前言:中文期刊网精心挑选了公司信息安全建设范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公司信息安全建设范文1
由第三方通过自身所具备的功能而为客户服务的就是公有云,也可以叫做开放云。一些企业在运用公有云之后,不再需要云计算就能够快速的通过互联网而进入到云服务。从现在的发展趋势分析,云服务为促进公有云的发展,保护公有云的信息泄露已经做出了相应的措施,然而并不能取得很好的效果,企业的数据如果丢失必然会造成利益的破损。所以,公有云的信息保护在大部分企业看来仍然采取质疑的态度,可见加大对公有云的隐私信息建设迫在眉睫。
1,确保公有云信息安全保护有明确的方向
1.1 建立合理的解决措施
客户使用公有云是为了完善对数据的录入、传导以及访问。可见,作为提倡公有云的商家来说,要想加强对信息的安全建设,就要树立数据保护的理念,保证数据能够安全的进行保存、输出以及访问。第一,要想保存的数据不被丢失,作为运营商,就应该将所保存的资源置于虚拟存储池内,因为虚拟存储池内的数据都会具备一份以上的镜像,如果保存的数据被破坏了的话,镜像就可以保障数据的完整性,让客户能够放心,除此之外,还需要做出将数据多个备份的措施,确保每一个数据都有备份。如果数据不在了,就需要通过备份来还原之前的数据。但是必须要引起关注的是,如果数据是因为一些重大灾害而损失了的话,就要通过容灾机制把这些数据分开进行保存。第二,在传输中,如果出现数据被终止、偷盗、改编等现象,运营商就要通过对数据的加密来保障信息的安全。数据在访问中,既要能够将不一样的客户数据进行分隔,又要注意预防一些运营商通过客户不知道的手段而对数据访问,所以必须要确保对身份的监督、访问的限制等方面的严密性。
1.2 增强对企业客户的信息安全服务
用户在使用公有云的过程中,不能够很好的掌控数据的安全危害。若是出现了这种状况,企业客户就会担忧自己数据被暴露的问题。而这同时也是企业客户用来判断自己应不应该采取公有云服务的标准。可见运营商想要让众多用户去采纳公有云服务,就要竭尽全力的去为客户的信息安全建设服务。就企业的客户来说,能够通过好比私有云一类的服务,分隔开企业客户和别的用户之间的数据,对于网络上的资源,也可以通过独享的手段,远离网络上的各种危害。
1.3 增强对公有云的监督和管理
运营商若要想为用户提供更放心的数据保护以及信息安全的服务,就要增强对其的监管。运营商内部一旦有了缺口,就会面临企业内部的人们去盗取用户数据的后果,公有云的发展必然会收到限制。就这种现象来说,运营商必须要加强对内部的监督和管理,随时进行检查,对于内部所有的操作人员的家世背景以及个人品德都要有一定的掌握,并创建一定的管理机制,以防内部人员的不良行为出现。另外,还需要搜集每一天的工作日志,对内部人员的工作日志进行分析,既能够统整公有云的发展状况,又能够监督内部人员的行为。在定时分析统计上来的日记过程中,能够更快的找到公有云发展中的不足,并且能够为第三方运营商提供审核的稿件。
除了这些操作,我们还能够将第三方的监督系统导入到公有云的发展中,第三方监督系统既制约了提供云服务的运营商,又束缚了采纳云服务的用户,通过第三方引入来增强安全保密性能,还能够确保公有云产品多功能、高质量的生产,使用户能够更加信赖云服务的运营商,促进公有云的发展。
1.4 对大数据进行分析,采取风险预警策略
运营商若想保证自己所提供的服务受大部分用户的信赖,就必须能够确保自己能够供应真实安全的资源,因为用户所追求的云服务就必须具备高能、可靠以及稳定的特点。运营商如果想要自己的公有云服务得到用户的认同,就得通过一些现代的方式策略来对数据中的安全风险进行预估。目前,比一些专家的预估能力还可靠的是比较先进的现代技术。运营商利用这种大数据策略来对运行的数据进行登记,比如内存的容纳性以及磁盘的可利用性等,在这种数据的基础上再次通过数据的挖掘方式,就能够完成对系统风险的估计。一旦这个系统超出了警戒的范内就会马上对工作人员报警,然后工作人员就能够立刻整顿资源,以保证用户的数据不被丢失,信息不被泄露,对自己的整体水平也有一定的帮助。
