随着商业竞争的日趋激烈,银行业务量日趋庞大,电子化操作日益普及,银行业金融机构日益频繁地运用现代信息、通信技术集成的处理业务、经营管理和内部控制的信息系统,机构对信息技术的依赖性与日俱增。来源于不同渠道的内部和外部风险时刻威胁着银行的系统信息的机密性、完整性和可用性。如何确保系统的安全问题,防范各类安全风险也成为该机构所关注的重要问题之一。
能否运用案例说明怎样在国标指导下构建信息安全管理体系?
1.项目背景
某银行A具有悠久的经营历史,在全国设有多家分支机构,并在香港、新加坡、东京等地设有分行。该行经营的业务主要包括:向公司客户、政府客户和金融机构客户提供包括公司类贷款、贸易融资、存款、代理服务以及咨询、现金管理、汇款与结算、托管以及担保服务等多重金融机构产品和服务;向私人客户提供个人贷款、存款、银行卡、个人理财以及汇款和证券代理服务等金融产品和服务;此外还有管理投资组合、外汇衍生工具交易等资金业务。
随着商业竞争的日趋激烈,银行业务量日趋庞大,电子化操作日益普及,银行业金融机构日益频繁地运用现代信息、通信技术集成的处理业务、经营管理和内部控制的信息系统,机构对信息技术的依赖性与日俱增。来源于不同渠道的内部和外部风险时刻威胁着银行的系统信息的机密性、完整性和可用性。如何确保系统的安全问题,防范各类安全风险也成为该机构所关注的重要问题之一。
在和中国IT治理研究中心(ITGov)沟通的过程中,A银行逐渐认识到:企业仅仅通过应用最新的工具和技术来解决所面临的信息安全问题是远远不够的。因为信息安全问题变得越来越复杂,并且很少仅用一种技术来解决。大多数安全问题深深的植根于多个组织分支和业务流程中。当前所用的大多数方法都是“自下而上”的、“补丁式”的、操作层面的,较少考虑治理层面需要、组织战略目标、业务流程风险管控目标及合规问题。当前最迫切的是需要一个与公司治理相一致的信息安全治理的机制和框架。
虽然客户并未要求通过ISO27001认证,但该机构着眼于长远发展要求,决定建立信息安全治理的长效机制,实现该机构对信息系统风险的识别、计量、评价和控制,提高信息安全水平,增强核心竞争力和可持续发展能力。
(由于涉及到机密信息,对案例进行了简化)。
2.实施步骤
在中国IT治理研究中心(ITGov)的指导下,通过对国内外信息安全和最佳实战的深入研究,公司意识到关键是要建立一套能够涵盖组织信息安全的制度安排机制,它包括信息安全治理体制、治理机制和治理框架,这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准,并且和相关的法律和规范一致。ISO27001作为领域的一个权威标准,是全球业界一致公认的辅助信息安全治理的手段。与此同时,为了满足内审要求,COBIT作为IT审计的标准,对IT风险审计也起到良好的导向作用。ITGov自主创新的“中国企业IT治理框架”,是在中国国情下研制的适合中国企业的IT治理框架,也是“中学为体、西学为用” 指导思想的具体体现。公司高层经反复讨论,确立了信息安全体系范围和策略,组建了信息安全组织,设计了信息安全策略,并以 “ITGov中国企业IT治理框架”为信息安全治理的框架,以COBIT为主要参照,以ISO27001为框架中要构建的信息安全管理体系,建立治理型的信息安全模型和信息安全管理体系。(关于“治理型的信息安全模型”中的体制、机制和框架,本案例从略)。
在构建信息安全管理体系过程中,该机构始终强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。而ISO27001标准基于风险管理的思想,指导组织建立信息安全管理体系。
信息安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
该机构实施信息安全管理体系的主要步骤如下:
(1)定义信息安全策略
