Information Security Management of Digital Libraries Based on the ISO 27001:2013 and ISO 27002:2013
Abstract The 2013 version of ISO 27000 standards was compared with that of 2005 and the influence of the standards change on risk assessment and risk control of digital library information security was analyzed, and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013. Based on the analysis of the core control elements and reference ones one by one, this article built the information security risk control method of the digital library according to the new version standards.
Key words digital library; information security; ISO 27000; ISO 27001; ISO 27002; risk management
1 引言
ISO 27000标准族是目前国际上最为通行的信息安全管理体系指导标准和最佳实践。在ISO网站能查到的最新统计数据截止到2013年底,全球通过ISO 27000认证的机构总共有22293个,涉及100多个国家,且认证数量保持每年两位数的增长速度[1]。2008年,ISO 27000标准族的主标准ISO 27001:2005和ISO 27002:2005分别对应转化为中国国家标准GB/T 22080-2008和GB/T 22081-2008,用于国内机构的信息安全管理体系建设和认证[2]。综合考虑数字图书馆的业务流程和信息安全管理要求,遵循ISO 27000是数字图书馆信息安全管理实践包括落实信息安全等级保护条例的最佳选择[3]。按照ISO 27000的思想,数字图书馆信息安全管理应该包括风险评估和风险控制两大过程。其中,风险评估用于识别数字图书馆所面临的安全风险,并计算具体风险的等级值作为实施风险控制的依据。风险控制则根据风险评估的结果选择和实施适合的安全控制措施,目的是将风险始终控制在数字图书馆可以接受的范围内[4]。风险评估和风险控制在ISO 27000标准族中分别对应于ISO 27001和ISO 27002两个主标准,在已的版本中有2005和2013两个版本。此前,根据2005年的ISO 27001:2005与ISO 27002:2005的思想和原则,国内已经在数字图书馆信息安全风险管理的过程方法、风险评估方法模型以及核心控制要素等方面提出了一系列的解决方案[5-8]。
而在2013年的ISO 27001:2013和ISO 27002:2013中,对信息安全风险管理又提出了新的要求。数字图书馆信息安全管理有必要适应新版标准的变化,根据2013版ISO 27000标准族的要求对风险评估与风险控制过程进行相应的调整。
本文的研究目的在于对比2013版与2005版ISO 27000标准族的差异,分析2013版ISO 27000的思想、特点、框架、内容等方面的变化及对数字图书馆信息安全风险评估和风险控制的影响,进而指导新版国际标准下的数字图书馆信息安全风险管理的具体实践。
2 2013版ISO27000标准族的特点
2013年10月19日,在ISO 27001:2005使用了8年后,业界期待已久的新版信息安全管理体系ISO 27001:2013正式,ISO 27002:2005也随后同步更新为ISO 27002:2013,ISO 27000标准族的两个主标准都更新到位。ISO 27003、27004、27005等相关标准亦正在修订之中。较之2005版,ISO 27001:2013和ISO 27002:2013标准从框架、结构、内容、逻辑、要求等方面均有大幅改进,为指导组织建立、实施、保持和持续改进信息安全管理体系规定了要求,并提供了更加灵活的实施空间[9]。相比之下,新标准更贴合实际,具备更强的可操作性,其主要特点有:
