一个企业如果需要建立信息安全体系架构,一般的流程如下:
1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?
2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。
3、分析了安全现状,我们接下来要做的就是分析安全目标和安全现状之间的差距,目标有了,现状也清楚了,差距自然而然也就出来了。差距分析阶段主要是分析企业目前的安全现状和目标之间还存在哪些薄弱点,并一一列举出来,差距分析主要从组织安全、人员安全、访问控制、物理安全、安全事件、业务连续性等方面来展开。
4、在我们得到差距之后,我们就要为企业设计安全体系架构了,一套完整的信息安全体系架构,应包括技术体系架构和管理体系架构,技术体系架构主要是指从网络、系统层面来设计,譬如分析企业目前的网络架构是否合理?产品的部署是否到位?而管理体系架构主要是指信息安全的制度建设,俗话说“无规矩不成方圆”,安全问题归根结底就是管理的问题,很多安全事件的发生都是因为管理不到位而产生的。譬如弱口令,如果企业的安全制度里有明确的要求,密码为6位,并应包括数字、字母、特殊字符等,这样完全是可以避免弱口令的现象,再譬如补丁更新不及时、ACL 做的不够等等诸如此类的问题,很大程度都是因为管理不到位。在我们的评估项目中,我们发现很多时候并不是技术上不可达,而是管理意识不到位。这里出现的比较多的是企业的高层领导的安全意识薄弱,对安全这一块基本没什么概念,对于管理员或安全部门提出的安全建议认为没有必要等等。很多安全的措施在很多企业都会出现实施难的问题,因为安全措施在很大程度上会给员工造成不便,员工都会出现抵触的情绪,在这种情况下,就需要公司的高层通过管理制度来推行安全措施,所以又归结到管理的问题上来。
对于企业来说,如上的这些现象一般出现在中小型企业,这些企业的资金比较缺乏,在公司没有出现大的安全事件的时候,公司高层一般是不考虑在安全方面加大投资的,而在大型企业,随着规模的不断壮大,网络已经成为这些企业不可缺少的部分,如果一旦出现安全事件,将会给企业造成严重的损失,如客户资料丢失、财务数据泄密、企业形象受损等等,而大型企业的资金也比较雄厚,在安全方面的投资也就相对较多了。
另外我们在设计信息安全体系架构时,应充分结合企业目前的安全现状和相关法律法规的要求,并应考虑企业的运营成本等问题,最后需要考虑就是信息安全体系架构设计的可执行性了,不能出现一套体系出来之后,发现根本没有联系企业目前的安全现状,方案的可执行性太差等问题。( 素材 )
5、在我们建立了信息安全体系架构之后,最后的阶段就是实施了。在实施中,还是需要企业高层的大力支持,才能顺利进行,因为信息安全体系架构的实施和运行,比如会跨越不同的部门,在部门与部门的协调上,就需要上层领导的协调了。
6、最后阶段就是 Check,信息安全体系架构应遵循 PDCA 的模型。我们应及时跟踪分析信息安全体系的建设情况,查漏补缺,及时发现不足和存在的问题,在后期的运行维护中及时修正。