1.5 制定安全管理规范体制
公有云的信息安全从一定意义上来说,需要从云安全的标准规范以及评价体制等多角度分析。可见运营商要增强公有云的安全保护服务,就要制定合理的安全管理规范体制,从而有效的处理公有云发展中出现的安全隐患。在这个规范体制中应该包括互联网安全预测系统、数据的导入与输出功能、信息安全管理服务与监督服务。利用这些服务来完善公有云的发展,帮助其更好的保证数据的可靠性和公有云平台的监督与评价。互联网信息安全估测能够帮助运营商为用户提供真实可靠的安全管理服务,另外它还能够很好的对网络安全进行保护,比如危害预测、病毒侵入等等。而数据导入与输出的安全监管服务能够测评公有云数据的可靠性与安全系数,保护公有云的数据安全。而信息安全管理与监测服务能够及时的对平台的运行状况进行监督,而且能够估测其服务的品质。除此之外,它还能够认可公证公有云上的主体。
2. 结语
综上所述,运营商要想为用户建立信息安全保护屏障,就应该增强对公有云信息的安全创设,从而让更多的用户认可公有云使用公有云。根据分析可见,首先,为保障数据的安全保存、导入与访问,运营商就要制定一个数据安全处理的计划。并且运营商为保证大客户的信息不被泄露,还应该提供云安全的服务功能。其次,运营商还应该加大对公有云服务的管理力度,通过采取风险预警技术,制定安全管理规范体制等方式来实现信息安全建设,从而加快公有云的前进步伐。
参考文献:
公司信息安全建设范文2
信息时代的到来,给现代企业的发展注入了新的发展元素,强化信息化建设成为企业内部控制管理的重要内容。但是,企业具有趋利的天性,强调经济效益为导向下的企业发展模式,进而对信息安全建设落实不到位。首先,企业缺乏信息安全防范意识,主观能动性相对比较欠缺;其次,企业信息安全宣传教育工作疏于开展,导致企业职工在网络操作中,出现不规范的违法行为,进而为黑客及病毒的攻击创造了机会;再次,企业缺乏信息安全风险管理制度的建立,导致信息风险管理流于形式,无法满足企业信息安全发展的需求。
2应用系统安全性不高
企业信息化建设的实现,依托于各种应用系统的有效应用。但应用系统安全性不高等问题,在很大程度上影响了企业的信息安全。一方面,应用系统设计本身存在不足或安全漏洞,如数据传输、存储采用明文的方式。这样一来,数据极易被恶意软件、木马所窃取,实现非法访问,进而造成企业信息丢失或泄露等安全风险;另一方面,企业应用系统的安全防范模式相对比较单一,通过“口令”的认证模式,难以构建完备的安全防范。并且,企业职工在密码设置上,过于简单,且操作行为不规范,这也造成应用系统安全风险增加的重要因素。
3企业信息安全风险的控制策略
企业信息安全风险的控制,关键在于如何营造安全的信息环境、强化安全技术体系的构建,以及风险控制的制度建设,从本质上优化企业信息安全的内外环境。因此,企业可着力于以下几个方面,优化与调整企业信息风险控制的有效性。
3.1注重信息安全建设,设置安全管理机构
信息安全是企业信息化建设的重要基础,注重信息安全建设的狠抓落实,是企业强化内部控制管理的必然需求。当前,企业疏于信息安全管理工作的落实,导致企业所处于的信息环境“危机四伏”。因此,首先,企业应加信息安全纳入到安全管理之中,夯实信息安全建设管理的重要地位。其次,建立健全的安全责任制度,并逐步形成联动的信息安全管理机制,提高信息安全管理的有效性;再次,设置安全管理机构,负责企业信息安全的建设、管理,以及信息安全人员的教育培训等工作,为企业信息安全风险的控制创造良好的内部环境。
3.2强化防火墙设计,提高信息安全防范能力
当前,黑客攻击、木马入侵等在很大程度上增加了企业信息安全风险,不利于企业信息化建设的推进。因此,强化防火墙设计是提高企业信息安全防范能力的重要举措。一些企业在信息安全设备的应用过程中,存在不规范、错误使用的问题。不同功能、品牌的安全设备由于兼容性差,导致安全设备的安全防范能力下降。这就强调,企业在安全防范体系的构建中,要注重科学合理原则,针对企业信息安全建设的需求,做到体系的完备性与安全性。例如,企业在信息安全风险防范体系的构建中,可以引入终端安全管理系统。在这方面,杀毒软件公司瑞星是典型的案例。瑞星公司在其终端安全管理体系的构建中,使用了“统一系统平台+独立功能模块”的设计理念,具体如图2所示。这样一来,不仅提高了企业信息安全防范体系的构建,而且优化了企业信息系统运行的环境。
