信息安全的人力防火墙

二、建立人力防火墙的过程

1、得到组织最高管理层的支持

    在我国习惯把信息化工程称为“一把手工程”，在组织中没有各级领导的重视，信息化建设是不可能取得成功的，在这一点上大家已达成共识，同样，在一个组织内实施信息安全也必须得到高层管理人员的重视，得到高层管理人员的认同和承诺有两个作用，一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻；二是可以得到有效的资源保证，比如实施有效安全过程的必要的资金与人力资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。

    要得到组织高层领导的支持，安全主管要善于“推销”安全计划，在与决策层进行有效沟通时，安全主管要注意两方面的问题：一是使企业组织高层相信信息安全并不是可有可无的摆设，它是组织战略一部分，是实现业务目标的加速器，缺乏信息安全保障的组织会面临极大的风险；避免使用技术性的语言，而要使用决策层可以充分理解的语言—投资回报，来使他们相信信息安全是可以为组织带来利益的，对信息安全的投资是有回报的。信息安全可以为组织带来两种效益：减少信息安全事故的经济损失而带来的价值效益和由于完备的信息安全体系而提升组织声誉、品牌的非价值效益。

    得到组织最高管理层的支持是建立人力防火墙的前提条件。

    
2、明确组织中的信息安全角色与责任

    在一个组织中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。

    首先要建立的是信息安全指导委员会，在我国许多企业也称之为信息安全领导小组，这个小组的组长一般要以企业的高层领导挂帅，结合各职能部门的主要负责人参加，它是主要职能是制订组织的信息安全中长期战略与信息安全方针，制订信息系统的获取、开发和运行的规则，审批信息安全项目投资预算，监督信息安全项目的实施，评审与监测信息安全措施的实施及安全事故的处理，协调各部门之间的与信息安全相关事务。
   
    其次是建立一支以信息安全主管为核心的、专业的信息安全管理的队伍。这支队伍一般由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后，为了加强对安全的统一管理，在美国有一种把安全保卫部门与信息安全部门合并的趋势，许多大公司设置一个首席安全官（Chief Security Officer）职位，负责包括信息安全在内的所有安全事宜。这种设置加强了安全管理的集中领导，强调了快速反应能力，但对首席安全官的管理素质、职业技能提出了全新的挑战。首席安全官不仅要负责日常的安全保卫工作(防灾、防盗、防破坏)，同时对信息安全有较深入的了解，对新技术的发展与各种新的安全威胁要有敏锐的感觉，要有较强的不断学习与挑战自我的能力。首席安全官不仅要深入理解组织业务，熟悉风险所在，而且要有良好的组织管理能力与沟通能力。

    有效的信息安全管理不仅要求企业安全主管与其下属的技术与管理队伍负起相应的责任，而且还需要把相应的安全责任落实到每一个员工身上，让员工知道组织中的信息安全不仅仅是信息安全专业人员的责任，每一位员工都负有相应的安全责任，如：新员工都要签订保密协议，员工要认真阅读组织的安全政策及工作描述中的安全规定；遇到安全事件要及时汇报并配合调查；使员工知道遵守安全政策是工作责任的一部分，违反安全政策会损害组织的利益并受到处罚。员工的安全职责应通过详细、明确的安全方针及政策来确定。这是建立人力防火墙的组织保证。

3、制定行动计划与预算计划

    安全主管上任后的第一件事，就是要“摸清家底”，看看组织的安全状况如何，分析组织的整个业务流程上存在哪些风险，有哪些信息资产需要保护，需要多大的投入，最后制定出包括信息安全教育计划在内的行动计划与预算计划。信息安全行动计划应包括以下几个方面：
    Ø 建立正式的信息安全组织
    Ø 业务调查与风险分析
    Ø 信息安全政策制订与实施
    Ø 与信息安全相关的人力资源政策的制订
    Ø 安全事件响应计划
    Ø 监控日常安全事务及员工对安全政策的遵循
    Ø 业务连续性计划及灾难恢复计划
    Ø 安全教育计划
    Ø 建设企业安全文化

    有足够资金支持的计划才是切实可行的计划，才能有效地落实信息安全所需要的人、财、物等资源的配置。行动计划、预算计划一定要合理，过高的安全预算会使安全失去意义，最好是结合投资回报分析，使企业决策者相信信息安全是企业战略的重要组成部分，是实现企业目标的加速器。合理的行动计划与预算计划为建立人力防火墙的可行性提供保证。

4、制定信息系统安全政策

    信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则，这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面，并符合ISO 17799 对信息系统安全的要求。信息安全政策要符合组织的业务目标及特定的环境要求，并使之被每个员工所理解和执行，这是实施信息安全的重要环节，是建立人力防火墙的政策依据。

    信息系统安全政策一般有以下几方面：
    Ø 保护硬件、外设及其他设备
    Ø 信息处理系统使用的媒介发放与回收
    Ø 控制对信息与系统的访问
    Ø 物理访问安全
    Ø 对信息与文档的处理
    Ø 购买与维护商业性软件
    Ø 开发与维护自主产权的应用软件
    Ø 防止网络犯罪
    Ø 符合法律与政策的要求
    Ø 业务持续性计划与灾难恢复计划
    Ø 对信息资产的分类
    Ø 职责分离
    Ø 职务的任期期限
    Ø 重要程序和数据的删除和销毁等
    Ø 处理保密信息
    Ø 与信息安全相关的人力资源有关事务
    Ø 控制电子商务的信息安全
    Ø 对员工实施培训及安全意识教育
    Ø 检测安全事件及对安全事件的响应
　　
    安全政策的制订完成后要上报董事会或最高管理层批准，并以书面方式发放到员工手中，通过安全教育计划使每个员工都知道他在组织中对信息安全所负的责任。目前传统的书面发送方式逐渐被电子方式所替代，安全政策经常被放置在组织的内部网上，这样可以使员工更方便地使用。

5、与安全相关的人力资源政策的制定

    今天的组织中员工在计算机方面很少受到严格的培训，每天都在以不安全的方式处理着企业的大量重要信息，他们都对企业的信息系统构成了潜在的威胁。许多对企业心存不满的员工把 “黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密的技术与商业数据，甚至破坏关键计算机系统作为对企业的报复行为，使企业蒙受了巨大的损失。因为这些员工非常了解企业的薄弱点，一般企业的安全系统对内部员工几乎是不设防的，这是非常危险的。

    因此除了技术的控制手段外，要制定合适的人力资源政策，加强对“人”的管理，对潜在的安全入侵者也是一种威慑及惩戒措施，这是建立人力防火墙的有效控制手段。
  
    有效的人力资源政策有以下几个方面：
    Ø 新员工的筛选，要考虑是否符合职位的信息安全的需要，要仔细验证新员工提供的证明材料及文凭是否真实。
    Ø 与新员工签署的劳动合同中要明确信息安全责任，使新员工从一开始就了解组织对信息安全的要求，这样容易在员工心目中形成较深的印象。
    Ø 对新员工进行岗前教育与培训，使员工在较短的时间内熟悉组织的信息安全政策与程序。