前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全管理要求主題范文,僅供參考,歡迎閱讀并收藏。
信息安全管理系統(tǒng)作為信息安全的支撐體系以及實(shí)施信息安全維護(hù)的落腳點(diǎn),是信息安全管理中的重要組成部分。目前我國(guó)的信息安全管理系統(tǒng)還尚未完善,其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲(chǔ)平臺(tái)來(lái)對(duì)眾多的文檔進(jìn)行儲(chǔ)存,從而導(dǎo)致大量文檔的丟失;其次,如果信息安全管理系統(tǒng)不完善,就不能降低資產(chǎn)等的風(fēng)險(xiǎn)評(píng)估以及對(duì)資產(chǎn)進(jìn)行集中式的管理;最后,由于信息安全系統(tǒng)中各個(gè)報(bào)表功能的不完善,文檔信息就無(wú)法快速、準(zhǔn)確地透露出信息安全的實(shí)際狀況,從而起到有效地保護(hù)作用。
信息安全管理系統(tǒng)主要能夠通過(guò)對(duì)關(guān)鍵資產(chǎn)實(shí)行定性和定量分析,從而得出資產(chǎn)的精確風(fēng)險(xiǎn)值,識(shí)別系統(tǒng)中存在的重要因患資產(chǎn),并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉?lái)減少隱患事件的發(fā)生,通過(guò)科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險(xiǎn)。由此可見(jiàn),完善的信息安全管理系統(tǒng)是不可或缺的,它一方面決定著信息安全管理體系的具體實(shí)施,另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護(hù)與建設(shè)。
2信息安全管理系統(tǒng)標(biāo)準(zhǔn)
科學(xué)統(tǒng)一的國(guó)家信息安全標(biāo)準(zhǔn),有利于協(xié)調(diào)與融合各個(gè)信息安全管理系統(tǒng)的工作,充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國(guó)的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)兩個(gè)部分。
2.1ISO/IEC27000系列標(biāo)準(zhǔn)
1995年,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn),隨著時(shí)代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個(gè)部分,并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開(kāi)發(fā)、實(shí)施以及測(cè)量的科學(xué)信息安全管理慣例,并作為一種通用框架來(lái)促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善,這一過(guò)程實(shí)質(zhì)上就是在宏觀的角度上來(lái)指導(dǎo)整個(gè)項(xiàng)目的有效實(shí)施。它意在風(fēng)險(xiǎn)管理的基礎(chǔ)之上,用風(fēng)險(xiǎn)分析的途徑,把發(fā)生信息風(fēng)險(xiǎn)的概率降到最低程度,同時(shí)采取適當(dāng)?shù)卮胧﹣?lái)保障主體業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項(xiàng)控制細(xì)則,以及11項(xiàng)需要有效控制的項(xiàng)目,其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問(wèn)控制、資產(chǎn)管理、系統(tǒng)的開(kāi)發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險(xiǎn)評(píng)估與控制。
2.2信息安全等級(jí)保護(hù)
1994年國(guó)務(wù)院出臺(tái)了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,該項(xiàng)基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展,從而進(jìn)一步維護(hù)國(guó)家安全、社會(huì)發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則]是在TCSEC的分級(jí)保護(hù)思想基礎(chǔ)之上,針對(duì)我國(guó)信息安全的發(fā)展實(shí)際進(jìn)行改善,最終把安全等級(jí)縮減成更具可操作性的5個(gè)級(jí)別?!禛B/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類,其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)和人員安全管理;后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機(jī)安全以及數(shù)據(jù)安全與備份恢復(fù)。此外,信息安全等級(jí)保護(hù)的系列標(biāo)準(zhǔn)里還包括(〈GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護(hù)細(xì)則的具體操作要求。