3.3提高信息安全意识,规范操作行为
良好的主观能动性是提高企业信息安全风险控制的重要基础。首先,企业要强化安全管理人员的安全意识,规范并引导其管理工作的有效落实。尤其是在管理工作中,严格依照相关的规章制度进行,避免人为管理或操作不当,而造成信息安全问题;其次,积极推进企业安全文化建设,为信息安全风险控制的落实创造良好的内部环境。企业职工认识到信息安全的重要性,潜移默化中规范并引导职工规范信息操作;再次,做好信息设备的维护与保护等工作。一方面,要对企业的电脑等设备进行防雷、防磁等保护,让机械设备处于良好的环境下运行;另一方面,不定期开展设备维护工作,以便于及时发现问题、解决问题。
4结束语
公司信息安全建设范文3
政府、电信、金融等部门和行业对信息安全的投入加大成为推动市场的主要动力,而制造、能源等行业的安全投入增长迅速,为安全市场打开了更为广阔的空间。
信息安全业在中国信息化建设的进程中可算是一个新兴产业,产业的发展轨迹大体上包括了三个阶段:
萌芽阶段(2005年之前)
这个阶段的特点是,国内各行业、各部门开始萌生信息安全的意识――从最初的“重视信息化建设”却“轻视安全体系的构建”,发展至“意识到安全的重要性”并且“希望在企业内部实现安全”,但又认为信息安全很神秘,不知从何入手。在此阶段,各行业的客户都在有意识地学习和积淀信息安全知识,与这一领域的权威企业广泛交流,了解其技术、理念、产品、服务。安恒信息创始人范渊(Frank)就在2005年登上美国拉斯维加斯世界黑客大会并发表了Web安全异常入侵检测演讲,成为第一个登上黑帽子大会的中国人。与此同时,国内一些企业、部门也出现了一些规模较小的、零星的信息安全建设,但并未实现规模化和系统化;而且这个时期政府对于信息安全在宏观政策上的体现是呼吁较多,而具体的推进事务则比较少,虽然显得很热闹,但实际信息安全建设很少。
爆发阶段(2005-2009年)
这个阶段的特点是,国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。企业客户已基本了解了信息安全的建设内容与重要意义――很多行业部门开始对内部信息安全建设展开规划与部署,企业领导高度重视,投资力度不断加大。由此,信息安全成为了这一阶段企业IT建设的重中之重。而安恒从2007年创立,挺住了生存和发展的压力。至今公司已经走过了四个春夏,秉承“精品创新,恒久品质”的理念,以其精湛的技术、专业的服务得到广大客户的青睐,同时赢得了高度的商业信誉。
2006年以来,安恒信息创始人范渊在美国黑帽子大会全球首款具有网站深度风险扫描和审计渗透能力的Web应用风险扫描器。在这期间,安恒信息国内首款Web应用深度防御系统――Web应用深度防御审计系统、国内领先的数据库弱点扫描器、数据库审计与风险控制系统。2007年年底,安恒信息全球首款既有深度网站风险扫描能力,又具备全面网页木马检测与溯源功能的Web风险深度扫描系统2.0――MatriXay WebScan 2.0版本。
在安恒,产品的发展永远是围绕着客户、围绕着客户的需要。以产品创新与一流服务引领技术发展,利用革新性安全产品为企业Web应用与数据安全提供更大价值,持续探索科技的无限潜力是安恒永远追求的目标。也正是因为创新,安恒成为了2008年奥组委、2010年世博会和亚运会的安全产品和服务提供商。
上升阶段(2010年以后)
信息是当今社会发展的重要战略资源,也是衡量一个国家综合国力的重要标志。对信息的开发、控制和利用已经成为国家间相互争夺的内容;同时,信息的地位和作用也在随着信息技术的快速发展而急剧上升,信息安全的问题也同样因此而日益突出。
