一個企業如果需要建立信息安全體系架構,一般的流程如下:
1、分析企業的信息安全目標,即企業在未來的3-5年的安全目標是什麼?在信息安全方面達到什麼樣的程度?
2、有了安全目標之後,下一步我們要做的就是分析企業目前的安全現狀,此階段一般通過風險評估等方式來實現,可選的方式有風險評估、安全審計、滲透測試等。
3、分析了安全現狀,我們接下來要做的就是分析安全目標和安全現狀之間的差距,目標有了,現狀也清楚了,差距自然而然也就出來了。差距分析階段主要是分析企業目前的安全現狀和目標之間還存在哪些薄弱點,並一一列舉出來,差距分析主要從組織安全、人員安全、訪問控制、物理安全、安全事件、業務連續性等方面來展開。
4、在我們得到差距之後,我們就要為企業設計安全體系架構了,一套完整的信息安全體系架構,應包括技術體系架構和管理體系架構,技術體系架構主要是指從網絡、系統層面來設計,譬如分析企業目前的網絡架構是否合理?產品的部署是否到位?而管理體系架構主要是指信息安全的制度建設,俗話說“無規矩不成方圓”,安全問題歸根結底就是管理的問題,很多安全事件的發生都是因為管理不到位而產生的。譬如弱口令,如果企業的安全制度裡有明確的要求,密碼為6位,並應包括數字、字母、特殊字符等,這樣完全是可以避免弱口令的現象,再譬如補丁更新不及時、ACL 做的不夠等等諸如此類的問題,很大程度都是因為管理不到位。在我們的評估項目中,我們發現很多時候並不是技術上不可達,而是管理意識不到位。這裡出現的比較多的是企業的高層領導的安全意識薄弱,對安全這一塊基本沒什麼概念,對於管理員或安全部門提出的安全建議認為沒有必要等等。很多安全的措施在很多企業都會出現實施難的問題,因為安全措施在很大程度上會給員工造成不便,員工都會出現抵觸的情緒,在這種情況下,就需要公司的高層通過管理制度來推行安全措施,所以又歸結到管理的問題上來。
對於企業來說,如上的這些現象一般出現在中小型企業,這些企業的資金比較缺乏,在公司沒有出現大的安全事件的時候,公司高層一般是不考慮在安全方面加大投資的,而在大型企業,隨著規模的不斷壯大,網絡已經成為這些企業不可缺少的部分,如果一旦出現安全事件,將會給企業造成嚴重的損失,如客戶資料丟失、財務數據洩密、企業形象受損等等,而大型企業的資金也比較雄厚,在安全方面的投資也就相對較多了。
另外我們在設計信息安全體系架構時,應充分結合企業目前的安全現狀和相關法律法規的要求,並應考慮企業的運營成本等問題,最後需要考慮就是信息安全體系架構設計的可執行性了,不能出現一套體系出來之後,發現根本沒有聯系企業目前的安全現狀,方案的可執行性太差等問題。( 素材 )
5、在我們建立了信息安全體系架構之後,最後的階段就是實施了。在實施中,還是需要企業高層的大力支持,才能順利進行,因為信息安全體系架構的實施和運行,比如會跨越不同的部門,在部門與部門的協調上,就需要上層領導的協調了。
6、最後階段就是 Check,信息安全體系架構應遵循 PDCA 的模型。我們應及時跟蹤分析信息安全體系的建設情況,查漏補缺,及時發現不足和存在的問題,在後期的運行維護中及時修正。