3信息安全管理系統(tǒng)的模型設(shè)計(jì)
根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn),結(jié)合以往的信息安全管理系統(tǒng)設(shè)計(jì),提出一種新型的四層信息安全管理系統(tǒng):
第一層是數(shù)據(jù)庫(kù)層:包括日志、資產(chǎn)庫(kù)、異常日志以及資產(chǎn)弱點(diǎn)庫(kù)和資產(chǎn)風(fēng)險(xiǎn)庫(kù)等。該數(shù)據(jù)庫(kù)層的主要功能在于對(duì)信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲(chǔ)。
第二層為功能模塊層:包括資產(chǎn)管理、風(fēng)險(xiǎn)管理、弱點(diǎn)管理、信息安全管理規(guī)范下載管理資產(chǎn)等級(jí)評(píng)估管理、拓補(bǔ)管理以及日志分析。
第三層為信息采集:主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護(hù)對(duì)象的漏洞與安全事件。
最后一層為展示層:它包含某個(gè)具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補(bǔ)以及異常安全事件等相關(guān)部分。
上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點(diǎn)創(chuàng)新之處:
(1)所設(shè)計(jì)的風(fēng)險(xiǎn)模塊管理可以把風(fēng)險(xiǎn)評(píng)估常態(tài)化、主動(dòng)化,使其對(duì)整個(gè)業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的跟蹤與準(zhǔn)確分析;另外,該信息安全系統(tǒng)的日志審計(jì)功能也可以實(shí)現(xiàn)被動(dòng)式的安全管理,從而使主動(dòng)管理與被動(dòng)管理在信息安全管理系統(tǒng)中充分融合。
(2)業(yè)務(wù)系統(tǒng)的動(dòng)態(tài)建模和系統(tǒng)支持資產(chǎn),可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起,由此,整個(gè)信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個(gè)具體業(yè)務(wù)系統(tǒng)環(huán)境下,其單獨(dú)資產(chǎn)的具體安全狀況;另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn),反應(yīng)出整個(gè)資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。
(3)該新安全管理系統(tǒng)增加并促進(jìn)了拓補(bǔ)管理功能的發(fā)揮。
(4)該信息安全管理系統(tǒng)模型提供了統(tǒng)一的知識(shí)庫(kù)管理,能夠?qū)θ罩?、資產(chǎn)庫(kù)、異常日志以及資產(chǎn)弱點(diǎn)庫(kù)和資產(chǎn)風(fēng)險(xiǎn)庫(kù)等部分進(jìn)行更有效的數(shù)據(jù)存儲(chǔ)與管理。
關(guān)鍵詞:航空管制;信息系統(tǒng);信息安全;對(duì)策
1強(qiáng)化安全管理意識(shí)
航空管制信息安全管理工作人員的信息安全管理意識(shí)對(duì)于航管信息安全管理會(huì)產(chǎn)生直接的影響,也是航空管制信息安全管理過(guò)程中的重要因素。航空管制信息安全管理過(guò)程中出現(xiàn)的安全漏洞,很大程度上就是由于相關(guān)工作人員安全意識(shí)的淡薄,在工作中對(duì)自已要求不嚴(yán),從而忽視了信息安全的重要性。為了強(qiáng)化航空管制信息安全管理工作,就必須注重對(duì)工作人員信息安全管理意識(shí)的強(qiáng)化。其主要分為以下幾個(gè)方面:1)積極強(qiáng)化航空公司的各級(jí)領(lǐng)導(dǎo)信息安全意識(shí),首先確保最高決策者始終擁有高強(qiáng)度的安全意識(shí),并且以身作則,在自己的實(shí)際工作中體現(xiàn)出對(duì)安全管理得重視,這樣才能帶動(dòng)各級(jí)工作不斷提高自身的信息安全防范意識(shí)。信息安全管理工作,主要內(nèi)容是“三分技術(shù),七分管理”,各航空工作人員應(yīng)該始終將技術(shù)與管理結(jié)合起來(lái),作為約束自己日常工作行為的基本準(zhǔn)則。