隨著信息技術(shù)的高速發(fā)展,Internet的問世和網(wǎng)上各種應(yīng)用的普及,信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等,這些信息安全問題已給組織或個(gè)人帶來了嚴(yán)重的威脅。信息安全已不再是以往簡單認(rèn)為的IT行業(yè)或大型機(jī)構(gòu)的需求,而是一個(gè)普遍的各行各業(yè)均面臨的迫切問題,如何確保企業(yè)信息系統(tǒng)的安全?我國云計(jì)算仍面臨四大挑戰(zhàn),其中包括:信息安全法律法規(guī)和監(jiān)管體系不夠健全。在與云計(jì)算安全相關(guān)的數(shù)據(jù)及隱私保護(hù)、安全管理等方面,中國云計(jì)算產(chǎn)業(yè)生態(tài)有著較大缺失。同時(shí),由于對安全的擔(dān)心和其他顧慮,云計(jì)算服務(wù)在中國的使用率也比美國等發(fā)達(dá)國家要低。
通過10月、11月為期兩月的信息安全管理體系認(rèn)證審核及不符合項(xiàng)整改關(guān)閉工作,2016年11月23日,云南電網(wǎng)信息中心獲得了國家信息安全認(rèn)證中心頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書,肯定了信息中心信息安全管理體系建設(shè)的前期工作,同時(shí)在信息安全管理層面上,明確了信息中心信息安全管理發(fā)展方向。
信息中心信息安全管理體系建設(shè)工作,從2016年3月至今,一共經(jīng)歷了現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評估、體系編制、內(nèi)部審核、安全培訓(xùn)、外部審核六個(gè)流程,現(xiàn)狀調(diào)研從4月5日至4月22日,歷時(shí)3周。通過資料采集、文檔分析和實(shí)地走訪等調(diào)研工作,從制度建設(shè)情況、信息安全戰(zhàn)略、組織與人員、信息安全風(fēng)險(xiǎn)管理、工程項(xiàng)目建設(shè)管理、運(yùn)行和維護(hù)安全管理、安全審計(jì)與改進(jìn)管理等方面,摸底信息中心信息安全管理水平,與ISO27001標(biāo)準(zhǔn)進(jìn)行對標(biāo)分析,得到《現(xiàn)狀調(diào)研與分析報(bào)告》、《差距分析報(bào)告》及《差距分析表》,確定項(xiàng)目開展的大致方向。
通過調(diào)研分析,14個(gè)領(lǐng)域,最終達(dá)到標(biāo)準(zhǔn)要求的僅有安全方針一個(gè)領(lǐng)域,而其他領(lǐng)域僅僅部分符合標(biāo)準(zhǔn)要求,113項(xiàng)控制項(xiàng)中(體系標(biāo)準(zhǔn)2016年9月正式出版2013版本要求,共114項(xiàng),但9月之前各企業(yè)與認(rèn)證機(jī)構(gòu)均以113項(xiàng)為標(biāo)準(zhǔn)),共有76項(xiàng)達(dá)標(biāo),達(dá)標(biāo)率為67%。這也意味著信息中心信息安全管理體系建設(shè)道路任重道遠(yuǎn)。
風(fēng)險(xiǎn)評估從5月9日至6月3日,歷時(shí)一個(gè)月。基于ISO27001信息安全管理體系認(rèn)證范圍,針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析,從而估計(jì)影響,最終選擇適當(dāng)?shù)姆椒ㄟ_(dá)到降低風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受剩余風(fēng)險(xiǎn)。在這個(gè)階段,信息中心依據(jù)ISO27001信息安全管理標(biāo)準(zhǔn),制定滿足標(biāo)準(zhǔn)要求的安全評估模型,同時(shí)確立風(fēng)險(xiǎn)評估流程,并基于流程,開展風(fēng)險(xiǎn)評估工作。