该机构制定了明确的信息安全策略作为信息安全的最高方针,并制定了信息安全策略文件,分别适用于不同的子公司或各分支机构。该信息安全策略简单明了,并作为书面文件发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(2)定义信息安全管理体系的范围
该机构根据自己的实际情况,确定在整个组织范围内架构信息安全管理体系,同时将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。针对这些安全控制领域,确定安全的主要风险点,构建安全风险指标体系,如表8-2所示。
表8
|
高层安全管理目标(ISG) |
信息安全风险点编号 |
信息安全主要风险点 |
|
信息系统安全策略 ISG1 |
ISG1-R1 |
信息系统安全策略文献 |
|
ISG1-R2 |
安全策略的审查及评价 |
|
|
定义信息安全架构 ISG2 |
ISG2-R1 |
信息安全体系结构模型 |
|
ISG2-R2 |
信息资产分类机制 |
|
|
ISG2-R3 |
安全等级确定 |
|
|
人员组织的安全管理 ISG3 |
ISG3-R1 |
信息系统计划或指导委员会 |
|
ISG3-R2 |
系统安全功能的组织性布置 |
|
|
ISG3-R3 |
安全任务和职责 |
|
|
ISG3-R4 |
质量保证职责 |
|
|
ISG3-R5 |
逻辑和物理安全性职责 |
|
|
ISG3-R6 |
所有人与管理者身份 |
|
|
ISG3-R7 |
数据和系统的所有权 |
|
|
ISG3-R8 |
安全监督管理 |
|
|
ISG3-R9 |
职责分离 |
|
|
ISG3-R10 |
信息系统职员安全管理 |
|
|
ISG3-R11 |
信息系统职员的工作和职位描述 |
|
|
ISG3-R12 |
关键IT人员 |
|
|
ISG3-R13 |
员工管理方法 |
|
|
确保与外部安全需求的一致性 ISG4 |
ISG4-R1 |
外部需求评审 |
|
ISG4-R2 |
满足外部需求的方法 |
|
|
ISG4-R3 |
安全与人类环境的一致性 |
|
|
ISG4-R4 |
隐私、知识产权与数据流动 |
|
|
ISG4-R5 |
电子贸易 |
|
|
ISG4-R6 |
保险合同的问题 |
|
|
第三方信息安全保证 ISG5 |
ISG5-R1 |
IT服务的独立安全性和内部控制证书/授权 |
|
ISG5-R2 |
第三方服务提供者的独立安全性和内部控制证书/授权 |
|
|
ISG5-R3 |
IT服务的独立有效性评估 |
|
|
ISG5-R4 |
第三方服务提供者的独立有效性评估 |
|
|
ISG5-R5 |
与所需要的法律法规以及合同承诺相一致的独立性保证 |
|
|
ISG5-R6 |
第三方服务者提供的与所需要的法律法规以及合同承诺相一致的独立性保证 |
|
|
ISG5-R7 |
独立保证功能的能力与权限 |
|
|
ISG5-R8 |
审计的积极参与 |
|
|
安全质量管理 ISG6 |
ISG6-R1 |
安全质量保证计划的制定 |
|
ISG6-R2 |
安全质量保证方法 |
|
|
ISG6-R3 |
是否符合IT标准和过程的质量保证评审 |
|
|
ISG6-R4 |
系统开发生命周期中的安全问题 |
|
|
ISG6-R5 |
协调和沟通 |
|
|
ISG6-R6 |
技术基础设施框架结构的获取与维护 |
|
|
ISG6-R7 |
与第三方实施者的关系 |
|
|
ISG6-R81 |
程序文档的标准 |
|
|
ISG6-R9 |
程序测试标准 |
|
|
ISG6-R10 |
系统测试标准 |
|
|
ISG6-R11 |
平行或先验测试 |
|
|
ISG6-R12 |
系统测试文档 |
|
|
ISG6-R13 |
安全质量保证评估 |
|
|
ISG6-R14 |
安全质量标准 |
|
|
ISG6-R15 |
质量保证评审报告 |
|
|
系统的安全需求 ISG7 |
ISG7-R1 |
安全风险分析 |
|