強(qiáng)化工作人員的信息安全意識(shí),需要對(duì)其進(jìn)行定期系統(tǒng)的信息安全教育(如信息安全管理知識(shí)講座等),以此為手段不斷發(fā)展航空管制人員的信息安全知識(shí)水平,促使每一位工作人員都能擁有高度的自主安全管理意識(shí)。2)注重對(duì)航管人員自身信息技術(shù)素質(zhì)水平的培養(yǎng)。在航空管制信息安全管理工作中,良好的專業(yè)素養(yǎng)以及熟練的操作能力是每一位工作人員都必須具備的技能。況且,隨著信息技術(shù)與人工智能技術(shù)逐漸的深入航空領(lǐng)域,在以后的航空管制工作中,若是沒(méi)有一定的信息技術(shù)專業(yè)知識(shí),航管人員就無(wú)法準(zhǔn)確高效的把握航管新裝備和新技術(shù)。同時(shí),航管人員在學(xué)習(xí)信息技術(shù)知識(shí)的過(guò)程中,還能開(kāi)拓自己的眼界,豐富自身對(duì)現(xiàn)代化技術(shù)的認(rèn)識(shí),在強(qiáng)化自身工作能力和安全意識(shí)的同時(shí),還能為整個(gè)航空領(lǐng)域的發(fā)展提供幫助,確保航管信息安全管理工作的順利進(jìn)行。3)注重航管信息安全管理觀念創(chuàng)新。在這個(gè)信息化的時(shí)代,各個(gè)領(lǐng)域都在飛速發(fā)展。日新月異的信息技術(shù),大量的新型航空管制理念,都要求航空管制信息安全工作要隨著時(shí)代的發(fā)展不斷變遷、創(chuàng)新。不僅如此,由于航空管制信息安全直接影響著飛機(jī)的飛行安全和乘客的人身安全,相關(guān)人員應(yīng)該始終保持本公司的運(yùn)營(yíng)理念與國(guó)際的新理念接軌,根據(jù)市場(chǎng)需求不斷改善航管信息安全管理目標(biāo)和具體實(shí)踐措施,創(chuàng)造屬于我們這個(gè)時(shí)代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實(shí)處,確保航空運(yùn)行過(guò)程中各個(gè)環(huán)節(jié)的信息安全[1]。
2抓住主要矛盾
要想最大程度的發(fā)揮出航管信息安全管理工作的作用,航空公司的決策者和相關(guān)工作人員就得明確航管信息安全管理過(guò)程中的重難點(diǎn),只有這樣,才能保證有目標(biāo)、有計(jì)劃的施以措施。航管人員務(wù)必要高效的解決在航管信息安全管理工作中出現(xiàn)的各種矛盾,下文就以其中存在的主要矛盾為例說(shuō)明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等,除此之外,還需要對(duì)航管信息資料進(jìn)行防御、檢測(cè)、抑制、恢復(fù)和管理,從多方面著手,保證航管工作的質(zhì)量。航管信息管理工作的重點(diǎn)是管理和控制航空管制信息系統(tǒng),其主要是對(duì)航管系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層進(jìn)行安全控制。航管工作中的系統(tǒng)層管理指的是對(duì)硬件和軟件的安全管理,而且軟件安全管理是整個(gè)航管信息安全管理工作中的重點(diǎn)。對(duì)于硬件系統(tǒng)的安全管理工作,一般將其列入物理安全范圍,主要是防電磁輻射、電子干擾等因素[2]。在應(yīng)用軟件這一層面上,航管信息系統(tǒng)有時(shí)候會(huì)遭到黑客的侵襲,因此,相關(guān)技術(shù)人員務(wù)必要做好防“黑客”、防病毒的準(zhǔn)備工作,而且在此基礎(chǔ)上,還得不斷恢復(fù)信息管理系統(tǒng),優(yōu)化操作系統(tǒng)的可行性和安全性,確保航管信息安全管理的效率。在加強(qiáng)軟件系統(tǒng)管理工作的同時(shí),還要對(duì)網(wǎng)絡(luò)層面的安全管理進(jìn)行加強(qiáng)。其主要包含以下幾點(diǎn):網(wǎng)絡(luò)報(bào)警、網(wǎng)絡(luò)恢復(fù)、數(shù)據(jù)保護(hù)、密鑰安全及內(nèi)部認(rèn)證等。對(duì)于網(wǎng)絡(luò)層面安全管理工作的加強(qiáng),工作人員應(yīng)該將重點(diǎn)放在各處子網(wǎng)的出入口設(shè)備上,同時(shí),軟件設(shè)施方面也應(yīng)配合硬件設(shè)施,積極研發(fā)嵌入式操作系統(tǒng),不斷創(chuàng)新,應(yīng)用更高水平的數(shù)字簽名技術(shù),對(duì)網(wǎng)絡(luò)層進(jìn)行加密。
3完善航管部門信息安全防范體系
