收稿日期:2010-08-29
作者简介:冯晓娜(1974-),女,馆员,硕士研究生,研究方向:信息资源管理,发表论文数篇。
信息资源开发与利用
电子商务环境下基于ISO27001的企业信息安全管理体系研究
冯晓娜 韩晓红 刘文云
(山东理工大学科技信息研究所,山东淄博255049)
摘 要 文章分析了电子商务环境下企业信息安全管理所面临的问题,借鉴ISO27001标准基于风险管理的思想,为企业设计了一套系统化、程序化和文件化的信息安全管理体系(ISMS),以期为企业信息安全实践指明方向,为安全控制措施的有效落实打下坚实的基础。
关键词 电子商务;ISO27001;信息安全管理体系;风险管理
DOI:10.3969/j.issn.1008-0821.2011.02.014 中图分类号 G202
文献标识码 A
文章编号 1008-0821(2011)02-0052-04
Research of the Enterprise Information Security Management System
Based on ISO27001under Electronic Commerce Environment
Feng Xiaona Han Xiaohong Liu Wenyun
(Institute of Scientific &Technical Information,Shandong University of Technology,Zibo 255049,China)
Abstract B y analyzing the problems of the enterprise information security management under the environ ment of com merce environ ment,and studying the risk management idea of ISO27001,this paper designed a set of systematic,programmatic and doc -umented information security management system (IS MS),which in order to guide the practices of the information security man -agement and build up a solid foundations for implement safety control measures.
Key words electronic commerce;ISO27001;ISMS;risk management
随着信息技术的不断发展和互联网的普及,电子商务已经成为21世纪世界经济的主流商务模式。电子商务的推行使得企业的竞争逐步建立在信息能力上,信息已成为企业保持竞争力和业务持续运营的重要资产,必须得到妥善的保护。然而,随着信息技术的高速发展,许多信息安全的问题也纷纷涌现:系统瘫痪、病毒感染、黑客入侵、信息失真、数据丢失、客户资料的流失及公司内部资料的泄露等等,这些都将给企业带来严重的影响,可以说信息安全问题所带来的损失远大于交易的账面损失。
据权威统计结果表明,企业信息受到的损失中,60%是由于内部员工的疏忽或者有意泄密造成的[1]。所以,信息安全不仅仅是一个技术问题,在很大程度上已经表现为管理的问题,能不能对网络和企业实现有效的管理与控制是信息安全的根本问题之一[2]。但是长久以来,信息安全却一直被人们视为单纯的技术问题,归于信息技术部门的独立处理,所以,企业迫切需要一套符合国际标准的信息
安全管理体系来保障企业信息的安全。本文针对电子商务环境下企业所面临的信息安全问题,利用国际先进的信息安全管理标准,将其应用于企业信息安全管理的实践中,可以有效的提高企业信息安全水平,保障企业的业务持续运行,提高企业的核心竞争力。
1 信息安全管理标准
信息安全是依靠信息安全措施来保证的,安全措施则需要适当的安全标准来指导和管理。目前国际上公认的信息安全管理方面的标准有ISO/IEC27001、CoBi T 、Sys Trust 、C OSO 等,这些标准从不同的角度给企业的实践提供了安全控制目标。其中ISO/IEC27001是国际信息安全管理领域的重要标准,它来源于英国标准协会(British Standards Inst-i tute,BSI)于1995年2月制定的信息安全管理标准BS7799。B S7799是应用最为广泛的信息安全管理标准,至2005年全部被国际标准化组织吸纳,形成了ISO/IEC 27001:2005
