信息安全策略(Information Security Policy)是一个组织机构中解决信息安全问题最重要的部分。
在一个小型组织内部,信息安全策略的制定者一般应该是该组织的技术管理者,在一个大的组织内部,信息安全策略的制定者可能是由一个多方人员组成的小组。 一个组织的信息安全策略反映出一个组织对于现实和未来安全风险的认识水平,对于组织内部业务人员和技术人员安全风险的假定与处理。信息安全策略的制定,同时还需要参考相关的标准文本和类似组织的安全管理经验。 本文就信息安全策略的制定和实施有关的问题进行一些讨论。
一、什么是信息安全策略
信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分,问题策略(issue policy)和功能策略( functional policy)。基本策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。 功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略必须有清晰和完全的文档描述,必须有相应的措施保证信息安全策略得到强制执行。在组织内部,必须有行政措施保证即定的信息安全策略被不打折扣地执行,管理层不能允许任何违反组织信息安全策略的行为存在,另一方面,也需要根据业务情况的变化不断地修改和补充信息安全策略。
信息安全策略的内容应该有别于技术方案, 信息安全策略只是描述一个组织保证信息安全的途径的指导性文件,它不涉及具体做什么和如何做的问题,只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术,也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核,即能够对组织内各个部门信息安全策略的遵守程度给出评价。
信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述:
条目1 “任何类别为机密的信息,无论存贮在计算机中,还是通过公共网络传输时,必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护。”
这个叙述没有谈及加密算法和密钥长度,所以当旧的加密算法被替换,新的加密算法被公布的时候,无须对信息安全策略进行修改。
二、信息安全策略的制定
一个组织制定信息安全策略的基础是组织业务系统的组成,信息安全策略的制定者首先要确定哪些业务部分是孤立的,哪些部分是相互连接的,系统内部人员采用什么通信方式,各个部门采用什么业务运做方式,而这些都是随时间不断变化的,因此,在需要时信息安全策略的制定者要对信息安全策略进行修改和调整。
衡量一个信息安全策略的首要标准就是现实可行性。因此信息安全策略与现实业务状态的关系是:信息安全策略既要符合现实业务状态,又要能包容未来一段时间的业务发展要求。
实际上,制定信息安全策略应该是一个组织保证信息安全的第二步,在制定信息安全策略之前首先要确定安全风险量化和估价方法,明确一个组织要保护什么和需要付出多大的代价去保护。风险评估也是对组织内部各个部门和下属雇员对于组织重要性的间接度量。一般对于一个的业务组织,不存在不计成本的信息安全策略。因此,信息安全策略的制定者要根据被保护信息的重要性决定保护的级别和开销。安全风险评估要回答的问题包括:
组织的信息资产是什么?
哪些信息对于维护组织正常的业务运转和实现赢利必不可少?
哪些种类的风险是需要特别预防的?
三、信息安全策略制定过程
信息安全策略的建立和执行会增加下属部门的工作负担,开始的时候很可能遭到抵触,进而导致在信息安全策略方面的投资预算不能立刻奏效。
建立信息安全策略的过程应该是一个协商的团体活动,起草小组应该包括业务部门的代表,信息安全策略草稿完成后,应该将它发放到业务部门去征求意见,弄清信息安全策略会如何影响各部门的业务活动。同时在这些活动中,发现一些熟悉部门情况能代表部门意见帮助与部门进行沟通的业务联络人员。
在这个过程中,可能会遇到诸如是否允许兼职人员进入系统,是否允许雇员将工作带回家去处理等一些问题,这时候往往要对信息安全策略作出调整,最终,任何决定都是财政现实和安全之间的一种权衡。
四、信息安全策略框架
信息安全策略的制定者综合风险评估、信息对业务的重要性,管理考虑、组织所遵从的安全标准,制定组织的信息安全策略,可能包括下面的内容:
- 加密策略—-描述组织对数据加密的安全要求。
- 使用策略 —描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全。
- 线路连接策略—描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。
- 反病毒策略—给出有效减少计算机病毒对组织的威胁的一些指导方针,明确在哪些环节必须进行病毒检测。
- 应用服务提供策略—定义应用服务提供者必须遵守的安全方针。
- 审计策略—描述信息审计要求,包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。
- 电子邮件使用策略—描述内部和外部电子邮件接收、传递的安全要求。
- 数据库策略—–描述存储、检索、更新等管理数据库数据的安全要求。
- 非武装区域策略—-定义位于“非军事区域”(Demilitarized Zone)的设备和网络分区。
- 第三方的连接策略—定义第三方接入的安全要求。
