信息安全的目标
首先信息安全的定义要先明确,它指的是实现了组织信息资产的三个目标
机密性:数据处理的各个阶段都实施了必要级别的安全保护,能够防止未经授权的用户/系统对数据和资源的访问和使用
完整性:数据和资源不会在未授权情况下被篡改
可用性:授权用户能及时和可靠的访问数据与资源
安全治理机制
组织要实现信息安全,需要一套安全治理的机制,它指的是支持、定义和组织进行安全工作相关的实践集合。
合理的治理机制建立在全面理解组织安全需求基础上,除了CIA三原则外,外部的法律法规以及社会规范也构成了安全治理需求的重要组成部分。
图1-安全治理需求列表
安全治理中的人员角色与要求
在实现安全的治理过程中, 组织中不同的角色对安全承担着不同的职责
高级管理者: 他们负责认可和批准组织的安全策略,并为信息安全负最终责任
安全专业人员:负责编写和执行安全策略,并保证组织系统与资源的安全性
审计人员: 审查和验证安全策略的执行以及方案的完备性
用户:了解安全策略,遵守规定的操作过程
不同角色在履行安全职责时要满足Due Care和Due Diligence的要求。其中Due Care要求按照公司的安全策略正确执行,保证信息与系统安全。Due Dilligence要求是在没有预定义的规则下,也要履行职责,主动来提升组织的安全性。Due Dilligence主要是要求管理层,在工作中要足够勤勉,能主动发现和提升组资产的安全性
安全策略文档
组织需要开发和维护文档化的安全策略与指南文档来指导安全治理活动
1)安全策略 - Security Policies - 归纳了组织的安全需求,定义了主要安全目标,并对组织的安全框架进行概述
2)标准- Standards - 对安全的强制性要求
3)基线 - Baseline - 定义了每个系统必须满足的最低安全级别
4)指南 - Guideline - 如何实现标准与基线的推荐方法
5)程序 - Procedure - 实现特定目的而应当执行的详细分步实施方法
安全计划可参考的框架
组织实现安全治理,可以参考和结合业界最佳实践制定安全计划,作为起点,后续基于风险识别与管理不断迭代优化。
图2 - 安全框架参考
参考资料:
CISSP Official Study Guide - 第九版英文版 及 第八版中文版
网友评论