信息技术安全技术信息安全管理体系要求 和ISO/IEC 27002:2005 信息技术安全技术信息安全管理实施细则 两个国际标准[3]。
ISO/IEC27001信息安全管理体系由两部分构成。第一部分是信息安全管理体系的实施指南,提供了一套综合的由信息安全最佳惯例组成的实施规则,主要内容包括11个安全类别、39个控制目标、133项控制措施[4]。第二部分是信息安全管理体系规范,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应遵循的风险评估标准。
本文将ISO27001标准基于风险管理的思想应用于企业信息安全管理的实践中,构建一套全面完整的信息安全管理体系(Information Security Managemen t System,ISMS),从而有效控制信息系统的风险,确保在组织中建立充分和恰当的安全控制措施,通过有效的风险控制措施来保护组织的信息资产,增强包括客户在内的利益相关方的信心,提高组织的声誉[5]。
2 电子商务环境下企业信息安全管理问题
电子商务的发展为企业带来快捷、方便和利益,但同时也使得企业在信息安全管理中面临着更多、更严峻的问题,主要表现在以下几个方面:
2 1 重技术,轻管理
多数电子商务企业,不管是在早期的加密技术、数据备份、防病毒,还是近期网络环境下的防火墙、入侵检测、身份认证、支付交易等安全技术上都作了大量投资,而对管理的重视却一直不够。具体表现在,机房重地可以随意进出,计算机或工作站管理人员在开机状态下擅离岗位,重要或敏感信息临时存放在本地的磁盘上,这都会导致信息处于未保护状态,都会为外部入侵和内部破坏埋下隐患。
2 2 信息安全风险评估标准体系还有待完善
信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。
2 3 企业对员工变动不够重视
网络的发展提供了更多的就业机会,电子商务企业员工跳槽现象非常普遍,而电脑易手问题没有妥善解决。新员工可能会有这样的经历:到一家新公司工作,了解新公司最好的渠道就是从自己前任的电脑里搜集相关信息,有时甚至包括公司以往的客户记录、奖惩制度等。同样,跳槽的员工也可以将客户资料带到竞争对手的公司。这都会导致企业客户流失,甚至企业战略丢失,给企业带来威胁。
2 4 企业对员工信息安全意识的教育和培训不够,员工缺乏信息安全意识
比如,员工对自己的用户名和密码、记忆系统登录口令等不注意保护,一旦泄密,就足以毁掉化费大量人力物力建立起来的信息安全系统。2 5 对客户资料的保密性管理不到位
电子商务依托于Internet网络平台进行交易,买卖双方通过Internet的信息流动来实现商品交换,这使得客户的信息面临着安全威胁。比如:用户身份证明信息被拦截窃用;域名信息被监听和扩散;一些企业的商务网站甚至将交易记录和用户的评价信息公开在网站上。这都可能使客户的信息被泄露,导致企业丢失客户甚至损害声誉。
2 6 系统访问权限设置不清,工作人员职责不明
企业内部人员了解内部的网络、主机和应用系统的结构,利用一定的访问权限,可以轻易地绕过许多访问控制机制,在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。
2 7 电子商务系统缺乏法制化的防范机制
政策法规难以适应电子商务发展的需要,电子商务信息安全立法还存在相当多的空白,电子商务法、数据库保护法、数字媒体法、计算机犯罪法以及计算机安全监管法等电子商务正常运作所需的配套法规尚不健全。
3 企业信息安全管理体系构建
结合电子商务环境下企业的特点,针对以上提出的企业面临的信息安全管理问题,借鉴ISO27001标准基于风险管理的思想,建立一套系统化、程序化和文件化的信息安全管理体系。该体系以预防控制为主要思想,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。ISMS具体构建步骤如图1所示。
3 1 确定ISMS适用范围
该步骤确定信息资产中需要保护的对象,明确保护信息资产的管理对策的范围和边界。如计算机软硬件、网络相关的信息、企业文件、专利、配方、报价、规章制度、财务数据、计划、关键人员等等,这些资产都应该列入信息保护对象进行妥善保护。
3 2 制定ISMS相关文件
该步骤主要为了合理保护信息资产,制定适用于企业的文书体系,并确定与信息安全相关的IS MS方针,方针应包括[6]:设定目标的框架和建设信息安全工作的总方向和原则;考虑业务的和法律法规的要求;在组织战略分线管理的环境下,建立和保持IS MS;建立风险评价的准则和评价方法的选择等内容。
3 3 风险评估
风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的最重要过程。风险评估可以分为资产识别、资产分类、资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等阶段[7]。
图1 企业ISMS流程设计图
3 3 1 资产识别与评价
资产识别是进行评估的基础,是指在界定IS MS范围的基础之上,评估小组在进行风险计算前,要对各部门的重要信息资产进行识别。识别通常有两种方法:一是根据资产的物理形态,将某个物理上独立的对象确定为一个资产,如服务器、应用软件等;二是将信息以及与之相关的处理或者更新的过程确定为一个资产,如人、软件、硬件、数据、文档和环境等各种信息资产。
企业内部的资产识别后,需要进行逐一分类编号,可以将不同的信息资产分别用A1、A2、A3、 表示,然后再对分类好的资产进行赋值。评估小组的成员要按照各部门业务的特点,分别从资产的保密性、完整性、可用性3个方面评分。针对每一方面根据资产相对价值重要性划分为五级,用0、1、2、3、4五个数字表示,得到企业资产识别与评价表。
3 3 2 威胁分析与评价
一项信息资产可能面临多个威胁,一个威胁可能对不同的资产造成影响,威胁识别应确认威胁由谁或什么事物引发,威胁可能来源于意外的或者有预谋的事件。比如,通过电子邮件传递的客户需求预测报告,就面临由内部人员故意或无意的非授权访问或操作导致的完整性和机密性损失的威胁。对企业内每一项可能的信息安全威胁都进行编号,分别用B1、B2、B3、 表示,并将威胁发生的可能性从低到高划分为三级,分别用0、1、2表示,得到企业内部的威胁识别与评价表。
3 3 3 薄弱点识别
薄弱点可能来自软件、硬件、人员、环境、管理及通信设备等等,某个威胁可能利用多个薄弱点,一个弱点也可能被多个威胁利用,弱点一旦被威胁利用就可能产生风险,从而影响到组织的业务持续性。在电子商务企业中,比如:购物平台系统存在漏洞、访问权限设置不当、管理或者研发人员的弱口令、员工缺乏安全意识等,都是薄弱点。通过对每个信息安全薄弱点进行编号,分别用C1、C2、C3、 表示,并将其被利用的可能性从低到高划分为三级,分别用0、1、2表示,从而可以得到企业内部薄弱点的识别与评价表。
3 4 风险测量
使用风险矩阵表(又称为预先价值矩阵)进行测量,该方法是利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小,用上述风险识别中所划分的等级来测量[8]。分别将企业内部的资产识别与评价表、威胁识别与评价表、薄弱点识别与评价表中各项编号和等级值代入矩阵表,就得到下述形式的风险价值矩阵表1:
表1 风险价值矩阵表
指标
威胁发生可能性PT低(0)中(1)高(2)薄弱点被利用可能性PW低0中1高2低0中1高2低0中1高2
资产相对价值(V)0012123234 1123234345 2234345456 3345456567 4456567678
通过上述风险价值矩阵表的建立,就可以根据矩阵中的取值,采用区间划分方法确定不同的风险优先级别,以便因地制宜,选取适当的控制措施。当风险值为6、7、8时,为高危风险,须立即处理;当风险值为3、4、5时,为一般风险,须采取一定措施降低风险;当风险值为0、1、2时,为低风险,代表可以暂不采取措施或者可以忽略。
4 企业信息安全控制措施
通过确定信息安全管理体系范围所涉及的风险以及信息资产的风险值,结合企业采取的风险控制策略和业务需求,处理组织面临的风险,对电子商务环境下企业信息安全管理提出如下几条管理方法:
4 1 建设组织管理机构
该机构应由企业管理层和相关安全技术管理人员组成,主要负责定期召开会议分析当前安全形势,不时对现有的方案进行改进,根据实际情况,及时调整部门及人员的责任,督促企业信息安全的管理工作的实施。
4 2 明确要保护的信息资产并分类
根据企业资产和业务的特点,我们将企业内部的信息资产分为几下几类:
数据:业务数据,数据库数据,客户资料,生产报告,销售数据,客户反馈信息等。
软件:业务信息系统,数据库系统,工具软件、网站,电子邮件系统等。
硬件:工作站,打印机,传真机,台式计算机,移动笔记本,邮件收发服务器,文件服务器,防火墙,路由器,交换机,移动存储设备等。
人员:企业所有人员。
服务:办公服务,网络服务,第三方服务等。
4 3 管理分类资产
将企业中的各项资产分类后,对每一项新增加的信息资产需要及时登记在资产清单上,并把资产分给每个工作人员进行安全保护,每个员工将自己所分到的保护资产的每天使用情况必须进行详细记录,如发现异常,须及时向管理层或相关部门反映。
4 4 控制访问权限
对于企业信息的访问,可以采用基于角色的控制访问的思想,将访问权限与角色关联起来,通过指派和取消角色来完成用户权限的授予和取消。角色一般可以按照参与者的职能或能力来划分,如企业决策者、企业经理或普通职员等。管理组织需要预先定义好角色,并将相应的权限赋予角色,然后根据用户的职责分配对应的角色。这样,就把角色作为用户与权限的中介,实现了用户与权限的逻辑分离,提高了权限管理的效率[9]。例如,某个访问者更改职位,只需改变他被赋予的角色就可以了。
4 5 签订保密合同
企业需要与客户、员工以及第三方签订保密协议。与客户签订保密合同,明确需要保密的数据和保密措施和责任划分,例如,客户以邮件、传真或文本传输等形式传递定单等信息前,必须通知相关业务员,等确认后再传递过来,尽量减少信息泄露的机会;与员工签订保密合同,明确规定员工对企业信息安全的责任,保密要求及违反约定的法律责任;在允许第三方使用或处理公司的信息设施之前,也必须要求他们签订相关保密合同。4 6 员工信息安全意识培训
企业员工缺乏信息安全意识已经成为有效信息安全控制的头号障碍,所以定期对员工进行教育和培训,对于企业信息安全管理非常重要。通过教育和培训改变企业员工对信息安全的态度,使操作人员知晓信息安全对企业的重要性,企业安全规章制度的含义以及职责范围内需要注意的安全问题。
4 7 规定奖惩制度
在依从国家相关信息法律法规,不与刑法等相关法律相抵触的前提下,制定企业信息安全奖惩制度,当员工违反组织信息安全方针或程序时,应该按照规定对其进行惩戒,手段可以是行政和经济等方面的处罚。
5 结 论
电子商务环境下企业的信息安全是一个整体性很强的体系,包括技术、管理、人员等多个环节,不能孤立或者静止地看待和解决问题,信息安全性的提高不仅仅依赖于不断的技术进步和应用,更重要的是依赖于管理的不断完善和人员素质的全面提高。
本文将ISO27001标准基于风险管理的思想应用于企业信息安全管理系统的建设,可以有效提高信息安全的保密性、完整性和可用性,降低信息所面对的安全风险,规范组织信息安全行为,使得企业在信息安全管理方面迈上一个新台阶。但同时我们应该注意,ISMS是一套不限于IT技术的管理系统,它需要全公司员工身体力行方能奏效。在实施的过程中,需要经营管理阶层的认知与全力支持,以及全体员工的共识和配合;需要对员工不断实施培训和教育等活动;尤其需要定期审核和检查,以确保系统可以持续不断的执行。
参考文献
[1]余秦勇.信息安全风险管理研究[J].信息安全与通信保密,
2006,(7):103-104.
[2]孙强,陈伟,王东红.信息安全管理:全球最佳实务与实施指
南[M].北京:清华大学出版社,2004,(1):6-8.
[3]吴国庆,赵琳娣.基于ISO27001:2005的电网公司信息安全管
理[J].信息技术与标准化,2007,(9):40.
[4]ISO/IEC17799:2005Informati on technology security techniques code
of practice for information sec uri ty management[R].2005,(10). [5]春增军.基于ISO27001的企业信息安全保障体系的构建设想
[J].情报杂志,2009,(5):155-158.
[6]中华人民共和国国家标准.GB/T22080-2008/ISO/IEC27001:
2005信息安全管理体系要求[S].国家质量监督检验检疫总局,2008,(6):1-20.
[7]张泽虹.基于评估流程的信息安全风险的综合评估[J].计算
机工程与应用,2008,(10):111-115.
[8]黄水清,程旭.Bs7799在图书馆中的应用[J].大学图书馆学
报,2004,(1):60-67.
[9]卞宝银,王一莉.协同环境下扩展角色访问控制模型设计与研
究[J].计算机工程与设计,2010,(4):717-719.