俗話說(shuō):“無(wú)規(guī)矩,不成方圓”。要想充分完善航管信息安全管理工作,對(duì)航管信息進(jìn)行有效控制,航管部門就需要根據(jù)自身的實(shí)際條件不斷健全航管部門的信息安全管理體系。所以,工作人員就要提前做好充分的市場(chǎng)調(diào)研,就目前市場(chǎng)上的航管信息安全管理機(jī)構(gòu)設(shè)置進(jìn)行討論研究,仔細(xì)觀察整個(gè)機(jī)構(gòu)設(shè)置的合理性和可行性,對(duì)各個(gè)部門的航管信息安全管理職能進(jìn)行明確劃分,使信息安全管理要求與業(yè)務(wù)流程聯(lián)系起來(lái),最大程度的發(fā)揮出航管信息安全管理機(jī)構(gòu)的作用。不斷完善航管信息安全管理制度,加上安全管理體系的建設(shè),實(shí)行統(tǒng)一規(guī)劃、統(tǒng)一管理與統(tǒng)一監(jiān)督。時(shí)刻與國(guó)際先進(jìn)的技術(shù)保持聯(lián)系,將自身的發(fā)展與信息技術(shù)和人工智能緊密聯(lián)系起來(lái),將本航空公司的安全管理體系至于本行業(yè)發(fā)展的前沿。在航管過(guò)程中,需要使用的儀器設(shè)備要盡量采用國(guó)產(chǎn)裝備,特別是某些涉及到自主關(guān)鍵技術(shù)機(jī)密以及中國(guó)自主知識(shí)產(chǎn)權(quán)的核心儀器設(shè)備。與此同時(shí),工作人員還應(yīng)該注重加強(qiáng)對(duì)網(wǎng)絡(luò)安全系統(tǒng)的規(guī)范管理制度,逐漸建立出相應(yīng)系統(tǒng)的航管信息安全管理標(biāo)準(zhǔn)和統(tǒng)一的航管信息安全管理綜合評(píng)估體系以及針對(duì)航管信息的獲取和應(yīng)用等,需要明確的制定出切實(shí)可行的安全管理措施體系。由此可見(jiàn),在航管信息安全管理的過(guò)程中,始終不能脫離完整、規(guī)范的航管信息安全防范體系,只有通過(guò)航管部門系統(tǒng)全面嚴(yán)格的控制把關(guān),才能高效地處理航管信息安全工作中出現(xiàn)的各種問(wèn)題。在日常的航管部門信息安全管理工作中,工作人員務(wù)必要注意兩點(diǎn),一是加強(qiáng)對(duì)航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對(duì)工作中的專業(yè)知識(shí)以及某些設(shè)備的操作技術(shù)進(jìn)行學(xué)習(xí),不斷的對(duì)航管人員注入最新的航管理念,對(duì)航管人員的航空管制保密常識(shí)進(jìn)行培訓(xùn),加強(qiáng)信息安全教育,確保每一位航空管制人員都擁有深刻的信息安全意識(shí),以保證航空飛行安全。二是對(duì)整體航管人員實(shí)行保密信息封鎖制度。航空公司應(yīng)該根據(jù)實(shí)際情況制定出適合自身發(fā)展的電子設(shè)備保密管理制度,控制工作人員與外界不必要的聯(lián)系,始終嚴(yán)格約束所有工作人員的言行舉止,切忌在日常交流以及聯(lián)系中向外界流失掉機(jī)密信息。不僅如此,航空公司中的任何以為工作人員都不允許以任何一種形式對(duì)外界透露公司內(nèi)部的運(yùn)行情況,更不能泄露涉及航管和飛行安全的信息[3]。
4健全航管信息安全管理法規(guī)制度
航空公司嚴(yán)謹(jǐn)有序的運(yùn)行模式,不僅需要每一位工作人員的付出還需要高層決策者與各級(jí)工作人員商議之后制定出合理的法規(guī)制度,以統(tǒng)一形式的制度、要求及管理力度對(duì)員工進(jìn)行統(tǒng)一管理,一視同仁,旨在提升對(duì)航管信息安全的管理效率。健全航管信息安全管理法規(guī)制度的要求分為兩個(gè)方面,第一個(gè)方面,公司要盡快且保證質(zhì)量的建立屬于自己的航管信息安全評(píng)估系統(tǒng)。在建設(shè)的過(guò)程中,要始終按照國(guó)家的標(biāo)準(zhǔn)要求,不管是信息基礎(chǔ)設(shè)施建設(shè),還是網(wǎng)絡(luò)規(guī)劃建設(shè),都必須通過(guò)國(guó)家相關(guān)管理部門的審批。而在進(jìn)行基礎(chǔ)設(shè)施建設(shè)和設(shè)備配備的過(guò)程中,則需要安全管理部門和質(zhì)量管理部門進(jìn)行約束指導(dǎo),所有的信息建設(shè)只有在通過(guò)有效的信息安全質(zhì)量認(rèn)證之后,才能投入使用。第二個(gè)方面,要想使航空管制信息安全管理過(guò)程中的規(guī)章制度得到系統(tǒng)化、明確化、條理化,工作人員就必須以本航空公司的航管信息安全管理模式為出發(fā)點(diǎn),經(jīng)過(guò)多方面的調(diào)研分析,采取各個(gè)階層工作人員的意見(jiàn)整合之后制定出可行有效的信息安全規(guī)章制度,力爭(zhēng)在最短的時(shí)間內(nèi)使航空管制信息安全管理工作的可行性得到大幅度提升[4]。
5結(jié)語(yǔ)
綜上所述,航空管制信息安全管理工作是所有航空公司正常運(yùn)營(yíng)的前提條件,也是順利開(kāi)展航管業(yè)務(wù)的基礎(chǔ)工作,只有航管信息安全得到了保障,飛機(jī)的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹(shù)立堅(jiān)實(shí)牢固的航管信息安全意識(shí),提高自身的航管能力。相應(yīng)的公司管理人員也應(yīng)不斷強(qiáng)化本公司的信息技術(shù),結(jié)合國(guó)際上新型的航管理念發(fā)展自身的運(yùn)行效率,為飛機(jī)的安全飛行保駕護(hù)航。
參考文獻(xiàn):
[1]許彬.航管信息情報(bào)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2014.