(1)结构上有重大变动。新版ISO 27001:2013采用了标准化的ISO Annex SL通用架构――ISO导则83 作为整个标准的结构性要求(同ISO 22301)[9]。ISO 27001从2008版的8章拓展到2013版的10章,并且对于PDCA过程方法的展开从章节架构上进行了调整。在ISO 27001:2013中,除了前三章节(范围、规范性引用文件、术语和定义)没有大的变化外,其它章节都进行了调整,包括完整的Plan(计划)、Do(运行)、Check(检查)、Act(改进)四个环节[10]。经过上述调整,ISO 27001:2013的结构更为清晰、严谨,在管理体系间的兼容性方面得到加强,有利于不同管理体系间的接轨与整合。ISO 27002:2013则删除了ISO 27002:2005中的第4章“风险评估与处置”,新增加了第2章“规范性引用文件”,使得安全控制域分章描述前的章节仍保持为4章。同时,因为增加了3个控制域,总章节数从15章增加到18章。
(2)定位上有所区别。ISO 27001:2005指出,组织的信息安全管理应由该组织的管理层负责,而ISO 27001:2013则强调,信息安全由组织的最高管理者负责。两个版本用词上的细微区别,反映的却是新版标准对信息安全的定位在战略意义上的提升[11]。另外,在信息安全管理体系构建主体方面,ISO 27001:2005以资产和技术为主体,而ISO 27001:2013以组织业务关系为主体[12]。以组织业务关系为主体,将使信息安全管理体系的构建流程更为连贯合理,并且可以减少交叉重复。老版标准浓墨重彩地强调了过程方法和PDCA,而新版标准在继续遵循PDCA框架的前提下不再花大量的篇幅说明过程方法、模型这些其它标准中定义过的通用概念,而是重在提出目标要求,对PDCA框架下具体方法的选择不作规定[11]。同样,在风险评估的方法方面,新标准不再强调对资产、威胁、脆弱性等风险要素的识别,组织可以根据自身情况,灵活自由地选用任意可行的风险评估方法,或继续使用现行的方法[9]。可见,新版标准从管理者、主体、方法流程方面都做了重新定位,新的定位使操作更加实用、方便、灵活和有效。
(3)要求上有所改进。2005版共有11个控制域、39个安全类别、133项控制要素,而ISO 27001:2013附录A和ISO 27002:2013的正文严格对应,包含了14个控制域、35个安全类别、113项控制要素。新版标准对老版中的部分控制域进行了分解,对相近或类似的控制要素进行了整合,同时删除了部分过时的、过于具体的控制要素[9]。另外,针对近几年信息技术的发展,新增了部分控制要素,使得控制域和控制要素更加简洁明了并突显重点。同时,对检查的要求也更加明确和严格,要求包括监视、测量、分析、评价等环节,并以5W1H(测什么、如何测、何时测、何时分析、谁来分析、谁负责评价)等方式提出了监视和测量的要求[9]。整体而言,新版标准减少了对技术实现的关注,增加了对管理控制的要求,与信息安全领域“三分技术、七分管理”的黄金定律更加吻合。
3 新标准要求下的数字图书馆信息安全风险评估
2005版和2013版的ISO 27000标准族都把信息安全风险管理划分为风险评估和风险控制两个过程。而且,新老版本的标准又都把风险评估概括为建立准则、选择方法、识别风险、分析风险、评价风险5个环节。在ISO 27001:2005中,对风险评估的具体方法没有作详细规定,但整个风险识别与风险分析过程是依托于对资产价值、威胁、脆弱性、已实施的风险控制措施4种风险要素的识别、赋值和计算展开的。实际评估过程中,常常把已实施的风险控制措施的效果合并到脆弱性的识别、赋值与计算中。因此,遵循ISO 27001:2005标准实施的风险评估过程是以资产、威胁、脆弱性的识别、赋值、计算为核心的。在此基础上,可以再依据选定的风险评估方法和模型计算出各风险项的风险值,并确定可接受风险与不可接受风险,对不可接受风险依照ISO 27002:2005规定的方法进入风险控制过程。
依据ISO 27001:2005的规范,已经有学者对数字图书馆的信息安全风险评估制定了详细的资产、威胁、脆弱性素识别、赋值与计算方法[4-5]。通过理论分析与实际评估结果的比较,还选定了与ISO 27001:2005相容的GB/T 20984-2007中的相乘法作为数字图书馆风险评估的具体方法与计算模型[7]。可以说,以ISO 27001:2005的要求、原则与规范为准绳,数字图书馆已经形成了以资产、威胁、脆弱性等风险要素为核心的包括信息安全风险评估全过程的完整行为准则、操作规范及具体评估方法与计算模型。
与ISO 27001:2005不同,ISO 27001:2013在风险识别和风险分析过程中不再强调资产价值、威胁、脆弱性、已实施的控制措施等风险要素,这意味着任何组织在依照ISO 27001:2013评估信息安全风险时,只须最终结果达到ISO 27001:2013的要求即可,在具体方法的选用方面可以更加宽泛和灵活。换句话说,符合ISO 27001:2013评估目的与要求的任意方法都是允许和可接受的,选用之前的方法包括ISO 27001:2005中推荐方法当然也是可行的。ISO 27001:2013在指导制定和实施信息安全管理体系过程中多次强调组织需要、组织要求,风险评估的过程方法可繁可简,完全取决于组织的需要和要求。组织可以根据自身的情况,选用合适的风险评估方法,或继续使用现行的方法[9]。