ISG7-R2 |
应用系统中的安全 |
|
|
ISG7-R3 |
第三方服务的安全 |
|
|
ISG7-R4 |
技术可行性研究 |
|
|
ISG7-R5 |
经济可行性研究 |
|
|
应用软件的获取和维护 ISG8 |
ISG8-R1 |
设计方法 |
|
ISG8-R2 |
现有系统的主要变化 |
|
|
ISG8-R3 |
设计批准 |
|
|
ISG8-R4 |
文件需求的定义和文档化 |
|
|
ISG8-R5 |
程序规格说明 |
|
|
ISG8-R6 |
源数据收集设计 |
|
|
ISG8-R7 |
输入需求定义和文档化 |
|
|
ISG8-R8 |
界面定义 |
|
|
ISG8-R9 |
人机界面 |
|
|
ISG8-R10 |
处理过程需求定义和文档化 |
|
|
ISG8-R11 |
输出需求定义和文档化 |
|
|
ISG8-R12 |
控制能力 |
|
|
ISG8-R13 |
作为关键设计因素的可用性 |
|
|
ISG8-R14 |
应用程序软件中的IT完整性规定 |
|
|
ISG8-R15 |
应用软件测试 |
|
|
ISG8-R16 |
用户参考和支持资料 |
|
|
ISG8-R17 |
对系统设计的重新评估 |
|
|
技术设施的获取和维护 ISG9 |
ISG9-R1 |
对新硬件新软件的评估 |
|
ISG9-R2 |
对硬件的预防性维护 |
|
|
ISG9-R3 |
系统软件安全 |
|
|
ISG9-R4 |
系统软件安装 |
|
|
ISG9-R5 |
系统软件维护 |
|
|
ISG9-R6 |
系统软件变动控制 |
|
|
ISG9-R7 |
使用和监控系统设施 |
|
|
安全文档的制作与维护 ISG10 |
ISG10-R1 |
操作要求和服务层次 |
|
ISG10-R2 |
用户程序手册 |
|
|
ISG10-R3 |
操作手册 |
|
|
ISG10-R4 |
培训资料 |
|
|
系统安装与授权 ISG11 |
ISG11-R1 |
安全培训 |
|
ISG11-R2 |
确定应用程序运行领域 |
|
|
ISG11-R3 |
实施计划 |
|
|
ISG11-R4 |
系统安全转换 |
|
|
ISG11-R5 |
数据安全转换 |
|
|
ISG11-R6 |
测试策略和计划 |
|
|
ISG11-R7 |
对变化改动的测试 |
|
|
ISG11-R8 |
平行或先验测试准则和绩效 |
|
|
ISG11-R9 |
最终接受度测试 |
|
|
ISG11-R10 |
安全测试和授权 |
|
|
ISG11-R11 |
操作测试 |
|
|
ISG11-R12 |
提升到产品 |
|
|
ISG11-R13 |
用户需求满足度评价 |
|
|
ISG11-R14 |
管理部门的实施后评审 |
|
|
安全变更管理 ISG12 |
ISG12-R1 |
改变初始需求和控制 |
|
ISG12-R2 |
影响评估 |
|
|
ISG12-R3 |
变动控制 |
|
|
ISG12-R4 |
紧急改动 |
|
|
ISG12-R5 |
文档和程序 |
|
|
ISG12-R6 |
经授权的维护 |
|
|
ISG12-R7 |
软件发布策略 |
|
|
ISG12-R8 |
软件分发 |
|
|
第三方服务的安全管理 ISG13 |
ISG13-R1 |
供应商界面 |
|
ISG13-R2 |
与企业过程拥有者的关系 |
|
|
ISG13-R3 |
与第三方的合同 |
|
|
ISG13-R4 |
第三方资质 |
|
|
ISG13-R5 |
外包合同 |
|
|
ISG13-R6 |
服务连续性 |
|
|
ISG13-R7 |
安全关系 |
|
|
ISG13-R8 |
监控 |
|
|
服务连续性的保障 ISG14 |
ISG14-R1 |
信息系统服务连续性的框架结构 |
|
ISG14-R2 |
信息系统服务连续性的计划策略和方法 |
