人考核內(nèi)容的一部分。隨著《網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息管理辦法》和《信息安全等級(jí)保護(hù)管理辦法》等多部相關(guān)法律法規(guī)的頒布實(shí)施，信息安全已上升為國(guó)家戰(zhàn)略，作為國(guó)家安全的一部分，將其必要性和緊迫性排到了首位，既獨(dú)立又滲透于各行業(yè)領(lǐng)域當(dāng)中。

定義和范疇

信息安全是指對(duì)信息的保密性、完整性和可用性的保持。（注：另外，也可包括諸如真實(shí)性、可核查性、抗抵賴性和可靠性等其他特性）。

信息安全一般包括實(shí)體安全、運(yùn)行安全、信息安全和管理安全等4個(gè)方面的內(nèi)容。實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通訊與存儲(chǔ)介質(zhì)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等） 破壞的措施；過(guò)程運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急措施） 來(lái)保護(hù)信息處理過(guò)程的安全；信息安全是指防止信息資源的非授權(quán)泄露、更改、破壞，或使信息被非法系統(tǒng)辨識(shí)、控制和否認(rèn)，即確保信息的完整性、機(jī)密性、可用性和可控性；管理安全是指通過(guò)信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段，確保系統(tǒng)安全生存和運(yùn)營(yíng)。

經(jīng)典案例回顧

管理，除了行業(yè)本身，還有第三方的監(jiān)管，為市場(chǎng)和政府提供采信。依據(jù)標(biāo)準(zhǔn)GB/T 22080-2016/ISO/IEC 27000：2013，對(duì)企業(yè)進(jìn)行認(rèn)證，在對(duì)企業(yè)的信息安全管理體系的審核過(guò)程中，我們非常關(guān)注企業(yè)實(shí)施的典型案例，積累了大量的優(yōu)秀實(shí)施案例，結(jié)合標(biāo)準(zhǔn)具體條款（部分） 要求，筆者回顧和梳理了以下幾方面產(chǎn)生的良好實(shí)踐案例與讀者分享：

1.理解相關(guān)方的需求和期望

標(biāo)準(zhǔn)條款4.2：

組織應(yīng)確定：信息安全管理體系相關(guān)方；這些相關(guān)方與信息安全相關(guān)的要求。

注：相關(guān)方的要求課包括法律、法規(guī)要求和合同義務(wù)。

案例分析：

在某企業(yè)的ISMS手冊(cè)中看到了類似這樣的文字：“首先要解決里子問(wèn)題，其次要解決面子問(wèn)題，再次是其他問(wèn)題”。企業(yè)的首席信息安全官（CISO） 說(shuō)這是首席執(zhí)行官（CEO） 在面試他的時(shí)候向他提出的要求，他是這樣解讀的：防止客戶信息泄露到競(jìng)爭(zhēng)對(duì)手那里，造成業(yè)務(wù)的直接損失，這是里子問(wèn)題；防止公司面向互聯(lián)網(wǎng)開(kāi)放的各個(gè)系統(tǒng)被黑客篡改等，發(fā)生負(fù)面新聞，造成業(yè)務(wù)的間接損失，這是面子問(wèn)題。不得不說(shuō)，這位CEO雖然不懂信息安全的術(shù)語(yǔ)和細(xì)節(jié)，也沒(méi)讀過(guò)ISO 27001標(biāo)準(zhǔn)原文，但這句話非常清晰明確地點(diǎn)出了包括股東在內(nèi)的各相關(guān)方的需求和期望。

企業(yè)的CISO說(shuō)他的一切工作的起點(diǎn)，就是這句話，這恰好也是2013版ISO 27001相較于2005版新增的這一HLS條款的原意。

2.組織的角色，責(zé)任和權(quán)限

標(biāo)準(zhǔn)條款5.3：

最高管理層應(yīng)確保與信息安全相關(guān)角色的責(zé)任和權(quán)限得到分配和溝通；

最高管理層應(yīng)分配責(zé)任和權(quán)限，以確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求；向最高管理者報(bào)告信息安全管理體系績(jī)效。