ISO 27001:2013虽然放弃了对风险评估具体方法和过程的推荐,并多次强调只须达到组织的需要与要求即可,但对ISO 27001:2005中的方法却并不排斥。具体到数字图书馆的信息安全风险评估,既然依照ISO 27001:2005中的方法已经形成了完整和可操作的风险评估具体方法,并经过实际评估证明可行,同时又满足了ISO 27001:2013的所有要求,因此,在新版ISO 27000标准族要求下,数字图书馆信息安全风险评估无需变动,可采用之前依据ISO 27001:2005制定的方法与过程。
4 新老标准中的信息安全风险控制及数字图书馆控制要素的选取
4.1 新老标准中的控制域、安全类别与控制要素对比
2005版标准中共有11个控制域,2013版改为14个控制域。其中,保持不变的有“安全方针”“信息安全组织”“资产管理”“人力资源管理”“物理和环境安全”“访问控制”“信息安全事件管理”“业务连续性管理”“符合性”等9个控制域,“通信与操作管理”控制域在新标准中被拆分为“操作安全”和“通信安全”2项,“信息系统获取、开发和维护”在新标准中被拆分成“密码”与“系统获取、开发和维护”两项。新标准还新增了“供应关系”控制域[10-11]。
在安全类别方面,2005版共有39项安全类别,2013版减少为35项安全类别。在新版标准中,2005版中的安全类别有的完全保留、有的被拆分成多个、有的多个被整合成一个,还有的被直接删去。2013版标准中完全新增的安全类别有3项,它们是:移动设备和远程办公、供应商关系中的信息安全、冗余。
在控制要素方面,2005版共有133项控制要素,2013版减少为113项控制要素。同样,在新版标准中,2005版中的控制要素有的完全保留、有的名称或内容略有变化、有的被拆分成多个、有的调整了所属控制域,还有的被直接删去。
4.2 数字图书馆风险控制要素的筛选及在新老标准中的对应关系
基于2005版ISO 27001的附录A和ISO 27002的正文,通过对30家数字图书馆的实际调查,文献[4]得到了适合数字图书馆的风险控制87项核心控制要素,分布于11个控制域和33个安全类别,另有参考控制要素34项,分布于10个控制域和22个安全类别。所谓核心控制要素,是指对数字图书馆信息安全风险控制非常重要、作用很大的控制要素。而参考控制要素,则是重要性一般、有时会有一定作用的控制要素。除此之外的即为ISO 27002中对数字图书馆不起作用或没有应用场所的控制要素,不应该出现在数字图书馆风险控制的控制要素列表中。数字图书馆控制要素选取的目标就是区分这三类控制要素,数字图书馆风险控制要素列表中仅包含核心控制要素与参考控制要素[4]。
对2013版与2005版ISO 27001的附录A和ISO 27002的正文经过逐条、逐项进行关联对照和分析,寻找上述87项核心控制要素、34项参考控制要素在新版标准中的对应位置,再对2013版的新增控制要素作认真分析,并结合数字图书馆信息安全管理的现实情况,最终得到ISO 27002:2013标准下数字图书馆的核心控制要素和参考控制要素。其中,核心控制要素75项,分布于13个控制域和29个控制类别,参考控制要素32项,分布于11个控制域和17个安全类别(见表1、表2)。
5 新老标准中的数字图书馆风险控制要素对比分析
5.1 新老标准中的数字图书馆信息安全管理核心控制要素对比分析
数字图书馆核心控制要素在新老标准中的变化共有4种情况:删除、保留、新增和调整。
因为已经从2013版中被删除,那些已删除的核心控制要素在表1并没有出现。之前根据2005版标准得到的87项数字图书馆核心控制要素中,有21项未收入2013版标准,因此,数字图书馆的核心控制要素应该将这21项删去。21项被删去的核心控制要素具体名称为:
信息安全的管理承诺、信息安全协调、与政府部门的联系、服务交付、控制移动代码、信息处理规程、系统文件安全、业务信息系统、监视系统的使用、故障日志、外部连接的用户鉴别、远程诊断和配置端口的保护、网络连接控制、网络路由控制、用户标识和鉴别、敏感系统隔离、输入数据确认、内部处理的控制、消息完整性、信息泄露、业务连续性和风险评估。
保留的核心控制要素在表1中用“完全对应”表示。在基于新版标准的75项数字图书馆核心控制要素中共有42项的名称、详细内容、控制目标及控制域归类等与老版标准完全一致。按照老版标准的筛选依据[6],该42项控制要素仍旧属于数字图书馆的核心控制要素(见表1)。
