IT治理和信息安全
近年來企業(yè)高層對內(nèi)部治理需求越來越實(shí)際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個方面,企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息,以保證業(yè)務(wù)正常運(yùn)營,由此IT系統(tǒng)在企業(yè)治理中的作用越來越明晰,IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可,成為董事會和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息安全保護(hù)——包括確保信息的可用性、機(jī)密性和完整性——這是其他IT治理環(huán)節(jié)實(shí)施的前提。與此同時,和信息安全相關(guān)的國際標(biāo)準(zhǔn)已經(jīng)出臺,成為標(biāo)準(zhǔn)IT治理框架中的一大基石。
信息安全和法律法規(guī)
業(yè)內(nèi)人士對ISO27001認(rèn)證趨之若鶩,這其中有兩個關(guān)鍵性的驅(qū)動因素:一是日益嚴(yán)峻的信息安全威脅,二是不斷增長的信息保護(hù)相關(guān)法規(guī)的需求。
本質(zhì)上說,信息安全威脅是全球化的。一般來說,它將毫無差別地輻射到每一個擁有、使用電子信息的機(jī)構(gòu)和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴(yán)重的問題是,其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全,包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)。
過去的十年內(nèi),圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大,其中包括專門針對個人數(shù)據(jù)保護(hù)問題的,也有針對企業(yè)財(cái)政、運(yùn)營和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)。目前,建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件,與此同時,針對該管理體系的認(rèn)證逐漸成為各種組織(包括政府部門)的熱門需求,這份認(rèn)證可以為他們帶來重要的潛在商業(yè)合同。
信息安全和技術(shù)
絕大多數(shù)人認(rèn)為信息安全是一個純粹的有關(guān)技術(shù)的話題,只有那些技術(shù)人員,尤其是計(jì)算機(jī)安全技術(shù)人員,才能夠處理任何保障數(shù)據(jù)和計(jì)算機(jī)安全的相關(guān)事宜。這固然有一定道理。不過,實(shí)際上,恰恰是計(jì)算機(jī)用戶本身需要考慮這樣的問題:避免哪些威脅?在信息安全和信息通暢中如何平衡取舍?的確如此,一旦用戶給出答案,計(jì)算機(jī)安全專家就可以設(shè)計(jì)并執(zhí)行一個技術(shù)方案以達(dá)成用戶需求。
在組織內(nèi)部,管理層應(yīng)當(dāng)負(fù)責(zé)決策,而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出,組織機(jī)構(gòu)董事會和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策,同時,這個體系也應(yīng)當(dāng)能夠反映這種決策,并且在運(yùn)行過程中能夠提供證據(jù)證明其有效性。
所以機(jī)構(gòu)組織內(nèi)部的信息安全管理體系的建立項(xiàng)目不必由一個技術(shù)專家來領(lǐng)導(dǎo)。事實(shí)上,技術(shù)專家在很多情況下起到相反的作用,可能會阻礙項(xiàng)目進(jìn)程。因此,這個項(xiàng)目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持。
信息安全標(biāo)準(zhǔn)
1995年,英國標(biāo)準(zhǔn)機(jī)構(gòu)(BSI)發(fā)布BS7799標(biāo)準(zhǔn),即ISMS(信息安全管理體系),旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實(shí)施情況。BS7799標(biāo)準(zhǔn)被外界認(rèn)為是一個不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價值中立的管理體系。只要實(shí)施得當(dāng),BS7799標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性。
從企業(yè)外部來看,BS7799關(guān)注信息的可用性、機(jī)密性和完整性,至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險(xiǎn)規(guī)避(一定程度上主要是商業(yè)和金融風(fēng)險(xiǎn)),而不包括避免每一個潛在風(fēng)險(xiǎn)的保護(hù)措施——盡管它們至關(guān)重要。
BS7799最初僅有一份文檔,且具有明顯的實(shí)踐指南性質(zhì)。也就是說,它為組織提供信息安全指引,但沒有形成規(guī)范,不能為外部第三方審計(jì)和認(rèn)證等提供依據(jù)。隨著越來越多的企業(yè)開始認(rèn)識到來自信息安全的威脅波及范圍越來越廣,影響程度越來越大,并且關(guān)于數(shù)據(jù)和隱私權(quán)保護(hù)的法律法規(guī)不斷出臺,信息安全標(biāo)準(zhǔn)認(rèn)證的需求開始不斷增加。
這種需求的增加最終促成了該項(xiàng)標(biāo)準(zhǔn)第二部分的出臺,即標(biāo)準(zhǔn)規(guī)范。實(shí)踐指南和標(biāo)準(zhǔn)規(guī)范之間的關(guān)系是這樣的:標(biāo)準(zhǔn)規(guī)范是認(rèn)證方案的基礎(chǔ),同時標(biāo)準(zhǔn)規(guī)范要求實(shí)踐者遵從實(shí)踐指南的指引。