注：最高管理層也可為組織內(nèi)報(bào)告信息管理體系績(jī)效，分配責(zé)任和權(quán)限。

案例分析：

企業(yè)的CISO說(shuō)他們公司原來(lái)把信息安全管理的職責(zé)放在了首席信息官（CIO） 分管IT部門下面的設(shè)備運(yùn)行維護(hù)部門下，因?yàn)樵缧┠甑男畔踩ぷ髦饕且恍┓?wù)請(qǐng)求，例如用戶口令重置和防火墻白名單設(shè)置相關(guān)的，后來(lái)發(fā)現(xiàn)很多安全事件是IT部門下的開(kāi)發(fā)部門的代碼沒(méi)寫好導(dǎo)致的，而這樣的架構(gòu)和層級(jí)對(duì)等關(guān)系導(dǎo)致了與開(kāi)發(fā)部門的溝通極其困難。再后來(lái)，CIO把信息安全工作從運(yùn)維部分出來(lái)，專門設(shè)立了CISO崗位和部門，與開(kāi)發(fā)部和運(yùn)維部等部門平級(jí)。雖然現(xiàn)在還是每天都在打架，尤其是跟IT部門之外的部門打交道的時(shí)候，但信息安全管理工作的推進(jìn)還是順暢很多。

企業(yè)的CISO對(duì)現(xiàn)狀的認(rèn)識(shí)也比較深刻：打架的根源在于IT部門的性質(zhì)是服務(wù)部門，核心職責(zé)是支撐好業(yè)務(wù)的運(yùn)行，而信息安全管理的性質(zhì)是踩剎車，是以平時(shí)給兄弟部門造成一系列小麻煩來(lái)防止突然有一天發(fā)生大麻煩。

3.規(guī)劃

標(biāo)準(zhǔn)條款6：

當(dāng)規(guī)劃信息安全管理體系時(shí)，組織應(yīng)考慮標(biāo)準(zhǔn)4.1中提到的事項(xiàng)和標(biāo)準(zhǔn)4.2中提到的要求，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：

確保信息安全管理體系可達(dá)到預(yù)期結(jié)果；

預(yù)防或減少不良影響；

達(dá)到持續(xù)改進(jìn)。

組織應(yīng)規(guī)劃：

應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；

如何將這些措施整合到信息安全管理體系過(guò)程中，并予以實(shí)現(xiàn)；

評(píng)價(jià)這些措施的有效性。

案例分析：

企業(yè)的CISO說(shuō)他們部門每年年初制定的年度工作計(jì)劃就是ISO 27001標(biāo)準(zhǔn)中要求的規(guī)劃，ISO 27001標(biāo)準(zhǔn)中要求的規(guī)劃也就是他們部門每年年初制定的年度工作計(jì)劃。

企業(yè)的CISO說(shuō)ISO 27001標(biāo)準(zhǔn)的條款6給他最大的價(jià)值就是幫他建立了一套制定規(guī)劃的方法和框架。用科學(xué)的基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的思路來(lái)寫，比之前簡(jiǎn)單地說(shuō)投入人力和資金做某項(xiàng)目更容易說(shuō)服上司。企業(yè)的人才和資金永遠(yuǎn)都是稀缺資源，別人說(shuō)服上司新建一條流水線都是用這樣的理由：投入1000萬(wàn)，3年就能回本，再之后就是XXX利潤(rùn)。信息安全管理工作是不能直接創(chuàng)造價(jià)值的，但可以通過(guò)減少損失的方式間接創(chuàng)造價(jià)值，比如CISO這樣說(shuō)服他的上司：

安全創(chuàng)造的年度價(jià)值=ALE安全投入前-ALE安全投入后-安全的年度投入成本

注1：上述公式的4個(gè)參數(shù)的單位都是人民幣；

注2：ALE是年度損失期望的英文縮寫，ALE=ARO× SLE；

注3：ALE的本質(zhì)就是風(fēng)險(xiǎn)；

注4：ARO的本質(zhì)就是標(biāo)準(zhǔn)條款6.1.2d）2；

注5：SLE的本質(zhì)就是標(biāo)準(zhǔn)條款6.1.2d）1。

4.遠(yuǎn)程工作

標(biāo)準(zhǔn)條款A(yù).6.2.2：

控制措施：應(yīng)實(shí)現(xiàn)相應(yīng)的策略及其支持性的安全措施，以保護(hù)在遠(yuǎn)程工作地點(diǎn)上所訪問(wèn)的、處理的或存儲(chǔ)的信息。