新增的核心控制要素在表1中用“新增”表示。2013版新增各项控制要素中,有7项应该作为数字图书馆的核心控制要素。具体内容与理由如下:
(1)用户访问设置。数字图书馆的用户类型多样,如馆员和读者,馆员和读者又可以再分为多种类型,每一类用户都存在对应的访问权限设置问题。明确规定不同用户的访问权限并有正式的用户设置过程非常有必要。因此,将“用户访问设置”确定为核心控制要素。
(2)供应商关系的信息安全策略、供应协议中的安全问题、信息与通信技术供应链。数字图书馆的电子资源、硬件设备、系统平台以及网络服务等工作均涉及采购或外包,期间与各类供应商的合作非常密切,应该与供应商就信息安全问题达成一致并形成文件,建立相关的信息安全要求,并在协议中确定相关的信息安全风险要求,以确保数字图书馆与供应商合作关系中的信息安全。因此,将“供应商关系的信息安全策略”“供应商协议中的安全问题”“信息与通信技术供应链”确定为核心控制要素。
(3)信息安全事件的评估和确定、信息安全事件的响应。对于任何组织而言,都应该对已经发生的信息安全高度重视。数字图书馆也不例外,应该及时地评估确定已发生的信息安全事件并按照一定的程序予以处理,使信息安全事件的影响和损失最小化。因此,将“信息安全事件的评估和确定”“信息安全事件的响应”确定为核心控制要素。
(4)信息处理设施的可用性。与数字图书馆有关的服务器、存储、网络、电源等信息处理设施都应该有充分冗余,以确保在任何变化和状况下都能满足其可用性的要求。因此,将“信息处理设施的可用性”确定为核心控制要素。
调整的情况最复杂,在表1中的“名称变化、内容一致”“名称变化、描述略变”“调整归类”“拆分”4种情况都属于调整。基于2005版ISO 27001和ISO 27002得到的数字图书馆信息安全87项核心控制要素中,有26项经过一定的调整后依旧出现在2013版的标准中,这些控制要素仍是数字图书馆信息安全管理的核心控制要素。调整变化主要有三种形式:名称改变而内容表述完全一致、名称改变且内容表述略有变化、控制要素的控制域归类发生变化。
名称改变、内容表述完全一致、控制域归类也完全一致的核心控制要素共有8项(见表1)。
名称改变且内容表述也略有变化、但控制域归类完全一致的核心控制要素共有7项。包括有(括号前的为2013版中的编号与名称,括号中为2005版中的编号与名称):①3.3.1终止或责任变更(4.2.1终止职责),新标准中强调对于责任终止和变更情况不仅要有规定,还应该传达给所有相关人员知晓;②5.2.4用户秘密认证信息的管理(7.2.3用户口令管理)、5.3.1秘密认证信息的使用(7.3.1口令使用),新标准中用户认证信息的范围不仅包括口令,还包括密钥数据和其他存储在产生认证码的硬件(如智能卡)的数据;③5.4.4特权实用程序的使用(7.5.4系统实用工具的使用),新标准中将限制和严格控制的范围缩小在可能超越、有特权的系统和应用程序中;④11.1.6从信息安全事件中学习(9.2.2对信息安全事件的总结),老的标准强调从安全事件中学习总结的方法,而新标准强调的是结果,要从中获取知识、减少未来相关事件发生的可能性;⑤12.1.1计划信息安全连续性(10.1.1在业务连续性管理过程中包含信息安全),新标准更加细化,强调即便在不利的情况下(如危机或灾难)也要确保信息安全管理的连续性;⑥12.1.2实施信息安全的连续性(10.1.3制定和实施包含信息安全的连续性计划),老标准强调在关键业务流程中断和失效时要保持信息安全,而新标准则强调在任何不利的情况下都要保持信息安全的连续性。
控制域归类发生变化的核心控制要素共有11项(见表1)。其中,“2.1.2职责分割”是将老标准中“2信息安全组织”中的核心控制要素“信息处理设施的授权过程”和“6通信和操作管理”中的参考控制要素“责任分割”中的要求进行合并,且改名为“职责分割”,统一置放于控制域“2信息安全组织”中,该项控制要素从组织的宏观层面强调各类职责和权限的分割,以降低对组织资产的滥用。而“2.2.1移动设备策略”是将老标准中“7访问控制”中的参考控制要素“移动计算和通讯”调整到控制域“2信息安全组织”中,且改名为“移动设备策略”。对于数字图书馆而言,随着移动网络的发展普及,数字图书馆的业务流程也逐步到移动终端,应该加强相关管理措施,因此调整为核心控制要素。其他9项控制要素的名称和内容没有变化,而其控制域归类发生了变化(见表3)。该9项控制要素在2005版中就属于核心控制要素,因此在2013版中仍保留为数字图书馆的核心控制要素。
5.2 新老标准中的数字图书馆信息安全管理参考控制要素对比分析
数字图书馆参考控制要素在新老标准中的变化共有5种情况:删除、保留、新增、拆分和调整。