应对变化,只有不断创新,企业才能得到长远的发展。公司这四年的成长也使得我一直在思考什么是创新,创新是一个企业的灵魂,也是个人不断追逐新境界和到达新目标的必经之路,安恒需要这样的气质和精神,以最好的产品和服务,来创造客户和安恒的最大价值。
作为业界领先的应用安全及数据库安全整体解决方案提供商,安恒产品涵盖的Web应用防护、Web应用审计、Web应用弱点扫描、数据库风险审计、数据库弱点扫描和综合审计等领域,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品已不能满足市场的需要。而面向应用层面设计研发的主动防御设备已经占据一定的市场份额,尽管其识别未知威胁并及时采取有效防护的能力还不尽完善,只要坚持不断创新,相信安恒的进一步发展还有很大的空间。
公司信息安全建设范文4
市场需要安全集成服务
信息安全服务因为涉及用户信息化建设和管理制度的多个方面,显得更加复杂。“现在,信息安全、软件、网络,往往被企业分成三个包,在信息化建设招标中被分包给不同的企业,独立的市场需求使得这个产业很快成熟起来。”申龙哲这样说,“信息安全市场的快速成长速度也曾给产业带来了困惑,许多安全产品厂商还延用着以自身产品为中心,为用户提品、方案设计、系统集成、后期服务等多种信息安全服务的传统做法。但如今规模较大安全需求较高的用户进行信息安全建设时,通常要考虑多个安全平台的建设和协同,涉及多种产品和技术手段,关系到厂商、用户、主管单位和制度建设等多个方面,必须要有一个理论扎实、经验丰富,能站在更高的高度上统筹全局的安全服务提供商,来对项目的咨询、设计、选型、实施、服务等多个环节提供全面支撑。”
产业链亟待成熟
“目前安全服务市场包括两类企业,一类是安全产品厂商,另一类是信息安全的集成服务商。”申龙哲说,“信息安全集成服务市场还处在培育期,产业链需要成熟、明晰分工。比如说某些安全产品厂商也在将自己的安全集成服务业务剥离出来,在大型综合性项目里信息安全产品厂商和信息安全集成服务商为了实现更好的实施效果,也开始尝试进行全面的合作,这都是大趋势。”
按照公司整体战略的愿景,太极信息安全事业部提出了做“可信赖的信息安全服务专家”的发展目标,谈到太极的竞争优势,申龙哲成竹在胸。
首先,太极公司具有深厚的技术积累和人才储备。太极公司与华北计算技术研究所,从“八五”期间即开始从事与信息安全相关领域的研究和产品开发工作。华北计算技术研究所强大的研发实力和成熟产品与太极公司丰富的行业服务经验相结合,形成了太极公司强化网络安全集成方案的独特优势。
其次,太极非常注重在提供各类应用服务的过程中采用成熟的安全产品及技术,从中积累了大量系统集成服务的经验,结合太极近20年的行业服务经验,太极在提供任何网络系统集成服务方案时,都将实用、安全放在第一位,为用户“量体裁衣”制订个性化方案,这无疑是最符合用户需求的。
第三,太极一直强调以用户为导向进行开发。例如,太极公司在建设网络安全平台时一直坚持“博采众长”的原则。这使公司在挑选系统集成方案过程中,不带任何倾向性,始终坚持最优化的选择,坚持服务用户的思路,为用户搭建出性能最佳的安全平台。
第四,太极一直把“值得信赖”作为打造太极品牌的关键因素,公司成立20年来,积累了一大批核心用户,我们是与用户共同成长的。
申龙哲说:“在政府行业太极已经是信息安全集成服务的绝对领先者,但是我们更希望更多有实力的企业参与到竞争当中来,把市场做大、做规范。去年公司年终总结大会上我曾说:‘信息安全,希望与挑战并存。’希望我们的事业伴随信息安全市场的发展,在希望中不断成长。”
太极信息安全成功案例
•北京市建委网络安全运维服务项目(北京市建委)
•国家发展改革委计算机网络改扩建安全设备及软件采购与系统集成工程
•国家棉花市场监测系统安全系统建设项目
•外经贸专用网CA容灾备份项目网络安全项目
•国家工商行政管理总局网络与信息安全建设项目-基本防护系统建设及安全维护服务合同书
•北京市监察局纪检监察专网系统改造工程项目
•外交部“某系统”防病毒、内网安全软件及IPS设备采购项目
•外交部“某系统”网络交换机采购项目