|
|
ISG14-R3 |
信息系统服务连续性计划内容 |
|
|
ISG14-R4 |
信息系统维持连续性的最低要求 |
|
|
ISG14-R5 |
连续性计划的维护 |
|
|
ISG14-R6 |
连续性计划的测试 |
|
|
ISG14-R7 |
连续性计划培训 |
|
|
ISG14-R8 |
连续性计划分发 |
|
|
ISG14-R9 |
用户部门选择性的备份处理过程 |
|
|
ISG14-R10 |
关键IT资源 |
|
|
ISG14-R11 |
备份站点和硬件 |
|
|
ISG14-R12 |
异地备份 |
|
|
ISG14-R13 |
综合过程 |
|
|
系统安全控制 ISG15 |
ISG15-R1 |
安全评估方法的管理 |
|
ISG15-R2 |
识别、认证和访问控制 |
|
|
ISG15-R3 |
数据在线访问的安全性 |
|
|
ISG15-R4 |
用户账户管理 |
|
|
ISG15-R5 |
用户账户的管理评审 |
|
|
ISG15-R6 |
用户账户的自我控制 |
|
|
ISG15-R7 |
安全监督 |
|
|
ISG15-R8 |
数据分类 |
|
|
ISG15-R9 |
中央识别和访问权限管理 |
|
|
ISG15-R10 |
侵害和安全活动报告 |
|
|
ISG15-R11 |
事故处理 |
|
|
ISG15-R12 |
重新授权 |
|
|
ISG15-R13 |
双方信任 |
|
|
ISG15-R14 |
事务处理认证 |
|
|
ISG15-R15 |
不可否认 |
|
|
ISG15-R16 |
信任路径 |
|
|
ISG15-R17 |
安全功能的保护 |
|
|
ISG15-R18 |
密钥管理 |
|
|
ISG15-R19 |
恶意软件的预防、探测和改正 |
|
|
ISG15-R20 |
防火墙体系结构和与公共网的连接 |
|
|
ISG15-R21 |
电子财产的保护 |
|
|
用户的安全培训与教育 ISG16 |
ISG16-R1 |
确认培训需求 |
|
ISG16-R2 |
培训机构/组织 |
|
|
ISG16-R3 |
安全原则和认识培训 |
|
|
安全配置管理 ISG17 |
ISG17-R1 |
配置记录 |
|
ISG17-R2 |
配置基线 |
|
|
ISG17-R3 |
状态统计 |
|
|
ISG17-R4 |
配置控制 |
|
|
ISG17-R5 |
未授权的软件 |
|
|
ISG17-R6 |
软件存储 |
|
|
ISG17-R7 |
配置管理方法 |
|
|
ISG17-R8 |
软件可用性 |
|
|
错误及意外管理 ISG18 |
ISG18-R1 |
问题管理系统 |
|
ISG18-R2 |
问题的汇报 |
|
|
ISG18-R3 |
问题跟踪和审计追踪 |
|
|
ISG18-R4 |
紧急和临时访问认证 |
|
|
ISG18-R5 |
紧急处理的优先级 |
|
|
数据管理 ISG19 |
ISG19-R1 |
数据处理过程的错误处理 |
|
ISG19-R2 |
输出处理和保存 |
|
|
ISG19-R3 |
输出分发 |
|
|
ISG19-R1 |
输出平衡和协调 |
|
|
ISG19-R2 |
输出评审和错误处理 |
|
|
ISG19-R3 |
输出报告的安全规定 |
|
|
ISG19-R4 |
在传输过程中对敏感信息的保护 |
|
|
ISG19-R5 |
保护丢弃的敏感信息 |
|
|
ISG19-R6 |
存储管理 |
|
|
ISG19-R7 |
保存周期和存储项 |
|
|
ISG19-R8 |
媒体库管理系统 |
|
|
ISG19-R9 |
媒体库管理职责 |
|
|
ISG19-R10 |
备份和恢复 |
|
|
ISG19-R11 |
备份工作 |
|
|
ISG19-R12 |
备份存储地方 |
|
|
ISG19-R13 |
档案文件 |