2005版的数字图书馆参考控制要素中有10项未出现在2013版的数字图书馆参考控制要素中。其中,“移动计算和通讯”“责任分割”2项在2013版中被调整为核心控制要素。“处理与顾客有关的安全问题”“防止滥用信息处理设施”“会话超时”“联机时间的限定”“输出数据确认”“网络上的设备标识”“信息系统审计工具的保护”“业务连续性计划框架”8项被2013版标准删除,故也未出现在新版的数字图书馆参考控制要素中。
保留的参考控制要素用“完全对应”表示,共有16项。
新增的参考控制要素用“新增”表示,共有7项。具体内容与理由如下:
(1)项目管理中的信息安全、安全开发策略、安全系统工程原则、安全开发环境、系统安全测试。上述5项控制要素更倾向于在系统工程、项目开发或软件研发的过程中对信息安全管理、环境、测试等方面的要求,而数字图书馆本身自行开发的项目工程比较少,无须在这方面作严格的要求。因此,上述5项控制要素列入参考控制要素。
(2)时钟同步。对于系统的监视与日志分析有较大的帮助,“时钟同步”可以作为参考控制要素加以限制。
(3)限制软件安装。该项控制要素要求组织制定软件安装管理规则,并严格执行和监督,而数字图书馆的员工因工作性质的不同对软件安装的要求差异较大,实际工作中可以列出禁止安装的软件清单(如游戏软件)或必须安装的软件清单(如安全防护软件),不需要规定只能安装哪些软件。因此,“限制软件安装”可作为参考控制要素。
拆分的参考控制要素用“拆分”表示。2005版的数字图书馆参考控制要素中只有“信息标识与处置”存在这种情况,该项控制要素在2013版中被拆分为“信息的标记”“资产的处置”2项。
调整参考控制要素有“名称变化,描述略变”和“名称变化,内容一致”两种表现,共有7项。其中,“名称变化,描述略变”的有2项,“名称变化,内容一致”的有5项。
【关键词】云计算服务 信息安全管理 技术能力
云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。
1 云计算服务信息安全管理存在的风险
在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。
(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。
(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖
(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
2 云计算服务信息安全管理的要求
采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。
2.1 安全责任及安全管理水平不变
信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
2.2 资源的所有权及司法管辖关系不变
客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。
客户数据和业务的司法管辖权不应因采用云计算服务而改变。
2.3 坚持先审后用原则
云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
3 云计算服务的信息安全技术能力的要求
云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。
3.1 系统开发与供应链安全及系统与通信保护
云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
3.2 访问控制及配置管理
云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。
3.3 维护及应急响应与灾备
云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。
3.4 审计及风险评估与持续监控
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。
3.5 安全组织与人员及物理与环境保护
云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。
4 结语
本文通过云计算服务中信息安全管理存在的风险、云计算服务信息安全管理及技术能力等方面进行阐述,提出了云计算服务信息安全管理的具体措施及技术能力的具体要求,从管理及技术方面确保云计算服务的信息安全,保障云计算服务安全。
参考文献
[1]GBT 31167-2014 信息安全技术[Z].云计算服务安全指南,2014.