•某网络安全防范系统建设
•重要网络风险评估服务政府采购项目
公司信息安全建设范文5
1.1安全防御意识缺失
企业内部人员并没有充分认知到网络安全防护的重要性,安全防护意识存在很大程度的缺失。随着数字化技术的普及,网络办公方式将逐步实现数字化,办公模式网络化将会致使企业内部人员对自动化技术产生高度依赖性。但是企业内部人员并没有对网络安全防护工作给予高度重视,很多企业内部的防御系统都存在陈旧老化的现象,没有对网络防御系统进行及时更新,网络建设没有足够的资金支持,没有针对网络安全构建完善的防护机制;面对网络恶意破坏,企业内部的网络系统并不具备良好的抵抗能力,一旦遭受破坏,将会很难进行维修;企业领导者并没针对网络安全开设相应的管理部门,也没有配备专业人员对网络系统进行信息安全监管。
1.2网络非法入侵
企业网络系统存在较多漏洞,网络黑客将会利用这些漏洞非法入侵企业内部网络系统,继而篡改企业信息资源、下载企业重要资料,致使企业内部商业机密出现损坏、丢失或是泄漏等问题,会对企业的生存与发展造成巨大的不良影响。除此之外,网络黑客还可以利用网络系统漏洞,冒充他人,在网络上进行非法访问、窃取商业机密、泄露传输信息、诈骗、对计算进行病毒破坏以及干扰等行为,对企业的信息化网络工程建设造成非常大的威胁,是企业实现信息化建设的主要障碍性因素。
1.3网络病毒
网络病毒可以通过多种途径对企业网络系统进行感染与侵害,例如,文件打开、软件下载、聊天传输信息以及邮寄电子邮件等。病毒可以通过及时网络进行传播,因此网络病毒的感染范围非常大,感染效率较快,对企业网络系统具有较大的危害性。随着计算机技术的普及,网络技术在各个领域受到了大力推广,为网络病毒的传播提供了主要途径,并在很大程度上提高了网络病毒的感染效率。企业内部人员在使用介质软件或是数据时,都有可能促使企业网络系统感染网络病毒,致使企业网络系统出现崩溃现象,整个网络工程处于瘫痪状态,导致企业网络系统无法发挥自身的服务功能,会给企业造成严重的经济损失。除此之外,网络病毒还可以采取其他手段对企业网络系统进行病毒感染,例如窃取用户名、登录密码等。
1.4忽视内部防护
企业在构建网络化工程时,将对外工程作为系统防护重点,高度重视安全防火墙技术,并没有对内部防护工程的重要性形成正确的认知。安全防火墙只能提高企业网络工程的对外防护质量,对内部防护毫无作用,如果使用企业内的计算机攻击网络工程的局部区域,网络工程的局部区域将会受到严重破坏。现阶段,内部攻击行为也被列为企业网络安全建设的主要障碍性因素之一,因此,企业领导者要高度重视内部防护工程建设,只有这样,才能确保企业网络化工程实现安全建设。根据相关调查资料显示,现阶段,我国企业网络所遭受的安全攻击中,内部网络攻击在中发生事件中占据着非常大的比例,企业内部人员对于网络安全没有形成良好的防范意识、网络结构被无意泄漏、IP地址随意更改、乱用敏感数据等都会对企业网络系统内部防护工程造成巨大威胁。
2企业实现网络安全建设的具体措施
2.1完善网络安全体系
企业内部人员在构建网络化工程前,要深入了解网络信息的安全情况,对网络信息的需求进行准确把握,具体分析企业内部人员的使用情况以及非法攻击情况,继而采取科学合理的措施,开展具有针对性的信息安全管理工作,这样可以为网络安全建设提供基础保障。企业网络化工程安全性受到影响主要体现在两方面,分别是外部入侵、内部使用。内部使用是指企业内部工作人员没有遵照相关规范标准进行网络操作、信息安全防护意识存在缺失等,致使企业内部信息出现泄漏等现象;外部入侵是指网络木马、黑客攻击以及网络病毒等。这两种方式都会对企业网络安全建设造成巨大的不良影响,会致使企业信息丢失,危害企业的生存与发展,因此,企业内部人员应根据企业网络化工程的实际使用情况,构建相应的安全体系,企业领导者还要针对工作人员的行为进行标准规范,避免工作人员在实际网络应用中,出现违规操作行为,提高企业内部人员的安全防护意识,并构建软硬件防护体系,可以有效抵抗外部入侵,从而保障企业网络信息的安全。
2.2构建网络安全系统
