基于ISO27001的数据中心信息安全管理体系 – 作者:箫箫星语2020

        金融业的历史源远流长,早在在信息技术还未诞生的时候,金融业的安全管理体系早就已经形成,它由传统管理模式演变发展而来。信息技术不断发展,金融领域各机构逐渐成立了各自的数据中心,承载各类金融业务,大幅提高了银行、保险、证券和三方支付等机构的服务质量和效率。随着互联网+时代的来临,高速发展的互联网技术给客户和金融机构带来了便捷和利益。顺应信息安全技术和现代管理模式的发展,金融数据中心的安全管理模式也逐步与之相融合,形成了带有金融业特点的信息技术管理模式。它带有传统管理模式的优势和特点,同时也有传统管理模式的缺陷。现在的很多信息安全管理问题的产生也与之息息相关。为避免管理中存在的信息安全风险,建立一套标准化的信息安全管理体系,对数据中心的持续、健康、稳定地运行至关重要。为此,对数据中心的信息安全管理状况进行了调研,具体情况如下:

金融数据中心信息安全管理现状与特点

(一)金融业信息安全管理特点

金融数据中心对业务系统运行的连续性、可靠性要求较高,交易数据不能出现差错,各类数据加密与数字签名技术应用广泛。在管理模式方面的突破相对较小,其信息安全管理往往结合了传统管理模式,以柔性管理为特点,原则性、灵活性相结合,注重用多种方法解决问题,但对解决问题的原则和方法并不十分关注。这种方式的不足:主要是容易造成做法不规范、不能把成功经验形成组织过程资产。经验实例很多,但很难总结提升。其次是管理依赖权威,领导的作用和地位得到充分重视,领导的管理理念和水平直接影响安全管理的水平和效果。再次人际关系讲的多,很多风险无法得到控制。

(二)金融数据中心信息安全管理常见的问题

随着金融业务的拓展,互联网金融的崛起,金融公司数据中心的规模在不断扩大,而其安全管理模式的特点使它在信息安全管理方面的问题逐渐显现出来,体现在以下几个方面:

1.信息安全方针和策略不明确。金融机构,常以金融业务为主,信息技术为辅,在管理上更注重于业务发展和业务连续性的管理,对业务系统的开发和建设普遍重视,但往往忽视了业务系统建设中的网络安全问题。有时因为注重系统的应用效果,忽视了信息系统技术脆弱性可能造成的影响,不能采取适当的措施来控制风险。多数金融机构的CIO不具备IT类职业背景,在高级管理层对信息安全管理的重视、熟悉程度都还不够,不能给予信息安全管理工作直接的支持。这种状况将导致机构缺乏明确的信息安全方针和策略,信息安全管理工作没有指导依据。

2.安全管理缺乏系统的管理思想。多数金融机构的安全管理模式仍是基于传统静态管理的方法,面向发生的问题,欠缺信息安全管理的体系,在安全管理方面不全面,缺乏必要的信息安全评估、信息安全风险意识的培训,由于不能形成全机构人员对信息安全意识的共识,导致信息安全规章制度难以严格落实。而现代的信息安全管理体系应建立在安全风险评估基础上,并持续不断的改进。

3.重视安全设备和技术,轻视安全管理和培训。金融业中普遍采用网络技术构建业务信息系统,提高了工作效率和业务竞争力,应用的安全防护设备往往比较全面。而信息安全不应仅从技术方面防护,更多的是应落实信息安全管理体系的建设,加强规范化管理。如人员录用的时候有审查、签有保密协议,人员在终止任用时也要有审查,如人员对信息系统的访问权在任用终止时及时撤销、调整。在金融数据中心中有上千的各种重要程度的信息系统,几十个系统由一个管理员管理的情况时有发生,口令管理策略难以严格落实。有时管理人员身兼数职,常常忽视一些维护操作后期的审计工作。

规范金融数据中心的信息安全管理体系

传统安全管理常常存在诸多缺陷,如受高层领导层重视程度影响大、安全方针不明确、管理不够系统化、重技术轻管理等。为改善数据中心的信息安全管理现状,可以引入国际化、标准化的信息安全管理体系,如ISO27001等。系统化的信息安全管理体系,可以减少管理对人主观意识的依赖,通过对管理体系不断完善,使管理体系越来越全面、精细,从而更加符合金融数据中心的特点。

(一)信息安全管理的体系化

    信息安全管理的体系,首先是要树立信息安全方针和目标,并建立达成这些目标所需的制度规范。标准化的信息安全管理标准,可以指导数据中心做好信息安全管理,提高控制信息安全风险的能力。