>> 基于新版ISO27000对软件行业信息安全的解读 浅谈信息安全等级保护与ISO27000系列标准的异同 基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系构建研究 数字图书馆网络信息安全管理初探 浅谈高校数字图书馆信息安全管理 数字图书馆网络信息安全的防护措施 数字图书馆的信息数据安全保护 信息时代下数字图书馆对传统图书馆的影响 浅议数字时代下的图书馆网络信息服务管理的认识 试论信息技术下数字图书馆服务与管理的转变 数字图书馆的信息资源管理 浅析数字图书馆对馆员素质的要求 探讨数字图书馆的意义及其对图书馆员的能力要求 探讨数字图书馆对传统图书馆的变革及要求 数字图书馆的管理探析 小议信息时代下的图书馆管理 信息时代下的图书馆管理 信息化背景下的图书馆管理 数字图书馆网络信息安全分析 数字图书馆信息系统安全评估 常见问题解答 当前所在位置:l.
[10] ISO/IEC 27001:2013. Information Technology―Security Techniques―Information Security Management Systems―Requirements[S]. Geneva: International Organization for Standardization,2013.
[11] 白云广.ISO/IEC27001:2013概述与改版分析[J].中国标准导报,2014(12):45-48.
[12] 安言咨询. ISO27001:2013新版信息安全管理体系标准变化精解[EB/OL].[2015-08-18]..
云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注信息安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。
1 云计算服务信息安全管理存在的风险
在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。
(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。
(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖
(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
2 云计算服务信息安全管理的要求
采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。
2.1 安全责任及安全管理水平不变
信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
2.2 资源的所有权及司法管辖关系不变
客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。
客户数据和业务的司法管辖权不应因采用云计算服务而改变。
2.3 坚持先审后用原则
云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
3 云计算服务的信息安全技术能力的要求
云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。
3.1 系统开发与供应链安全及系统与通信保护
云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
3.2 访问控制及配置管理
云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。
3.3 维护及应急响应与灾备
云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。
3.4 审计及风险评估与持续监控
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。
3.5 安全组织与人员及物理与环境保护
云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。
4 结语
本文通过云计算服务中信息安全管理存在的风险、云计算服务信息安全管理及技术能力等方面进行阐述,提出了云计算服务信息安全管理的具体措施及技术能力的具体要求,从管理及技术方面确保云计算服务的信息安全,保障云计算服务安全。
(一)连接管理要求
1. 断开工业控制系统同公共网络之间的所有不必要连接。
2. 对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
(二)组网管理要求
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
2. 采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。
3. 对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
(三)配置管理要求
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理,根据工作需要合理分类设置账户权限。