现阶段,企业在网络化工程建设过程中,主要采取两种防护方式构建安全系统,分别是软件防护、硬件防护。面对现阶段科学技术发展对网络安全建设提出的要求,企业内部人员在构建网络安全系统时,应该将软件防护与硬件防护进行有效结合,只有这样,才能确保企业网络工程系统实现安全化建设,提高网络信息的安全性,促使网络化工程的服务功能得以全面发挥。随着企业规模的不断扩大,企业内部人员要想全面提升企业的网络化工程的防护能力,还要对网络硬件的使用情况进行深入分析,继而才能对防火墙服务器标准进行选择,这样可以有效提升服务器的可行性。企业内部人员要想构建良好的网络安全系统,首先要对系统硬件设备进行深入调查,确定系统设备类型,准确把握企业内部人员的实际使用需求,继而再对防火墙类型进行选择。
2.3对网络安全设置进行有效强化
首先,企业内部人员要对企业网络系统进行充分了解,准确把握其与互联网之间的接入方式,然后选择适宜的软件设备以及防火墙设备,这样可以促使互联网与企业网络化工程之间实现安全接入,有效提升企业网络工程的防护能力。对于企业原有的防火墙,不应进行拆除,应该在其基础上构建入侵检测系统,这样可以对企业内部网络工程的运行状况进行实时检测,如果有突况,可以进行及时反映,这样不仅可以为企业内部人员的工作提供很大的便捷性,还能为企业网络信息安全建设提供技术保障。为了实现移动办公,企业内部人员可以构建一种加密系统,例如,VPN加密系统,利用该系统,企业内部人员可以通过互联网对企业内网进行访问,而不必担心出现信息泄露等情况,可以有效提升企业网络安全的防护功效。
3结语
公司信息安全建设范文6
在过去的几年里,随着我国银行业改革与发展速度的加快,银行信息化建设进一步加强,取得了突出的成绩。各大商业银行切实加快了新一代综合业务系统和全国数据处理大集中的建设,信息化进一步服务于金融业务发展的需要,使金融创新能力、服务质量和核心竞争能力显著提高。
放眼国内几大商业银行,营业机构遍及全国,各家银行的开发中心也在朝着研究与开发、管理与运维支持的一体化目标迅速迈进,并逐步具备了相当的规模和管理规范。
商业银行开发的中心,都承担着各自银行核心业务系统的开发重任,在建立了基本完备的信息系统基础设施之后,如何将庞大复杂的计算机网络和异构平台维护好,如何保障网络和信息系统的7×24小时高效、稳定地运行,如何确保开发活动和成果能够持续、可靠地进行,如何在知识产权管理、人员管理、系统开发过程管理方面做到完善,这些都是亟待解决的问题。
作为金融服务机构,各大商业银行本身在基础设施可靠性、业务系统安全控制、数据处理保护等方面都给予了极大的关注,通过容灾系统、CA认证体系、用户访问控制、电子令牌等安全措施的建立和运用,已经取得了显著的成绩。
不过,就软件开发这种具体业务模式来说,除了基于传统的软件工程过程规范,并且参照CMM体系对整个系统开发进行控制外,商业银行开发中心在信息安全方面还应该有其特别的考虑。
目前,商业银行开发中心的信息安全关注点主要表现在:
如何建立有效的信息安全管理体系,对组织信息安全有全局部署和整体管控;
如何对研发数据进行保护,包括客户信息、开发和测试数据、重要的文件等。如何采取措施,防止这些重要信息的泄漏;
对整个软件开发过程,在基于CMM建立开发流程和度量机制的基础上,如何考虑安全控制的问题。特别是在有大量外包开发项目的情况下,如何做到对外、对内安全控制的一致性;
对重要的开发成果,如何做好知识产权保护工作。
基于对商业银行开发中心目前面临的问题和提出的需求的分析,笔者提出了一种分阶段实施的信息安全管理体系构建方案。最终的目的,是使开发中心将信息安全的整体建设落到实处,在保持银行系统多年积累的信息安全建设成果基础之上,使信息安全植根于各方,从而能提升自身信心,给外部客户更多安心。
值得说明的是,笔者这里提出的方案,只是从信息安全管理体系整体框架建设、阶段性发展战略、各阶段目标诉求等大的方面来阐述,具体解决之道和实施办法,还不能一概而论。