    标准化的信息安全管理体系规定了建立信息安全管理体系的要求,规定了实施安全控制的要求。按照标准规范的要求建立信息安全管理体系,可以更好地保障金融业务连续性。标准化组织认可的信息安全管理体系融合了西方管理理论,以刚性管理为特点。通过制定完善的制度,并严格遵守制度,达到管理的目标。这种管理模式注重有计划地、按照制度和规定解决问题,有助于数据中心提高管理效率,增强业务竞争力。

(二)应用信息安全管理体系的预期

      通过建立信息安全管理体系,完善各类安全管理制度,可以规范信息系统相关的各种操作行为。信息安全管理体系体现了风险管理思想,工作思路是事先防范、事中控制和事后总结改进,一改传统“问题驱动”的管理模式,着重整体、系统的分析、解决问题。管理体系按照PDCA的循环管理信息安全风险,信息安全管理从被动的问题补救,变为系统化、主动的风险管理状态。信息安全风险管理的目的是保障业务系统的连续、稳定运行,形成安全管理体系使安全管理可以协调各个方面、各个层次资源,管理更为有效,制度规章得以充分落实。

      建立健全信息安全管理体系对金融数据中心的安全管理工作和数据中心的发展意义重大。金融机构在制度建设过程中,除了根据国家的各种标准和行业规范,而且应尽力参考国际化、标准化的信息安全管理体系(如ISO 27001等),建立数据中心的管理体系,明确信息安全工作的方针。

金融数据中心信息安全管理体系的构建

信息安全工作是以信息科技部门为主导,全员参与的活动,通过信息安全管理体现的建立可以促进企业所有部门对信息安全的共识。开展信息安全管理体系建设,可以做一些使信息安全管理体系的构建更顺利准备工作,如建立垂直管理的信息安全管理机构、设立网络安全监控中心、组建风险评估和监控专业团队等。

参考国际标准,结合金融数据中心的信息安全管理需求与现状,构建管理体系的思路大致如下。

确定管理范围

信息安全管理体系的范围就是需要重点进行管理的安全领域。在本阶段,应划分不同的信息安全控制领域,便于对有不同安全需求的领域进行适当的信息安全管理。定义范围,应考虑环境、人员、信息系统、信息资产及它们之间相互关系等。 金融数据中心中我们主要关注物理安全、网络安全、应用系统安全和管理安全,包括了线路、设备、机房、身份认证、访问控制、保密与完整性、入侵检测手段、防病毒等诸多方面。一方面要解决系统本身的缺陷带来的不安全因素,如身份认证、系统漏洞等,另一方面要妥善管理系统的安全配置问题。部门间要划分明确的安全职责,严格落实安全管理制度。

管理体系应涵盖安全管理、技术平台等多个层面,安全管理应统一管理其他各层面,安全问题首先是管理问题和人的问题,其次才是技术问题。

信息安全的调研与风险评估

依据信息安全技术与管理的标准,应对数据中心信息系统及数据的机密性、完整性和可用性等安全属性进行调研,评估信息资产价值,结合信息资产面临的威胁和安全事件发生的概率来判断风险造成的影响。

一些常见的安全管理问题由于其影响较大往往被列为高风险等级。如:信息安全管理规定中未明确定义信息安全策略;所有雇员、外部人员对信息和信息处理设施的访问权未在任用协议变化时调整;口令管理不严格的情况,不能确保优质的口令,常使用一些简单密码;未采取有效措施限制访问程序源代码;未保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏;记录日志的设施和日志信息未加以保护,以防止篡改和未授权的访问;系统管理员和系统操作员活动记录不完全,未对其进行保护和定期审计。信息安全风险评估可以判断当前的信息安全状况,帮助我们选取适当的管理方法及风险防范控制措施。

建立管理体系框架、编写管理制度

建立信息安全管理体系要规划一个合理的管理框架,从全局的视角进行整体安全建设规划,根据业务性质、信息资产状况等,建立数据中心信息资产清单,然后通过风险分析、安全需求分析,选择安全控制措施,从而建立安全管理体系。

一般遵从如下步骤构建信息安全管理体系框架:首先要确定总体的安全方针,制定具体的安全策略。然后根据系统的资产价值和影响等确定信息安全管理体系的管理范围。根据风险评估结果和安全的需求,选择控制风险的目标与控制方式,通过降低、避免和转移的方法来控制风险。