|
|
ISG19-R14 |
敏感消息的保护 |
|
|
ISG19-R15 |
认证和完整性 |
|
|
ISG19-R16 |
电子事务的完整性 |
|
|
ISG19-R17 |
存储数据的持续完整性 |
|
|
ISG19-R18 |
数据准备步骤 |
|
|
ISG19-R19 |
源文档认证步骤 |
|
|
ISG19-R20 |
源文档数据收集 |
|
|
ISG19-R21 |
源文档错误处理 |
|
|
ISG19-R22 |
源文档的保存期限 |
|
|
ISG19-R23 |
数据输入认证方法 |
|
|
ISG19-R24 |
准确性、完整性和认证检查 |
|
|
ISG19-R25 |
数据输入错误处理 |
|
|
ISG19-R26 |
数据处理的完整性 |
|
|
ISG19-R27 |
数据处理的确认和编辑 |
|
|
设备管理 ISG20 |
ISG20-R1 |
物理安全 |
|
ISG20-R2 |
信息系统场所的外观隐秘性 |
|
|
ISG20-R3 |
访问者陪同 |
|
|
ISG20-R4 |
个人健康和安全 |
|
|
ISG20-R5 |
保护不受环境因素的影响 |
|
|
ISG20-R6 |
不间断的电源供应(UPS) |
|
|
操作管理 ISG21 |
ISG21-R1 |
处理操作程序和使用说明书 |
|
ISG21-R2 |
启动过程和其他操作文档 |
|
|
ISG21-R3 |
工作时间安排 |
|
|
ISG21-R4 |
与标准工作安排的偏差 |
|
|
ISG21-R5 |
处理过程连续性 |
|
|
ISG21-R6 |
操作日志 |
|
|
ISG21-R7 |
保护特殊表单和输出装置 |
|
|
ISG21-R8 |
远程操作 |
|
|
过程的安全监控 ISG22 |
ISG22-R1 |
收集监控数据 |
|
ISG22-R2 |
绩效评估 |
|
|
ISG22-R3 |
客户满意度评估 |
|
|
ISG22-R4 |
管理报告 |
|
|
内控评价 ISG23 |
ISG23-R1 |
内部控制监控 |
|
ISG23-R2 |
内部控制的及时操作 |
|
|
ISG23-R3 |
内控水平的报告 |
|
|
ISG23-R4 |
操作安全性和内部控制保证 |
资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn
(3)进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。围绕所列风险点指标体系,根据该机构所列出的技术标准、规范、以及风险损失额的范围界定等等,对每项风险进行描述,对风险发生的频率以及风险的损失额进行评估。风险评估的结果是一个系统所有安全风险的列表,同时包括各种风险的发生频率和风险损失程度。如表8-3所示。
表8-3 信息安全风险评估列表
|
风险点编号 |
风险描述 |
风险发生频率 |
风险损失程度 |
|
ISG1-R1 |
由于缺少信息安全管理策略,导致企业上下对信息资产保护缺乏有力措施 |
低 |
高 |
|
ISG1-R2 |
由于未对信息系统安全策略进行定期审查与更新,导致安全策略难以应对新出现风险 |
低 |
较低 |
|
ISG2-R1 |
… |
… |
… |
风险点编号 风险描述 风险发生
频率 风险损失程度
ISG1-R1 由于缺少信息安全管理策略,导致企业上下对信息资产保护缺乏有力措施 低 高
ISG1-R2
由于未对信息系统安全策略进行定期审查与更新,导致安全策略难以应对新出现风险 低 较低ISG2-R1 … … …
资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn
(4)确定管控目标和选择管控措施