在做任何规划项目之前,必须有清晰的目标。我们知道,一座宏伟的建筑要最终完成并投入使用,必须经历一个过程,而最开始设计并确定建筑蓝图则是非常关键的。有了明确而可行的蓝图,我们才能预期最终建筑的模样,才能选择合适的材料,才能沿着正确的工序,一步步去完成。说到底,蓝图代表着整体的规划和实际的目标,并且决定着最终建筑的成败。
信息安全也是如此。任何信息安全的建设活动,通常都强调所谓CIA(保密性、完整性、可用性)三元组的目标,这是信息安全的基本要素和安全建设所应遵循的基本原则。
但是对企业组织来说,CIA的实现并不能代表信息安全的终极目标,毕竟信息安全是企业经营和业务发展的需要,是为企业业务活动提供支持和服务的,因此,在做出任何战略规划之前,企业都应该明白,其信息安全的最终目标,将是采取可行的控制措施,通过实现信息的CIA保护,最终使得依赖信息系统的业务活动能够持续、稳定、可靠地运行和保持下去。对商业银行来说,也是如此。
当然,无论是要实现CIA直接目标,还是要最终确保业务活动的持续性,组织都应该付出一番努力,通过一系列有规划、有继承的过程活动,在信息安全方面才能有所建树。
从商业银行开发中心面临的信息安全需求来看,大的诉求也是如此:借助有效控制和管理措施,防止关键数据泄漏,保护开发成果和知识产权,确保开发业务活动能够持续、可靠地进行,最终赢得内部信心和外部信任。
不过,为了实现大诉求,商业银行开发中心必须在信息安全建设方面细化目标并做蓝图规划,这样才能为今后工作提供指引。
在信息安全目标实现上,商业银行开发中心可以考虑三个层次:
近期目标:通过实施有效的控制措施(包括技术上的和管理上的),确保开发数据能够得到保护,防止文件泄密,保护公司的开发成果和知识产权;对外包开发实施有效控制,杜绝安全隐患。
中期目标:从整体上考虑信息安全管理体系建设的问题,规划并建立完整的信息安全管理体系和框架,全面提升人员安全意识,使得各种问题和应对措施都能够在一个一致的、完整的、持续改进的机制下进行,真正实现信息安全自我发展的模式。
这其中,近期目标是最实际、也是最容易看见的,通过恰当的规划和控制实施,能够得以实现,但采取具体技术和措施只能解决一些点上的问题,信息安全建设更关键的还在于控制整个面。
商业银行开发中心可以考虑首先实现中期目标,然后达成近期目标。因为针对具体问题解决的近期目标,有赖于信息安全管理体系的实现,如果没有一个成熟稳定的整体框架,具体问题的解决将很难做到彻底,也会牵引出更多难以预料的麻烦。而首先建立有效的ISMS(信息安全管理体系),在统一框架指引下,再去一一解决通过风险评估及其他途径发现的最为突出的信息安全问题,这会让工作更易于开展。当然,从长远来看,让ISMS可度量并且自我发展,实现IT有效治理,是必然的诉求。
明确了目标,商业银行开发中心还必须设定范围并规划整体蓝图,以便让之后每个阶段和每个具体的实施活动都能够朝着正确的方向前进,并且能够随时检验阶段及最终成果是否符合预期。
蓝图中首先明确的是信息安全建设的核心目标,即实现信息安全的CIA并最终确保业务持续性。
为了实现核心目标,企业还必须明确信息安全方面的现实需求,并且用确定的、无矛盾的、可实施的一套规范要求来具体实现,这些层次化的文件将为所有信息安全活动提供指导,最终导入信息安全需求的实现。
有了目标和要求,还必须明确信息安全的对象,也就是要保护的东西――信息资产,包括各种关键数据,应用系统、实物资产、设施和环境,以及人员。信息资产的明确界定,将使信息安全控制的实施有引而发。而对这些资产的保护,将直接关系到业务持续性这一最终目标的实现与否。
为了对信息资产实施保护,必须采取一定措施,经历一番努力和过程,最终才能实现既定目标。信息安全的建设过程,表现为一系列流程的实现,最终体现出的是所谓PDCA的过程模型:信息安全先做规划,明确需求,制定应对方案;实施解决方案;通过检查,巩固成果,发现不足;采取后续措施,改进不足,推动信息安全持续进步。
为了实现这一蓝图,商业银行开发中心可以制定阶段性发展的战略规划,将信息安全建设工作分为三个主要阶段:
实现框架:在确定范围内建立信息安全管理体系,可以参照COBIT的框架和IS027001标准最佳实践。