3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
(四)设备选择与升级管理要求
1. 慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务,确保产品安全可控。
2. 加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。
3. 密切关注产品漏洞和补丁,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
(五)数据管理要求
地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;
随着信息化进程的持续深入和互联网的快速发展,信息技术在有效支撑政府部门深化管理能力、提升公共服务水平的同时,其所带来的安全隐患也在日益显现。闻名全球的美国政府“维基泄密”、伊朗核设施遭“震网”病毒袭击等安全事件充分说明由于政府部门信息事关国计民生,其重要性和高度敏感性使得政府部门信息系统已成为国内外敌对势力、敌对分子进行网络渗透、数据窃取和攻击破坏等活动的重点目标。如何保障信息化建设成果以及如何防范物联网、云计算、社交网络、三网融合等新兴IT技术发展所带来的新的安全风险已经成为各级政府部门信息化建设与发展过程中的重要课题。
2 信息安全保障要求
面对日益严峻的信息安全形势,网络信息安全问题越来越引起我国政府的高度重视。从1994年开始,国家相继制定了一系列的法律、法规和条例,以切实做好全国信息安全保障工作。1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)颁布,条例规定“计算机信息系统实行安全等级保护”。2003年,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),把信息安全提到了关乎国家安全的高度,并提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),明确了信息安全等级保护制度的原则和基本内容,并陆续出台了信息安全等级保护管理办法、基本要求、实施指南等一系列等级保护政策、规范和标准。同年,中共中央保密委员会下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号),同样出台了相关管理办法、技术要求、管理规范、测评指南、方案设计指南等保密标准,用于指导信息系统的建设、使用和管理。
当前,信息安全已成为国家安全的重要组成部分。各级政府在不断完善信息安全规章制度的同时,每年以多种形式重申和强化信息安全工作要点,部署专项安全保密措施,监督检查信息安全落实情况,并把培养信息安全人才作为发展和建设我国信息安全保障体系必备的基础和先决条件。
3 信息安全人才队伍建设现状
(1) 信息安全人员数量
从事信息安全管理工作人员较少,主要开展基于区域边界、网络传输和计算环境的安全管理,在主机、应用和数据方面较为缺乏,对于重要信息系统所需配备的系统管理员、安全管理员和安全审计员,普遍存在根据业务需要临时任命现象。
(2) 信息安全人员结构
信息安全人员多数为其他岗位人员兼任且非信息安全专业,是在进入岗位后根据职能要求逐步熟悉、掌握信息安全技术知识,虽然具备了一定的信息安全技术与管理能力,但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域,非专职信息安全人员在忙于众多事务管理的同时难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况,缺乏知识储备和经验积累,造成缺乏懂技术、会管理和熟悉业务的信息安全人才。
4 面临的信息安全隐患
由于相对固化的信息安全人力数量、知识结构和运行机制,管理部门难以有效承接来自政府主管部门的信息安全保障要求,信息安全隐患逐渐显现。
(1) 信息系统建设缺乏总体安全规划
信息系统建设的承建主体多数为政府业务管理部门或技术支撑部门,在信息系统规划中他们更多的是注重业务应用功能的实现和不同信息技术的实现方式,而对系统信息安全缺乏全盘考虑和统一规划,导致信息系统在建设过程中没有充分考虑网络、主机、数据和应用的安全策略、安全技术措施以及信息安全管理要求,仅在系统竣工前或安全测评阶段,根据相应的检查指标需要,临时、被动地针对信息系统实施一定的安全防护措施,造成了安全建设与信息系统建设相分离。虽然达到了某阶段要求,但是安全措施比较零散,缺乏体系和相互关联,甚至实施的安全措施治标不治本,安全隐患重重。事实上,缺乏真正来自业务管理目标的信息安全需求,临时建立的信息安全策略也在信息系统变更、优化和升级中因缺乏动态的改进和完善而逐步缺失,使信息系统基本处于不设防状态。
(2) 信息安全技术应用滞后
在信息技术广泛应用和新兴IT技术快速发展的同时,信息安全技术也发展得越来越专业。信息安全产品也根据不同的专业领域划分为主机安全、网络安全、应用安全、数据安全等多个类别,涉及防火墙、恶意代码防护、入侵检测、安全隔离与信息交换、网站防护、加密机、数字证书、安全审计等专业技术。了解、熟悉并且科学合理地使用这些专业化安全产品需要信息安全管理人员既要熟悉业务应用和系统信息技术实现方式,又要了解当前系统面临的安全风险和所需的信息安全技术与管理需求。然而,当前信息安全人员知识结构和业务涉及面不具备这些基本要求,造成信息安全技术应用滞后或部分处于缺失状态。