[2]魏純潔.空中交通管制安全評(píng)估關(guān)鍵技術(shù)研究[D].南京:南京航空航天大學(xué),2012.
關(guān)鍵詞:醫(yī)療衛(wèi)生行業(yè);信息安全;等級(jí)保護(hù);管理制度
1引言
隨著信息化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展,大數(shù)據(jù)和換聯(lián)網(wǎng)+也進(jìn)入了醫(yī)療衛(wèi)生行業(yè),加快了醫(yī)院信息化的發(fā)展。隨著醫(yī)院業(yè)務(wù)的發(fā)展,醫(yī)院信息系統(tǒng)的應(yīng)用也更加廣泛,醫(yī)院對(duì)其依賴性會(huì)越來(lái)越強(qiáng),風(fēng)險(xiǎn)也隨之會(huì)提高。但醫(yī)療服務(wù)的特殊性決定了醫(yī)院信息系統(tǒng)需要24小時(shí)不間斷運(yùn)行,這就對(duì)醫(yī)院的信息安全管理提出了更高要求。信息安全管理是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)的活動(dòng),它是了解體系安全狀態(tài)、實(shí)現(xiàn)信息安全目標(biāo)的重要關(guān)口,主要包括信息安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理和技術(shù)措施的控制。如何更好地進(jìn)行信息安全管理成為一個(gè)不可忽視的問(wèn)題,因此,在醫(yī)院信息化建設(shè)的同時(shí)加強(qiáng)信息安全管理建設(shè)是解決醫(yī)院信息安全問(wèn)題的必然選擇。
2我國(guó)衛(wèi)生行業(yè)信息安全管理政策
2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導(dǎo)意見(jiàn)與發(fā)展規(guī)劃(2011-2015)》(“十二五”規(guī)劃)明確提出了我國(guó)醫(yī)療信息化發(fā)展的藍(lán)圖和發(fā)展方向“35212工程”,建設(shè)信息安全體系即是最后一個(gè)“2”中的一項(xiàng)。按照《衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》(衛(wèi)辦綜函〔2011〕1126號(hào))的要求,三級(jí)甲等醫(yī)院應(yīng)于2015年12月30日前全部完成信息安全等級(jí)保護(hù)建設(shè)整改工作,并通過(guò)等級(jí)測(cè)評(píng)。這標(biāo)志著我國(guó)衛(wèi)生行業(yè)開(kāi)始通過(guò)信息安全等級(jí)保護(hù)加強(qiáng)對(duì)醫(yī)院信息安全的管理。原衛(wèi)生部、國(guó)家中醫(yī)藥管理局在2012年6月15日的《關(guān)于加強(qiáng)衛(wèi)生信息化建設(shè)的指導(dǎo)意見(jiàn)》指出,要加強(qiáng)衛(wèi)生信息安全保障體系建設(shè),落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度。國(guó)家衛(wèi)生計(jì)生委規(guī)劃信息司在2014中國(guó)健康大會(huì)上也指出,醫(yī)療衛(wèi)生信息化是國(guó)家信息化發(fā)展的重點(diǎn),已納入“十三五”國(guó)家網(wǎng)絡(luò)安全和信息化建設(shè)重點(diǎn)。
3醫(yī)院信息安全管理需求
據(jù)《南方都市報(bào)》報(bào)道,2008年5月以來(lái),香港連續(xù)爆出泄密事件:先是醫(yī)管局下屬醫(yī)院陸續(xù)發(fā)現(xiàn)患者資料遺失,共涉及1.6萬(wàn)名患者,此事立刻轟動(dòng)了全港。2010年5月23日,一張神秘的清單在網(wǎng)上曝光,其中列出了寧波市某醫(yī)院45名醫(yī)生的工號(hào)、名字和所屬科室,后面還注明了他們使用藥品氨曲南的數(shù)量和總價(jià),雖然腐敗得到懲戒,大快人心,但所暴露的醫(yī)院的潛在威脅值得警惕。2013年7月,寧波兩家醫(yī)院掛號(hào)系統(tǒng)癱瘓事件,同樣也引起了社會(huì)各界對(duì)醫(yī)院信息系統(tǒng)安全的高度關(guān)注。