信息安全管理体系制度文件与数据中心的环境结合紧密,制度的执行过程中,信息安全管理水平不断地提高、保障了业务的连续性。建立规范的制度文件对信息安全管理有重要的作用。编写信息安全管理体系制度文件是建立信息安全管理体系的基础工作,也是数据中心实现风险控制、评价管理体系、实现自我改进的依据。在制度文件中应包含安全方针、风险评估、实施与控制等方面。信息安全体系文件按控制级别可以分为四级,一级为信息安全方针、策略,二级为制度性文件,三级为具体规范、操作程序,四级为各类操作记录、表单等。

管理体系的改进

信息安全管理体系文件编制完成以后,进入正式运行阶段。在此期间,应通过各种监督、审计手段确保体系制度能够落实到位。在各种制度执行和实践的过程中,根据数据中心自身的特点,逐步修订各级管理制度,使标准化的制度能够更加适应金融数据中心的特点和安全控制要求。依照管理体系的要求,针对执行中、评估中发现的安全问题和威胁,要定期更新修订管理体系的各项制度,这样动态的持续改进以实现管理体系主动的安全防范效果。

通过引入这种国际化、标准化的信息安全管理体系改变传统的安全管理存在受领导层重视程度影响大、安全方针不明确、缺乏系统的管理思想、重技术,轻管理等诸多弊端。为改善数据中心的信息安全管理现状,制度要适时地进行动态地修改,以信息安全风险评估为基础和导向,避免了领导重视程度的因素和人为观念,持续改进管理制度,构建符合数据中心现阶段情况与未来发展的信息安全管理体系。

总结与预期

信息安全管理体系是一个系统化、程序化的管理体系,体系的建立基于全面和科学的风险评估,而不是领导或其他个人的意见,避免了主观判断,体现了客观、预防为主的思想。该管理体系可以帮助数据中心在运维方面符合国家有关信息安全的法律法规,同时重视全过程和动态控制,本着控制防护成本与平衡安全风险的原则,合理地选择控制方式保护金融关键信息数据资产,确保数据的保密性、完整性和可用性,从而保障金融业务的连续性。通过建立信息安全管理体系,可以使得数据中心在以下方面得到改进:

通过信息安全管理体系明确了信息安全方针和策略。信息安全问题不是一个数据中心的问题,事关全公司乃至全行业,一定要坚持高层领导负责制,全局统筹,给予信息安全管理工作最直接的支持。信息安全管理需要协调所有部门,通过对金融机构的高级管理层及全金融机构的人员进行信息安全培训,强化对信息安全管理目标的共识。突破传统信息技术为辅的观念,金融领域的信息技术即金融业务,技术服务及金融服务。该体系的信息安全策略要求在业务系统的开发和建设的同时,注重业务系统建设中的网络安全问题,对金融领域系统的安全问题进行产品全生命周期的管理。这种管理体系为数据中心乃至全公司明确了的信息安全方针和策略,信息安全管理工作有了指导依据,为金融业务持续、健康发展提供基础保障。

信息安全管理体系树立了系统的信息安全管理思想。使得金融数据中心的安全管理模式突破传统静态管理的局限,通过全面、系统、周期性的信息安全评估,及时发现风险,采取恰当的防范措施,持续不断的改进信息安全现状。管理体系促成了全公司人员对信息安全方针的共识,信息安全规章制度的落实将会更加顺利。信息安全管理体系可以帮助数据中心实现对信息安全风险的全面管控,管理体系各项制度标准的持续改进,进行主动性的积极防御,持续地改善数据中心网络安全防护水平,改变以往信息安全管理被动的局面。

信息安全管理体系强调数据中心信息安全不应仅从技术方面防护,更应落实信息安全管理体系的建设,全方位加强规范化管理。管理体系要求保证人员管理流程的各个方面,如审查、保密协议和人员权限等各个方面,同时对金融数据中心口令管理策略、操作审计工作等工作有明确的规范。通过对管理体系各项制度的落实执行,可以促使数据中心在安全管理上更加全面化、系统化。

如今,互联网+技术已经逐步深入各个领域,信息安全已上升到了国家战略的高度,很多金融领域的信息系统被列为国家关键基础设施。提升信息安全管理的层级,完善IT基础设施的建设,构建标准化的符合现代安全管理需要的信息安全管理体系,对金融数据中心的发展具有重要的意义。

来源:freebuf.com 2020-04-16 13:43:18 by: 箫箫星语2020

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论