利用安全漏洞掃描工具、基線配置核查工具、網(wǎng)站安全漏洞掃描工具等商用成熟產(chǎn)品,配合人工滲透測試,對業(yè)務(wù)系統(tǒng)進(jìn)行了整體的風(fēng)險(xiǎn)評估。同時(shí)項(xiàng)目小組依據(jù)國內(nèi)外各行業(yè),總結(jié)整理出一套安全威脅調(diào)研庫,收錄多達(dá)130條安全威脅,并根據(jù)各個(gè)部門的情況,挑選適合的條目進(jìn)行基于部分的安全威脅調(diào)查與風(fēng)險(xiǎn)評估工作。最終,得到符合要求的《風(fēng)險(xiǎn)評估報(bào)告》、《漏洞掃描報(bào)告》、《基線核查報(bào)告》、《應(yīng)用掃描報(bào)告》及滲透測試報(bào)告。
風(fēng)險(xiǎn)評估一共囊括了303臺服務(wù)器,38個(gè)WEB應(yīng)用系統(tǒng),基于但不限制于ISO27001的范圍,在提高系統(tǒng)基礎(chǔ)安全的同時(shí),滲透測試共發(fā)現(xiàn)包括系統(tǒng)端口權(quán)限、用戶并發(fā)會(huì)話、后臺管理權(quán)限等16類業(yè)務(wù)安全問題。同時(shí),基于資產(chǎn)價(jià)值開展的安全威脅調(diào)研工作,從電子數(shù)據(jù)、紙質(zhì)文檔、計(jì)算機(jī)軟硬件、人員等方面,發(fā)現(xiàn)了信息中心在信息安全管理層面的薄弱點(diǎn),如由于員工對于信息安全保密分級的不了解,部分文件無法確定文件密級,導(dǎo)致員工不清楚文件泄漏后可能帶來的安全風(fēng)險(xiǎn);準(zhǔn)入系統(tǒng)策略推送失敗,部分系統(tǒng)屏保等基本策略推送不到位可能導(dǎo)致信息泄漏風(fēng)險(xiǎn)等。信息中心在對待風(fēng)險(xiǎn)的態(tài)度上,秉承著“不怕存在問題,就怕不解決問題”的原則,積極改進(jìn),同時(shí),風(fēng)險(xiǎn)評估的結(jié)果為之后的信息安全管理體系文件編制打下堅(jiān)實(shí)的基礎(chǔ)。
體系策劃與編制從6月8日至7月27日,歷時(shí)兩個(gè)月。選取ISO27001標(biāo)準(zhǔn)中114個(gè)控制點(diǎn)作為控制要求,編寫ISO27001控制點(diǎn)適用于信息中心的適用性聲明文件,同時(shí)依據(jù)適用性聲明文件及信息中心文檔管理相關(guān)制度,構(gòu)造信息中心信息安全管理體系文檔框架,并形成一套以“管理指南”命名,向上融合南方電網(wǎng)、云南電網(wǎng)管理體系,向下兼容信息中心信息安全相關(guān)工作的管理體系文件,共17冊。同時(shí)于6月27日至7月1日,召集各個(gè)部門項(xiàng)目建設(shè)小組成員,開展為期一周的封閉式文件評審工作。同時(shí)在7月4日至7月27日,通過評審意見的收集,文件的復(fù)審及修編,對管理體系文件進(jìn)行定稿。
內(nèi)部審核工作從8月9日至9月2日,歷時(shí)一個(gè)月。鑒于體系建立初期,中心各個(gè)部門項(xiàng)目小組成員對體系的了解可能不夠透徹,內(nèi)部審核采取委托咨詢公司人員,以一對一的方式,一邊對體系實(shí)施情況進(jìn)行審核,一邊對中心項(xiàng)目小組成員進(jìn)行相關(guān)培訓(xùn),完成體系內(nèi)部審核的同時(shí),提升項(xiàng)目小組成員關(guān)于ISO27001信息安全管理體系的理解和把握。依據(jù)內(nèi)部審核檢查表,內(nèi)部審核共發(fā)現(xiàn)7個(gè)體系運(yùn)行過程中遺漏或者有瑕疵的問題,并根據(jù)問題的特征,找到相關(guān)的部門,由相關(guān)部門牽頭,其余部門配合,完成問題的整改工作。并在內(nèi)部審核期間,召開了全中心人員信息安全意識培訓(xùn)及信息安全管理體系宣貫會(huì)議。同時(shí)內(nèi)部審核的結(jié)果通過管理評審,向中心各個(gè)部門進(jìn)行傳達(dá)。
經(jīng)過半年的項(xiàng)目建設(shè),中心的信息安全管理能力基于ISO27001標(biāo)準(zhǔn),整套體系已經(jīng)經(jīng)歷了一個(gè)從“無”到“有”的過程。為了明確中心信息安全管理水平的發(fā)展方向,同時(shí)驗(yàn)證中心前期所做的工作效果,中心向中國信息安全認(rèn)證中心提出ISO27001信息安全管理體系審核認(rèn)證申請,并于2016年10月13日至14日開展第一階段的文件審核工作。