2015年10月份的澳門山頂醫(yī)院最大泄密事件,患者資料隨街散落,也折射出醫(yī)療衛(wèi)生行業(yè)信息安全問(wèn)題的嚴(yán)峻性。信息化在給醫(yī)院帶來(lái)便利的同時(shí),也帶來(lái)了醫(yī)院信息安全的隱患,上述嚴(yán)重的信息安全事件給醫(yī)院的信息安全管理敲響了警鐘。醫(yī)院信息系統(tǒng)承擔(dān)著整個(gè)醫(yī)院的內(nèi)外各項(xiàng)業(yè)務(wù),其安全狀況直接關(guān)乎患者隱私和健康、社會(huì)秩序及穩(wěn)定等。加強(qiáng)信息安全、消除信息安全隱患,已經(jīng)成為醫(yī)院當(dāng)前必須要面對(duì)的問(wèn)題。
4醫(yī)院信息安全管理制度的發(fā)展對(duì)策
在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和醫(yī)院評(píng)審的相關(guān)標(biāo)準(zhǔn)中都提到了信息管理部分,都強(qiáng)調(diào)了信息安全管理,并且都是對(duì)醫(yī)院進(jìn)行此兩方面評(píng)審時(shí)的重要的評(píng)審部分。結(jié)合這兩方面的評(píng)審要求,可以分別從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)行安全管理五個(gè)方面,對(duì)醫(yī)院信息安全進(jìn)行管理。
4.1建立完善的總體安全管理制度
醫(yī)院應(yīng)根據(jù)自身的實(shí)際情況制訂總信息安全管理制度,總信息安全管理制度是一個(gè)醫(yī)院的根本管理制度,規(guī)定醫(yī)院信息安全管理的根本任務(wù)和根本制度,是醫(yī)院信息安全工作的總體方針、總體目標(biāo)、總體原則,是其他信息安全管理制度制訂的依據(jù)和基本要求??傂畔踩芾碇贫戎袘?yīng)嚴(yán)格明確制度制定與的流程、方式、范圍等,應(yīng)定期組織相關(guān)部門對(duì)安全管理制度進(jìn)行評(píng)審與修訂,以滿足醫(yī)院信息化不斷發(fā)展的需要。
4.2應(yīng)建立穩(wěn)固的安全管理機(jī)構(gòu)
醫(yī)院應(yīng)根據(jù)總體安全管理制度的基本要求設(shè)置安全管理機(jī)構(gòu)和安全管理崗位,并制定《崗位設(shè)置與職責(zé)管理制度》,應(yīng)明確“三員”(系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員)崗位與職責(zé)。醫(yī)院信息安全管理不是某一個(gè)部門的職責(zé),而是全醫(yī)院相關(guān)部門都要參與,從自身做起,從上述某醫(yī)院的信息安全管理機(jī)構(gòu)圖來(lái)看,信息安全領(lǐng)導(dǎo)小組對(duì)醫(yī)院信息安全管理進(jìn)行定期評(píng)審,再由醫(yī)院最高領(lǐng)導(dǎo)的支持,然后直到一線的人員,每個(gè)崗位都有明解的崗位職責(zé),達(dá)到穩(wěn)固的管理,責(zé)任到人,能滿足醫(yī)院信息化不斷發(fā)展的需要。
4.3配備專業(yè)的信息化人員,制定完善的員工信息安全管理制度
醫(yī)院人事主管部門,應(yīng)針對(duì)醫(yī)院的實(shí)際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓(xùn)制度》、《外部人員參觀訪問(wèn)制度》等人員工信息安全管理制度。在人員錄用方面應(yīng)按照制度流程對(duì)被錄用人員進(jìn)行資格審查,對(duì)于在醫(yī)院從事關(guān)鍵崗位的人員應(yīng)當(dāng)簽署保密協(xié)議等,在離職時(shí)應(yīng)按照制度流程辦理離職手續(xù),例如應(yīng)回收醫(yī)院發(fā)放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統(tǒng)賬號(hào)等;在人員考核方面應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行信息安全技術(shù)及信息安全認(rèn)知的考核,確保在崗人員都有維護(hù)醫(yī)院信息安全的義務(wù);在人員的安全教育和培訓(xùn)方面,應(yīng)對(duì)各類人員定期進(jìn)行信息安全教育和培訓(xùn),提高其安全意識(shí),明確責(zé)任和獎(jiǎng)懲措施;在外部人員來(lái)醫(yī)院參觀訪問(wèn)方面,應(yīng)用按照制度進(jìn)行授權(quán)和審批,確保醫(yī)院運(yùn)行安全。