許多國家也已發(fā)布了自己的相關(guān)標(biāo)準(zhǔn),比如AS/NZS7799。這些標(biāo)準(zhǔn)的國際化版本可以在世界任何國家得到認(rèn)可,這促使了本土化標(biāo)準(zhǔn)的消退(除了基于兩個標(biāo)準(zhǔn)號碼基礎(chǔ)上的本土化標(biāo)準(zhǔn)以外)。
認(rèn)證與遵從
一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS(信息安全管理體系),因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的。然而,由于ISO17799并非基于認(rèn)證框架,它不具備關(guān)于通過認(rèn)證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來講,這就表明一個正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織,完全符合實(shí)踐指南的要求,但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是,一個正在同時運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織,可以建立一個完全符合認(rèn)證具體要求的ISMS,同時這個ISMS體系也符合實(shí)踐指南的要求,于是,這一組織就可以獲得外界的認(rèn)同,即獲得認(rèn)證。
ISO27001認(rèn)證要求與其他管理標(biāo)準(zhǔn)
ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn),比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的,這一標(biāo)準(zhǔn)中的編號系統(tǒng)和文件管理需求的設(shè)計(jì)初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說,組織通常會使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu),來提供ISO27001認(rèn)證服務(wù)。正是因?yàn)檫@個緣故,在ISMS體系建立的過程中,質(zhì)量管理的經(jīng)驗(yàn)舉足輕重。
但是有一點(diǎn)需要注意,一個組織如果沒有事先擁有并使用任何形式的管理體系,并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下,該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮,選擇一個合適的管理體系的認(rèn)證機(jī)構(gòu)來提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)必須得到一個國家鑒定機(jī)構(gòu)的委托授權(quán),才能為認(rèn)證組織提供認(rèn)證服務(wù),并發(fā)放認(rèn)證證書。大多數(shù)國家都有自己的國家鑒定機(jī)構(gòu)(比如:英國UKAS),任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。
風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)應(yīng)對計(jì)劃
任何一個ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求。每個組織不僅都有自己獨(dú)特的業(yè)務(wù)模式、運(yùn)營目標(biāo)、形象特點(diǎn)和內(nèi)部文化,他們對待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說,同一個東西,一個機(jī)構(gòu)組織認(rèn)為是必須提防的威脅,在另一個組織看來可能是一個必須抓住的機(jī)遇。同樣地,各個機(jī)構(gòu)組織對于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊?;谝陨匣蛘咂渌?,每個運(yùn)行ISMS的組織,其內(nèi)部成員必須對風(fēng)險(xiǎn)評估有一個共識,這個風(fēng)險(xiǎn)評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。
著手準(zhǔn)備ISMS項(xiàng)目和PDCA流程
ISMS項(xiàng)目很復(fù)雜,可能持續(xù)若干個月甚至若干年,涉及整個機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個成員。ISO27001認(rèn)證誕生時間短,成功的案例比較少。從務(wù)實(shí)的角度考慮,這表明在項(xiàng)目計(jì)劃過程中,必須盡早對這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究。
ISO27001標(biāo)準(zhǔn)指導(dǎo)一個企業(yè)如何著手開展ISMS項(xiàng)目,并且關(guān)注整個項(xiàng)目進(jìn)程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即計(jì)劃(Plan)-執(zhí)行(Do)-檢查(Check)-提升(Act)過程,意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的,該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個流程以及流程的改進(jìn),都必須遵循這樣一個過程:先計(jì)劃,再執(zhí)行,而后對其運(yùn)行結(jié)果進(jìn)行評估,緊接著按照計(jì)劃的具體要求對該評估進(jìn)行復(fù)查,而后尋找到任何與計(jì)劃不符的結(jié)果偏差(即潛在改進(jìn)的可能性),最后向管理層提出如何運(yùn)行的最終報(bào)告。