- 敏感信息策略—对于组织的机密信息进行分级,按照它们的敏感度描述安全要求。
- 内部策略—描述对组织内部的各种活动安全要求,使组织的产品服务和利益受到充分保护。
- Internet接入策略—定义在组织防火墙之外的设备和操作的安全要求。
- 口令防护策略—-定义创建,保护和改变口令的要求。
- 远程访问策略—-定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求。
- 路由器安全策略—定义组织内部路由器和交换机的最低安全配置。
- 服务器安全策略—定义组织内部服务器的最低安全配置
- VPN安全策略—-定义通过VPN接入的安全要求。
- 无线通讯策略—-定义无线系统接入的安全要求。
五、信息安全策略的配套标准
一个组织制定出信息安全策略之后,还需要制定一系列的配套标准来规定人员和部门如何遵守信息安全策略,比如针对条目1的规定,可以为财务部门的计算机数据加密规定如下的标准:
1)所有安装Windows 2000的财务部门计算机应该利用内置加密文件系统EFS将所有文件夹和子文件夹配置成自动加密文档方式。
2)所有人员必须将公司的文件和信息存放在加密的硬盘分区上。
3)计算机技术部负责保管EFS恢复密钥,此密钥只能由计算机技术部经理和内部审计经理访问。
类似地,对于掌上电脑中信息的加密,对于电子邮件消息的加密,仍然需要规定其他的标准。这样,条目1所规定的加密策略才能保证得到执行。在这些标准里,要明确说明使用什么产品对什么类型的信息进行加密。这样做带来的好处是:
1)策略描述了总体的安全目标和方向,不会因为技术产品的升级而过时,一个信息安全策略应该能够使用几年甚至十几年的时间。
2)充分考虑不同部门的业务差异。各个部门的安全要求可能很不相同,各个部门通过制定不同的部门标准可以获得一定的自主空间。
3)详细的标准便于雇员查找、了解和学习安全规定。
信息安全策略是具有明确的时效性的,在一个组织机构内设立的信息安全策略必须向它的职员和各个部门明确这些策略和标准的有效期,避免因为对时间理解错误造成的混乱。
六、信息安全策略的推行
建立对信息安全策略的支持和服从是一个艰难的过程,使用“这将造成严重后果”这样的威胁性语句对于雇员的影响是有限度的,过于频繁的安全警告最终会降低大家的注意力。
采用以业务为中心的对话,提醒员工所面对的信息有极大的价值和需要给予特别的保护倒是行之有效的措施,同时信息安全策略制定者也应该掌握安全和业务需要之间的平衡,争取尽早得到最高管理层的理解和支持。
信息安全策略的推进手段
无论信息安全策略考虑得有多好,制定得有多详尽,但是如果人们不知道这些策略,仍然毫无用处。一个信息安全策略如果是由最高管理者颁布的,则是一个好的开始。 除此之外,还有一些好的手段:
1)印刷日历,强调每个月不同的策略,将它们张贴在办公室中。
2)利用幽默和简单的语言表述信息安全策略,分发给每个雇员。
3)设立一些几十分钟的内部培训课程。
4)进行信息安全策略知识竞赛。
5)将信息安全策略和标准发布在内部系统的网站上。
6)向公司员工发送宣传信息安全策略的邮件。
7)建立内部安全热线,回答雇员关于信息安全策略的问题。
制定和执行信息安全策略需要付出大量的努力,也是一个持续性的工作,需要起草和更新标准,需要对雇员进行培训,需要测量策略符合程度, 但是,建立和执行组织机构的信息安全策略之后,安全问题就成为机构日常业务工作的一部分,安全工作就走向制度化。
八、工具支持
与信息安全策略管理有关的活动很多,象配置管理,规则设置管理,口令管理,缺陷管理,补丁管理,用户管理等等。为了减少信息安全策略维护中的劳动,可以使用一些信息安全策略管理工具。
信息安全策略管理工具可以帮助存储信息安全策略,提供不同的模板帮助用户撰写信息安全策略,帮助建立内部的信息安全策略网站,将高层的信息安全策略目标或者已有的行业规定转换成相符合的低层可操作的策略、监视配置改变。
这方面工具有PWC ESAS,PoliVec、PentaSafe、Symantec等。 这些工具在支持信息安全策略管理方面也各有自己的特点,比如PoliVec 使用四个D来描述策略自动化过程定义(Define)、探测( Detect), 展开(Deploy )和文档( Document)。而PentaSafe是一个集成的信息安全策略管理工具,具有支持策略开发与发布、雇员训练、策略符合度评估等内容。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
加强选举安全,他们是这样做的……
为了提高选举安全以及抵御恶意民族国家和非国家行为者的威胁,新的组织将提供实用的解决方案,让选举管理人员、选举基础设施提供者和竞选组织可用来提高网络安全性……
-
对于企业来说,自加密驱动器是好的选择吗?
加密敏感数据是信息安全的关键要素,因为这可确保企业信息的保密性。然而,大多数用户发现很难部署加密,并且,企业管理员通常难以对所有用户设备执行加密。而自加密驱动器和设备正是这些加密问题的潜在解决方案……
-
五个实用的网络边界安全技巧
随着网络边界逐渐消失,信息安全人员需要努力确保企业安全性。在本文中,Nemertes Research创始人兼首席执行官Johna Till Johnson探讨了确保无边界网络安全性的五个技巧。
-
如何精简你的安全投资?
CISO和安全管理员在精简安全投资方面达成了一致,然而如何做仍是个问题。关于这一点,企业主管或管理员可采取怎样的措施?