COBIT在企业信息安全管理中的应用实践

【IT168 信息化】　　引言　　随着信息技术的不断发展和广泛应用，信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产。然而信息正面临着来自各方面越来越多的威胁，如何保障信息安全已经成为亟待解决的关键问题。　　目前企业解决信息安全问题的常见方式：发现问题-->进行安全项目投资-->寻找产品-->制定方案-->产品实施，这种头痛医头脚痛医脚的方式很快便暴露其弊端。随着业务系统的发展和多样性安全需求的提出，就会出现产品兼容问题、集成问题、扩展问题、管理问题等，难兰州治羊癫疯医院以支持业务发展，安全状况并没有得到明显改善。　　随着信息安全技术和理论的发展，已经逐步形成了一个共识：信息安全问题是一个动态的、整体的、持续性的问题。基于以上共识，出于从最大程度上提高信息系统整体安全的水平和预防安全事件发生的角度来考虑，信息系统安全建设不能仅仅局限于若干安全产品的简单意义上的集成，企业迫切需要的是“需求导向”的安全管理，从技术、人员和流程三个方面构建完善的信息安全管理体系。本文针对企业具体的信息安全管理问题，结合信息安全管理体系的标准，研究如何将信息安全管理体系标准，经过裁减和筛选，将其应用于具体的实践过程中。　　1、企业信息安全及其基本特征　　企业信息安全是和企业发展的战略密切相关的，对企业决策层而言，企业的信息安全与股东利益和业务目标的实现高度相关。因此，信息安全管理是一个全局的问题，必须站在战略的角度来考虑。同时，企业的信息安全又是和业务紧密联系的，是一个管理与技术结合的问题。因此，要在综合评价业务的成熟度、信息的敏感性、信息的重要性以及信息价值的基础上，来制定和实施企业信息安全管理策略。通常从三个层面讨论企业的信息安全问题：　　(1)管理层研究企业信息安全管理的目标、任务和对象，制定有效的策略、运作计划和执行规程。　　(2)技术层研究业务权限设置、信息资产分类和保护，以及安全应用系统的设计、实施和维护。　　(3)操作层从组织上设置安全控制点、建立员工的职责和权限、以及定期检查和监控。基础设施上要考虑自然灾害、地点选择、毗邻威胁等。　　2、信息安全管理体系标准和COBIT　　建设企业的信息安全管理体系需要遵循一定的程序，并以行业内已经确立的最佳实践经验作为行动的指导和参考。目前国际上公认的信息安全管理方面的标准如ISO/IEC17799、COBIT、SysTrust、COSO等给企业的实践提供了非常全面的安全控制目标。当前有可用的两种控制模型：业务控制模型(如COSO)和信息技术控制模型(ISO/IEC17799)。COBIT(信息及相关技术的控制目标)是连接这两者的桥梁，是通过研究支持业务目标所需信息，以及被信息技术流程管理的、由信息技术相关的应用工具所产生的信息，来实现对信息和信息技术的控制。　　COBIT由信息系统审计和控制委员会与IT治理协会开发和推广，是中原区癫痫病医院哪好IT治理的一个开放性标准，目前已成为国际上公认的最先进、权威的安全与信息技术管理和控制的标准之一。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准，以辅助管理层进行IT治理。　　COBIT把IT治理分成4个领域(规划与组织、采集与实施、交付与支持、中卫中宁县哪家医院看癫痫监控)，共计34个IT业务流程以及318个详细控制目标。此外对每个过程提供了评审工具。　　其中与信息安全直接密切相关的三个业务流程是：(1)规划与组织流程9(风险评估)；(2)交付与支持流程4(确保服务的持续性)；(3)交付与支持流程5(确保系统安全)。　　COBIT作为IT治理领域全球公认的辅助工具，具有较强的普适性，对于具体的企业应用，应根据具体的业务特点对标准进行剪裁，制定出最适癫痫病人的护理合的实施方案，然后持续改善，这样才能保证企业信息安全控制体系保持一个持续、良性和健康的发展状态。　　3、企业信息安全管理所面临的问题　　当前企业在信息安全管理中普遍面临的问题：(1)缺乏来自法律规范的推动力和约束。(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法。(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理。(4)在安全管理中不够重视人的因素。(5)缺乏懂得管理的信息安全技术人员。(6)企业安全意识不强，员工接受的教育和培训不够。　　以上的问题在具体被调查的某个贸易公司中表现在以下方面：　　(1)打印机和传真机输出的信息过度暴露。公司使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。　　(2)贸易行业中企业员工跳槽现象非常普遍。但是电脑易手问题没有妥善解决，新员工都有过这样的经历：新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道，公司里曾经发生过的事情“尽收眼底”，从公司以往的客户记录、奖惩制度、甚至还有幸阅读前任的辞呈。　　(3)大部分员工为了方便记忆在电子邮件和操作系统中使用相同的用户名和密码，不慎泄露其中任何一个那另外一个也就自动暴露了。而且用户密码的设置规律性很强，基本上就是使用人的生日，例如800214。　　(4)将公司的整个内部网络按域划分，实现部门级别的权限管理。每个部门内的每个员工在文件服务器上都有互相独立的存储空间。但是访问权限的设置没有体现实际的安全需求：部门之间禁止互相访问，而部门内的员工对自己的文件并不具有独占的管理权，比如一个业务员可以读、更改、删除另一个业务员在文件服务器中文件夹里面的资料。信息安全管理没有体现业务的需求。　　(5)向企业的客户提供资料时没有考虑到企业敏感信息泄露的可能性。在发布的信息中应该出现“此为本公司机密信息，请保密。”字样，并在事前签订保密协议，但是目前企业根本没有考虑到这个问题，也没有规定信息安全对应到每个员工的责任。　　(6)没有实现集中化的安全管理。只有当员工电脑出现问题才会有信息技术人员来给你安装操作系统的补丁，或者电脑上的杀毒软件没有采用服务器分发升级包进行自动病毒库更新，而要等到员工发现病毒了才会去升级杀毒软件。

上一页12下一页查看全文

内容导航

第1页：COBIT在企业信息安全管理中的实践

第2页：COBIT在信息安全管理中的应用