根据风险评估的结果进行相应的风险控制。风险控制要求针对每个风险,都要有相应的控制措施与之相对应。有些控制是在系统开发过程中就要添加的,如安全结构设计等;也有些控制是预先准备而不必添加的,如灾难的对策等。但不论是哪一种控制,都要在风险管理中预先设计,否则当风险事件发生时缺乏相应的安全控制对策,其结果是不堪想象的。
为了确保能对所有的风险进行适度而有效的管控,该机构制定了集成的风险控制策略。在制定集成控制策略时,该公司针对风险分析报告中的风险列表,制定一个相应的控制列表,这两个表可能是一对一的,也可能是一对多的,即一种风险对应几种控制,当一种控制不够理想或因意外原因无法实施时,相应的替代方案可以缓解风险。
确定控制的优先选择应该是一个理性的过程,这里面涉及到风险额与控制成本的比较的问题。因为控制是需要一定的成本的,当控制的成本大小风险额的值时,实施控制是无意义的。因此,机构确定管控措施的选择原则是费用不超过风险所造成的损失。对于某个风险,有若干个控制方案时,控制方案评价就要对每个方案测定控制效果与估算控制成本。但并非意味着风险额最大的风险就应当最先控制。通过分析与评价,系统整体与风险的整合,构建效果好的控制方案,这能使控制成本降低,同时也可使维护费用降低,是经济的实用的方法。
在ITGov的帮助下,该机构经过业务部门和IT部门的反复讨论和认真梳理,建立了与表8-4相对应的信息安全管控措施列表,即建立起了完整的风险管理档案。部分如表8-4所示。
|
高层安全管理目标(G) |
风险点编号 |
信息安全 主要控制措施 |
风险控制成本 (低,中,高) |
风险控制类型 |
剩余风险(很高,高,中,低,很低) |
|
信息系统 安全策略 G1 |
ISG1-R1 |
制定了公司范围内的信息安全管理章程,并以文档形式发送给各分支机构。 |
低 |
预防性 |
很低 |
|
ISG1-R2 |
定期审查安全策略的执行情况 |
低 |
预防性 |
低 |
|
|
定义信息 安全架构 G2 |
ISG2-R1 |
采用了ISO27001的信息安全体系 |
中 |
预防性 |
很低 |
|
ISG2-R2 |
建立了信息资产分类机制,将信息资产划分为软件、硬件、电子数据、实体信息、办公设施、人员、其他资产等七类,并明确各类资产所有者的责任。 |
中 |
预防性 |
低 |
|
|
ISG2-R3 |
建立了各类信息资产的密级以及各级别信息的访问权限。 |
低 |
预防性 |
很低 |
|
|
人员组织的安全管理G3 |
… |
… |
… |
|
… |
资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn
(5)准备信息安全适用性声明
信息安全适用性声明记录了组织内相关的风险管控目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有必要管制的风险控制在能够被接受的范围内。
(6)持续发展
风险管理是一个循环反复的过程,在一个风险管理周期结束后,应对风险管理的效果进行跟踪。跟踪实际上也是一个评价的过程,在跟踪时,参照风险分析报告,检查是否有遗漏的风险或风险评估不准确的地方,必要时及时改正,并把结果和反馈到风险防范与控制中来,及时调整控制策略。该机构认识到,即使组织的信息安全管理体系得以建立实施,甚至通过认证,为使信息安全管理体系保持有效,组织仍然需要通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正、预防行动及管理评审信息来持续地维护和改善。因为组织信息系统所处的内外环境是不断变化的,组织信息资产所面临的风险也是一个变数,要想将风险控制在组织可以接受的水平,持续改进是组织必须坚持的信息安全管理原则。
3.实施效果
目前,该机构已经完成了治理型信息安全风险管理框架及体系的构建,并投入实际运行,较好地保障了业务的快速发展,从容地面对各类合规检查,为构建信息安全治理长效机制,奠定了坚固的基石。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved