|
随着信息技术的高速发展,Internet的问世和网上各种应用的普及,信息安全问题日显突出。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等,这些信息安全问题已给组织或个人带来了严重的威胁。信息安全已不再是以往简单认为的IT行业或大型机构的需求,而是一个普遍的各行各业均面临的迫切问题,如何确保企业信息系统的安全?我国云计算仍面临四大挑战,其中包括:信息安全法律法规和监管体系不够健全。在与云计算安全相关的数据及隐私保护、安全管理等方面,中国云计算产业生态有着较大缺失。同时,由于对安全的担心和其他顾虑,云计算服务在中国的使用率也比美国等发达国家要低。
通过10月、11月为期两月的信息安全管理体系认证审核及不符合项整改关闭工作,2016年11月23日,云南电网信息中心获得了国家信息安全认证中心颁发的ISO27001信息安全管理体系认证证书,肯定了信息中心信息安全管理体系建设的前期工作,同时在信息安全管理层面上,明确了信息中心信息安全管理发展方向。
信息中心信息安全管理体系建设工作,从2016年3月至今,一共经历了现状调研、风险评估、体系编制、内部审核、安全培训、外部审核六个流程,现状调研从4月5日至4月22日,历时3周。通过资料采集、文档分析和实地走访等调研工作,从制度建设情况、信息安全战略、组织与人员、信息安全风险管理、工程项目建设管理、运行和维护安全管理、安全审计与改进管理等方面,摸底信息中心信息安全管理水平,与ISO27001标准进行对标分析,得到《现状调研与分析报告》、《差距分析报告》及《差距分析表》,确定项目开展的大致方向。
通过调研分析,14个领域,最终达到标准要求的仅有安全方针一个领域,而其他领域仅仅部分符合标准要求,113项控制项中(体系标准2016年9月正式出版2013版本要求,共114项,但9月之前各企业与认证机构均以113项为标准),共有76项达标,达标率为67%。这也意味着信息中心信息安全管理体系建设道路任重道远。
风险评估从5月9日至6月3日,历时一个月。基于ISO27001信息安全管理体系认证范围,针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析,从而估计影响,最终选择适当的方法达到降低风险、消除风险、转移风险、接受剩余风险。在这个阶段,信息中心依据ISO27001信息安全管理标准,制定满足标准要求的安全评估模型,同时确立风险评估流程,并基于流程,开展风险评估工作。
利用安全漏洞扫描工具、基线配置核查工具、网站安全漏洞扫描工具等商用成熟产品,配合人工渗透测试,对业务系统进行了整体的风险评估。同时项目小组依据国内外各行业,总结整理出一套安全威胁调研库,收录多达130条安全威胁,并根据各个部门的情况,挑选适合的条目进行基于部分的安全威胁调查与风险评估工作。最终,得到符合要求的《风险评估报告》、《漏洞扫描报告》、《基线核查报告》、《应用扫描报告》及渗透测试报告。
风险评估一共囊括了303台服务器,38个WEB应用系统,基于但不限制于ISO27001的范围,在提高系统基础安全的同时,渗透测试共发现包括系统端口权限、用户并发会话、后台管理权限等16类业务安全问题。同时,基于资产价值开展的安全威胁调研工作,从电子数据、纸质文档、计算机软硬件、人员等方面,发现了信息中心在信息安全管理层面的薄弱点,如由于员工对于信息安全保密分级的不了解,部分文件无法确定文件密级,导致员工不清楚文件泄漏后可能带来的安全风险;准入系统策略推送失败,部分系统屏保等基本策略推送不到位可能导致信息泄漏风险等。信息中心在对待风险的态度上,秉承着“不怕存在问题,就怕不解决问题”的原则,积极改进,同时,风险评估的结果为之后的信息安全管理体系文件编制打下坚实的基础。
体系策划与编制从6月8日至7月27日,历时两个月。选取ISO27001标准中114个控制点作为控制要求,编写ISO27001控制点适用于信息中心的适用性声明文件,同时依据适用性声明文件及信息中心文档管理相关制度,构造信息中心信息安全管理体系文档框架,并形成一套以“管理指南”命名,向上融合南方电网、云南电网管理体系,向下兼容信息中心信息安全相关工作的管理体系文件,共17册。同时于6月27日至7月1日,召集各个部门项目建设小组成员,开展为期一周的封闭式文件评审工作。同时在7月4日至7月27日,通过评审意见的收集,文件的复审及修编,对管理体系文件进行定稿。
内部审核工作从8月9日至9月2日,历时一个月。鉴于体系建立初期,中心各个部门项目小组成员对体系的了解可能不够透彻,内部审核采取委托咨询公司人员,以一对一的方式,一边对体系实施情况进行审核,一边对中心项目小组成员进行相关培训,完成体系内部审核的同时,提升项目小组成员关于ISO27001信息安全管理体系的理解和把握。依据内部审核检查表,内部审核共发现7个体系运行过程中遗漏或者有瑕疵的问题,并根据问题的特征,找到相关的部门,由相关部门牵头,其余部门配合,完成问题的整改工作。并在内部审核期间,召开了全中心人员信息安全意识培训及信息安全管理体系宣贯会议。同时内部审核的结果通过管理评审,向中心各个部门进行传达。
经过半年的项目建设,中心的信息安全管理能力基于ISO27001标准,整套体系已经经历了一个从“无”到“有”的过程。为了明确中心信息安全管理水平的发展方向,同时验证中心前期所做的工作效果,中心向中国信息安全认证中心提出ISO27001信息安全管理体系审核认证申请,并于2016年10月13日至14日开展第一阶段的文件审核工作。
中国信息安全认证中心审核组在第一阶段的审核工作中,查看了《云南电网有限责任公司信息中心信息安全管理工作指南》、《信息中心信息安全管理体系适用性声明(SOA)》、相关控制措施文件、《云南电网有限责任公司信息中心信息安全风险评估工作指南》、程序文件、内审及管理评审记录、风险评估及处置记录;巡视了办公场所,并与相关人员进行了访谈。审核对体系文件和信息安全控制措施建立情况,发现了2个问题13个不完善的控制点,问题主要集中在信息安全风险评估的管理文件中对“残余风险”的定义和批准的要求描述不确切和信息安全控制文件编制中存在与实际工作结合不到位,以及信息中心对个别控制目标要求存在理解不确切的情况。并给出了中肯的评价及可行性的整改建议。
信息中心根据第一阶段审核组提出的建议,进行了问题的整改,向中国信息安全认证中心提出了第二阶段的审核申请,并于2016年10月27日至2016年10月28日开展第二阶段的审核工作。二阶段审核涉及综合管理部、人力资源部、财务部、应用技术部、安全测评部和设备管理部等共十个部门,审核范围为ISO27001:2013的标准条款涉及14个控制域包括信息安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理环境安全、操作安全和通信安全等方面以114个控制目标项。审核组通过现场访谈、记录调阅等方式开展二阶段认证审核工作。
信息中心第二阶段审核,首次会议由于国家信息安全认证中心审核组组长主持,中心负责人、各部门主任及相关配合人员参与会议,体现出了信息中心对审核的高度重视。在二阶段审核期间,中心一直以“改进第一、拿证第二”的思想,积极配合审核组的老师开展审核工作。最终,在2016年10月28日下午,经过2天的审核,审核组老师对中心的工作开展给出了肯定的评论,同时也提出了一些需要改进的地方,如审核期间,发现第三方人员可通过自联WIFI绕过准入进入内网工作;有的部门打印机安全策略管理较好,但未注重安全意识,出现将打印机密码贴在打印机上的问题;机房出入登记在某几天,某几位人员的出入并未严格登记等问题。中心在末次会议上就审核组老师提出的一个不符合项及其他观察改进项上,积极向审核老师问计,不仅仅局限于已知问题,举一反三,共同为中心的信息安全管理工作的提高做出努力。
终于,通过一整年的不懈努力,信息中心获得了国家信息安全认证中心颁发的ISO27001信息安全管理体系认证证书。信息安全工作不能一蹴而就,获得认证证书,只是提升信息安全管理工作整体中的一个环节,它用来指明信息中心信息安全管理发展的道路,肯定发展方向的准确性。信息安全工作同样不能懈怠不前,获取认证证书,是今年的结束,同时也是新的工作的开始。如何保证已确立的信息安全管理体系能够持续、有效的运行,完善、不断的改进,不仅仅是安全部门的分内工作,也需要中心每一位员工积极参与。
上海赛学也因此成为众多信息安全管理部钦点的iso27001认证公司合作伙伴。赛学免费为黄浦区|徐汇区|长宁区|静安区|普陀区|虹口区|杨浦区|宝山区|闵行区|嘉定区|浦东新区|松江区|金山区|青浦区企业做上门诊断,出具iso27001认证方案。目前,中国iso27001认证公司有9家,国内国际的iso27001认证公司风格各不相同。中小企业可以致电:021-64196861询问iso27001认证费用和iso27001认证机构的情况。 |