4.4完善醫(yī)院各類信息系統(tǒng)的建設(shè),制定切實(shí)可行的信息系統(tǒng)安全管理制度
信息化數(shù)字化醫(yī)院建設(shè)只有起點(diǎn)沒(méi)有終點(diǎn),醫(yī)院在各類信息系統(tǒng)建設(shè)方面應(yīng)根據(jù)自身的實(shí)際情況,制定完善可行的信息系統(tǒng)建設(shè)規(guī)章,可保障醫(yī)院相關(guān)部門在信息系統(tǒng)建設(shè)過(guò)程有據(jù)可依、有規(guī)可循。例如醫(yī)院可制定如下關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的管理制度:《醫(yī)院信息系統(tǒng)定級(jí)管理制度》、《醫(yī)院信息系統(tǒng)安全方案設(shè)計(jì)管理制度》、《醫(yī)院信息系統(tǒng)產(chǎn)品采購(gòu)和使用制度》、《醫(yī)院信息系統(tǒng)自行軟件開(kāi)發(fā)制度》、《醫(yī)院信息系統(tǒng)外包軟件開(kāi)發(fā)制度》、《醫(yī)院信息系統(tǒng)工程實(shí)施管理制度》、《醫(yī)院信息系統(tǒng)測(cè)試驗(yàn)收管理制度》、《醫(yī)院信息系統(tǒng)交付管理制度》等。
4.5制定切實(shí)可行的醫(yī)院各類信息系統(tǒng)運(yùn)行管理制度,滿足醫(yī)院各類業(yè)務(wù)的適時(shí)訪問(wèn)需求
醫(yī)院各類信息系統(tǒng)建設(shè)的目的是為了更好地滿足各類業(yè)務(wù)的需求,保障建設(shè)好的各類信息系統(tǒng)更好的運(yùn)行。醫(yī)院信息系統(tǒng)管理者應(yīng)從管理方面制定切實(shí)可行的管理制度,同時(shí)針對(duì)不同的醫(yī)院使用人員,制定不同的使用操作手冊(cè),讓醫(yī)院的使用者達(dá)到規(guī)范操作,這樣可以大大減少人為誤操作導(dǎo)致的系統(tǒng)故障,方便運(yùn)維人員對(duì)系統(tǒng)的維護(hù)。例如醫(yī)院可根據(jù)信息系統(tǒng)的實(shí)際情況制定如下運(yùn)行管理制度:《醫(yī)院信息系統(tǒng)環(huán)境管理制度》、《醫(yī)院信息系統(tǒng)資產(chǎn)管理制度》、《醫(yī)院信息化介質(zhì)管理制度》、《設(shè)備管理制度》、《醫(yī)院網(wǎng)絡(luò)安全管理制度》、《醫(yī)院信息系統(tǒng)安全管理制度》、《醫(yī)院惡意代碼防范管理制度》、《醫(yī)院信息系統(tǒng)密碼管理制度》、《醫(yī)院信息系統(tǒng)備份與恢復(fù)管理制度》、《醫(yī)院信息系統(tǒng)安全事件處置制度》、《醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案管理制度》等。
5總結(jié)
信息化、數(shù)字化醫(yī)院建設(shè)只有起點(diǎn)沒(méi)有終點(diǎn),醫(yī)院信息系統(tǒng)安全伴隨著信息化數(shù)字化醫(yī)院建設(shè)同樣沒(méi)有終點(diǎn)。醫(yī)院需要高度重視信息安全管理,制定一套切實(shí)可行的信息安全管理制度和措施,才能更好地保證醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定的運(yùn)行。
參考文獻(xiàn):
[1]蔡文濤.淺談醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全[J].中國(guó)現(xiàn)代醫(yī)生,2009(32):116-117.
[2]李剛.醫(yī)院信息系統(tǒng)安全管理問(wèn)題淺析[J].中國(guó)管理信息化,2013(1):39.
[3]楊棟,劉立輝,任志剛.醫(yī)院信息安全管理與措施[J].中國(guó)醫(yī)療設(shè)備,2011,26(6):70-72.