中國信息安全認(rèn)證中心審核組在第一階段的審核工作中,查看了《云南電網(wǎng)有限責(zé)任公司信息中心信息安全管理工作指南》、《信息中心信息安全管理體系適用性聲明(SOA)》、相關(guān)控制措施文件、《云南電網(wǎng)有限責(zé)任公司信息中心信息安全風(fēng)險(xiǎn)評估工作指南》、程序文件、內(nèi)審及管理評審記錄、風(fēng)險(xiǎn)評估及處置記錄;巡視了辦公場所,并與相關(guān)人員進(jìn)行了訪談。審核對體系文件和信息安全控制措施建立情況,發(fā)現(xiàn)了2個(gè)問題13個(gè)不完善的控制點(diǎn),問題主要集中在信息安全風(fēng)險(xiǎn)評估的管理文件中對“殘余風(fēng)險(xiǎn)”的定義和批準(zhǔn)的要求描述不確切和信息安全控制文件編制中存在與實(shí)際工作結(jié)合不到位,以及信息中心對個(gè)別控制目標(biāo)要求存在理解不確切的情況。并給出了中肯的評價(jià)及可行性的整改建議。
信息中心根據(jù)第一階段審核組提出的建議,進(jìn)行了問題的整改,向中國信息安全認(rèn)證中心提出了第二階段的審核申請,并于2016年10月27日至2016年10月28日開展第二階段的審核工作。二階段審核涉及綜合管理部、人力資源部、財(cái)務(wù)部、應(yīng)用技術(shù)部、安全測評部和設(shè)備管理部等共十個(gè)部門,審核范圍為ISO27001:2013的標(biāo)準(zhǔn)條款涉及14個(gè)控制域包括信息安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼學(xué)、物理環(huán)境安全、操作安全和通信安全等方面以114個(gè)控制目標(biāo)項(xiàng)。審核組通過現(xiàn)場訪談、記錄調(diào)閱等方式開展二階段認(rèn)證審核工作。
信息中心第二階段審核,首次會(huì)議由于國家信息安全認(rèn)證中心審核組組長主持,中心負(fù)責(zé)人、各部門主任及相關(guān)配合人員參與會(huì)議,體現(xiàn)出了信息中心對審核的高度重視。在二階段審核期間,中心一直以“改進(jìn)第一、拿證第二”的思想,積極配合審核組的老師開展審核工作。最終,在2016年10月28日下午,經(jīng)過2天的審核,審核組老師對中心的工作開展給出了肯定的評論,同時(shí)也提出了一些需要改進(jìn)的地方,如審核期間,發(fā)現(xiàn)第三方人員可通過自聯(lián)WIFI繞過準(zhǔn)入進(jìn)入內(nèi)網(wǎng)工作;有的部門打印機(jī)安全策略管理較好,但未注重安全意識,出現(xiàn)將打印機(jī)密碼貼在打印機(jī)上的問題;機(jī)房出入登記在某幾天,某幾位人員的出入并未嚴(yán)格登記等問題。中心在末次會(huì)議上就審核組老師提出的一個(gè)不符合項(xiàng)及其他觀察改進(jìn)項(xiàng)上,積極向?qū)徍死蠋焼栍?jì),不僅僅局限于已知問題,舉一反三,共同為中心的信息安全管理工作的提高做出努力。
終于,通過一整年的不懈努力,信息中心獲得了國家信息安全認(rèn)證中心頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書。信息安全工作不能一蹴而就,獲得認(rèn)證證書,只是提升信息安全管理工作整體中的一個(gè)環(huán)節(jié),它用來指明信息中心信息安全管理發(fā)展的道路,肯定發(fā)展方向的準(zhǔn)確性。信息安全工作同樣不能懈怠不前,獲取認(rèn)證證書,是今年的結(jié)束,同時(shí)也是新的工作的開始。如何保證已確立的信息安全管理體系能夠持續(xù)、有效的運(yùn)行,完善、不斷的改進(jìn),不僅僅是安全部門的分內(nèi)工作,也需要中心每一位員工積極參與。
上海賽學(xué)也因此成為眾多信息安全管理部欽點(diǎn)的iso27001認(rèn)證公司合作伙伴。賽學(xué)免費(fèi)為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷,出具iso27001認(rèn)證方案。目前,中國iso27001認(rèn)證公司有9家,國內(nèi)國際的iso27001認(rèn)證公司風(fēng)格各不相同。中小企業(yè)可以致電:021-64196861詢問iso27001認(rèn)證費(fèi)用和iso27001認(rèn)證機(jī)構(gòu)的情況。 |