(3) 信息安全产品未能充分发挥作用
当前,信息安全已经从传统的网络层上升到应用层,并已深入到业务行为关联和信息内容语义范畴,越来越多的信息安全技术已经和应用相结合。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自业务应用需要和明确的策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是多数信息系统在软件开发时缺乏明确的安全需求,在系统运行中对访问主体的授权认证、数据传输、应用服务端口等缺乏相应的安全控制措施。应用安全需求说不清造成了信息安全产品安全策略权限开放过大或无安全控制,安全告警无法有效判断。所以,信息安全产品未能充分发挥其应有的作用,部分产品形同虚设。
(4) 难以规范执行保密技术管理
信息化进程不断深入的同时,保密工作也越来越依赖于信息技术,保密管理已超越了传统的范围、内容、方法和要求,在高技术窃密频发的情况下,保密技术防护手段已成为保密管理工作的重要环节。但是信息技术人员由于缺乏保密培训、经验积累以及保密工作环境氛围的熏陶,难以满足保密管理工作的规范性和强制性要求。
(5) 信息安全意识薄弱
人是信息安全工作的核心因素,其知识结构和应用水平将直接影响信息安全保障工作。由于信息安全管理人员的专业性不强,在日常安全管理活动中,缺乏开展面向网络用户的信息安全宣传、引导和培训以及即时、足够的安全提示,造成用户信息安全意识淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。
5 存在问题分析
(1) 信息安全组织架构不健全,缺乏人才培养
信息安全是在信息化进程中逐步发展起来的,信息安全技术也是随着信息技术从无到有,从简单到复杂。但是,在信息技术快速发展与信息安全知识快速更新的情况下,由于信息安全组织架构不健全,未能完成信息安全人才的培养与储备,造成当前信息安全人才与实际信息安全工作技能要求的脱节以及部分领域信息安全人才的缺失,信息安全保障工作难以落地。
(2) 缺乏激励机制,信息安全工作价值得不到体现
由于缺乏有效的激励机制与人才评价机制,信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现,在实际工作中甚至遇到其他业务管理人员的不理解或不配合,造成真正的人才反而受到的评价不高,挫伤了人才的积极性。
6 信息安全人才队伍建设发展探索
随着新兴IT技术的快速发展,信息安全的内涵及其外延不断地深化和扩大,信息安全成为一个动态的、发展的、全局性、长期性和战略性的问题。传统的单兵作战不仅不能解决信息安全问题,反而蕴藏了更大的安全风险和隐患。信息安全保障工作需要建立一支懂技术、会管理、熟悉业务应用的信息安全人才队伍,并构建相应的信息安全保障体系(如图)。
信息安全保障体系
(1) 建立健全信息安全组织架构,培养高层次信息安全人才
信息安全是建立在信息化和业务的基础上,涉及网络、主机、应用、数据等多方面,管理要素多、专业性强,组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在组织架构中应成立专职的信息安全主管部门,负责编制信息安全规划,指导信息安全建设,制定信息安全总体策略,监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员,负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才,特别是懂业务、经验丰富的高层次技术与管理人才。
(2) 构建信息安全治理体系,优化信息安全人才队伍
在建立、完善信息安全组织架构体系,理顺业务关系的同时,构建信息安全治理体系成为确保各项规范、标准和制度落地的重要保障。信息安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确了各部门在信息安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据信息安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。应针对不同岗位要求选择合适的人员,同时,在确保合规性的基础上,根据需求,引入外部力量提供专业化的安全技术支撑,弥补现有人力数量与结构的不足。
(3) 充分体现工作价值,激发工作积极性
信息安全特别是保密安全需要实施准军事化的管理,信息安全管理人员需要高度责任心和政治敏感性。客观、全面地评价工作绩效,充分体现信息安全管理人员的工作价值,落实奖惩措施,激发工作积极性,是信息安全人才队伍建设发展的重要保证。
7 总结
随着信息化进程的加快,信息安全已成为维护国家安全、社会稳定、促进信息化建设发展,构建和谐社会的重要保障。信息安全人才是实施信息安全工作的必备条件,建立并完善信息安全人才队伍建设意义重大。
参考文献
[1]GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》[S].
[2]GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》[S].
[3]BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》[S].