案例分析：

企業(yè)的CISO說(shuō)，ISO 27002的6.2.2條款提到了“虛擬桌面”，我們認(rèn)為這是個(gè)非常好的信息安全控制措施，雖然價(jià)格較貴。封閉是最好的保護(hù)。在虛擬桌面的工作環(huán)境下，所有的員工物理上觸摸的桌面和虛擬桌面之間是隔離的：物理桌面只是輸入設(shè)備和輸出設(shè)備，虛擬桌面才是計(jì)算設(shè)備和存儲(chǔ)設(shè)備。

我們?cè)O(shè)置了禁止磁盤映射后，從虛擬桌面就無(wú)法把文件傳回到物理桌面了，這大大降低了泄密風(fēng)險(xiǎn)。但虛擬桌面也有一些負(fù)面作用，例如確實(shí)工作上必要的文件傳輸，就要靠?jī)?nèi)網(wǎng)和外網(wǎng)間的文件服務(wù)器中轉(zhuǎn)加審批和審計(jì)，效率較低；例如一旦斷電斷網(wǎng)，就無(wú)法工作，所以我們加強(qiáng)了供電和網(wǎng)絡(luò)等的冗余。

5.資產(chǎn)清單

標(biāo)準(zhǔn)條款A(yù).8.1.1：

控制措施：應(yīng)識(shí)別信息以及與信息和信息處理設(shè)施相關(guān)的其他資產(chǎn)，并編制和維護(hù)這些資產(chǎn)的清單。

案例分析：

企業(yè)的CISO說(shuō)，雖然ISO 27001的2013版相較于2005版放棄了基于資產(chǎn)、威脅和脆弱性的風(fēng)險(xiǎn)評(píng)估方法，他們也不再使用那種微軟Excel表格制作的風(fēng)險(xiǎn)評(píng)估報(bào)告，但他認(rèn)為實(shí)時(shí)地摸清自己的家底還是很重要的。該企業(yè)的資產(chǎn)沒(méi)有按照硬件、軟件、服務(wù)、人員和聲譽(yù)之類的涇渭分明的分類方法，而是類似于CMDB，更強(qiáng)調(diào)CI之間的關(guān)聯(lián)關(guān)系和依賴關(guān)系等，也更強(qiáng)調(diào)實(shí)時(shí)性和準(zhǔn)確性。

該企業(yè)的資產(chǎn)清單不是一個(gè)表格，而是一個(gè)可以在任意節(jié)點(diǎn)點(diǎn)擊鉆取的網(wǎng)狀結(jié)構(gòu)的系統(tǒng)，該系統(tǒng)的數(shù)據(jù)主要來(lái)源于持續(xù)集成系統(tǒng)的各種發(fā)布，少量來(lái)源于本地掃描、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)流量抓包等技術(shù)手段，人工的增減刪改原則上是禁止的。該企業(yè)的資產(chǎn)屬性包括了：域名、IP、端口、接口、通用軟件包、責(zé)任人等。

企業(yè)的CISO說(shuō)，假如fastjson的某個(gè)版本被曝出存在安全漏洞，可以在幾秒鐘內(nèi)列出受影響的業(yè)務(wù)、系統(tǒng)、域名、ip、磁盤文件路徑等。

結(jié)語(yǔ)

數(shù)字化、信息化和互聯(lián)網(wǎng)技術(shù)的技術(shù)應(yīng)用在快速發(fā)展，但凡涉及有數(shù)據(jù)、有信息化和有互聯(lián)網(wǎng)應(yīng)用的企業(yè)都會(huì)涉及信息安全的管理。實(shí)踐證明，單純采用技術(shù)手段來(lái)保護(hù)信息和信息系統(tǒng)安全的作用是有限的，在缺乏良好管理的支撐下，有些技術(shù)甚至是無(wú)效的。通過(guò)信息安全管理體系并結(jié)合各種適用的控制措施（包括管理、技術(shù)和運(yùn)行三方面） 才是組織信息安全的真正保障。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202011/ccaa_11186.html