各行業(yè)許多企業(yè)都根據(jù)業(yè)務所需選擇不同的國際、國內(nèi)標準搭建了信息安全管理體系(ISMS),無論是基于國際信息安全標準ISO27000,還是基于國家標準國家等級保護測評準則的要求,信息安全管理體系(ISMS)的建立并不是一蹴而就的。在建立信息安全管理體系(ISMS)過程中企業(yè)會投入很多資源進行資產(chǎn)收集、風險評估、采取種種控制措施降低風險、且制定相關的管理制度規(guī)范以降低企業(yè)風險,提升員工信息安全意識,從而達到提升企業(yè)整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實處,而不僅僅停留在一年一到兩次的風險評估、突擊性的控制措施實施和一套看似完備的信息安全管理制度,這可能是許多信息安全管理體系管理者經(jīng)常思考且關注的話題。就此話題,我想簡單總結一下在這方面的經(jīng)驗,希望籍此能啟發(fā)您的更多靈感。
通知公告
通過信息安全相關公告通知發(fā)放的方式,在企業(yè)中滲透信息安全各方面的信息和知識,逐漸形成信息安全無處不在的工作氛圍,提升全員信息安全意識。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關要求的發(fā)布;近期信息安全相關新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定,通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺、電子郵件、電子期刊等形式均可。
帳號管理
建議企業(yè)對各類帳號進行嚴格管理,包括基本帳號(員工入職后默認都需開通的帳號,例如郵箱帳號,OA帳號,所在部門的公共文件夾等)、工作所需的各類應用系統(tǒng)帳號(通常根據(jù)崗位職責所需開通的帳號)、特殊權限的帳號(例如應用系統(tǒng)管理員的帳號,數(shù)據(jù)庫管理員的帳號,域管理員的帳號等),VPN等特殊應用的帳號。從管理角度,不同類別的帳號申請需要不同級別的管理人員授權,一方面企業(yè)需清晰識別各類賬號并定義申請流程和授權方式;同時也需要保留必要的申請記錄以便查證,及測量體系實施的有效性。從使用角度,需要加強對員工的培訓并制定必要的規(guī)范(例如不允許帳號共享,密碼定期修改等策略),以確保帳號不被濫用誤用,從而降低信息安全事件的發(fā)生。
人員安全
員工作為企業(yè)信息使用和傳遞的重要載體,員工變動可能會給企業(yè)的信息安全帶來很大影響。在員工發(fā)生變動,即員工入職、轉(zhuǎn)崗和離職幾個關鍵點進行控制,可大大降低其對企業(yè)信息安全的影響。因此在入職前,許多企業(yè)會對關鍵崗位的員工進行背景調(diào)查并形成記錄,簽訂保密協(xié)議等;發(fā)生內(nèi)部職責變動時,要求員工填寫工作交接單,刪除其原有崗位賬號等措;離職時,要求員工填寫離職交接單,清理數(shù)據(jù),歸還物品。同樣,在這些關鍵點,企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。
設備安全
通常企業(yè)在資產(chǎn)管理方面相對完善,但對設備自身的信息安全管理相對弱很多,IT設備承載大量的企業(yè)信息數(shù)據(jù),在維護過程中無論是對設備自身進行的更換、更新,還是對其承造的系統(tǒng)、應用和數(shù)據(jù)進行的配置調(diào)整、結構調(diào)整等變更均有可能對其中的信息數(shù)據(jù)造成不利影響,甚至有可能導致應用不能使用影響到企業(yè)的正常業(yè)務操作。因為對IT設備變更進行控制是至關重要的,在實施變更前,須根據(jù)變更的緊急程度和可能帶來的影響程度進行變更分類和風險評估,制定詳細的變更計劃并得到相應級別的授權;變更實施后須對變更結果進行記錄且進行回顧,以確保變更實施的成功和經(jīng)驗總結,具體實施方法可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準。