【關(guān)鍵詞】 信息安全標(biāo)準(zhǔn)化控制項(xiàng)
1 引言
國(guó)際標(biāo)準(zhǔn)化組織(ISO)是由各國(guó)標(biāo)準(zhǔn)化團(tuán)體(ISO成員團(tuán)體)組成的世界性的聯(lián)合會(huì)。由國(guó)際標(biāo)準(zhǔn)化組織的ISO/IEC 27001是信息安全管理體系要求。建立ISO/IEC 27001信息安全管理體系并獲得認(rèn)證,能提高組織自身的信息安全管理水平,將組織的信息安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),減少因信息安全事件帶來(lái)的破壞和損失??梢员WC組織業(yè)務(wù)的持續(xù)性,并向客戶及利益相關(guān)方展示組織保障信息安全的能力,能增強(qiáng)合作伙伴、投資方的信心,并能得到國(guó)際上的認(rèn)可。
日前,ISO國(guó)際標(biāo)準(zhǔn)化組織了信息安全管理體系ISO 27001:2013 DIS(國(guó)際標(biāo)準(zhǔn)草案),標(biāo)志著已經(jīng)沿用了8年的ISO/IEC 27001:2005即將換版。新的信息安全管理體系標(biāo)準(zhǔn),進(jìn)一步的體現(xiàn)了信息安全管理體系適用于所有行業(yè)、注重管理績(jī)效的核心思想,為計(jì)劃采用該管理體系標(biāo)準(zhǔn)的組織的提供了更先進(jìn)、慎密的管理體系標(biāo)準(zhǔn)。
2 ISO/IEC 27001改版的主要差異
2.1 體現(xiàn)與時(shí)俱進(jìn)的思想
新版ISO/IEC 27001將控制項(xiàng)從133個(gè)縮減為113個(gè),淘汰了一些過(guò)時(shí)的信息安全控制項(xiàng),如移動(dòng)代碼(A.10.4.2 Controls against mobile code );另一方面,針對(duì)這幾年信息技術(shù)的發(fā)展,將移動(dòng)設(shè)備(A.6.2.1Mobile device policy)列入了控制項(xiàng);同時(shí)強(qiáng)調(diào)了一些近幾年倍受關(guān)注的控制項(xiàng),如2005版的A.12.3密碼控制獨(dú)立為A.10密碼控制。
2.2 注重管理績(jī)效
對(duì)管理體系的評(píng)價(jià)單獨(dú)形成第9章Performance evaluation。并在標(biāo)準(zhǔn)的不同層面強(qiáng)調(diào)信息安全不單單是IT部門的工作,也不僅僅是安全問(wèn)題,一個(gè)成功的信息安全管理依賴于于IT支撐部門與業(yè)務(wù)部門共同協(xié)作,所有相關(guān)部門都應(yīng)該了解信息安全的意義。
2.3 提高兼容性
新版27001采用ISO導(dǎo)則83的結(jié)構(gòu)性要求,從8個(gè)章節(jié)調(diào)整為10個(gè)章節(jié),重新構(gòu)建了ISO標(biāo)準(zhǔn)的PDCA章節(jié)架構(gòu),這個(gè)結(jié)構(gòu)在已的ISO22301中已應(yīng)用,未來(lái)將在ISO其它標(biāo)準(zhǔn)改版中普遍采用(包括ISO9000、ISO20000等)。
3 新標(biāo)準(zhǔn)前的轉(zhuǎn)版準(zhǔn)備工作
ISO/IEC 27001:2013 DIS與ISO/IEC 27001:2005相比,差異體現(xiàn)為三類:取消,變更,增加。目前,ISO 27001:2013尚未正式,對(duì)于已經(jīng)獲得GB/T 22080:2008認(rèn)證的企業(yè),可以考慮在現(xiàn)有信息安全管理體系中加入ISO/IEC 27001:2013 DIS增加的控制項(xiàng),從而進(jìn)一步完善企業(yè)的信息安全管理體系,并降低ISO 27001:2013正式時(shí)的轉(zhuǎn)版工作量。具體操作上可以按照新增控制項(xiàng)識(shí)別、業(yè)務(wù)梳理、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、體系文件編制、內(nèi)部審核、管理評(píng)審的流程操作。新增的控制項(xiàng)包括:
A.14.2.1 Secure development policy/安全開(kāi)發(fā)策略
控制措施:在組織內(nèi)應(yīng)對(duì)軟件和系統(tǒng)的開(kāi)發(fā)過(guò)程建立并實(shí)施安全規(guī)則
A.14.2.5 System development procedures/系統(tǒng)開(kāi)發(fā)程序
控制措施:應(yīng)為任何信息系統(tǒng)的開(kāi)發(fā)建立、記錄、維護(hù)安全系統(tǒng)的工程原則
A.14.2.6Secure development environment/安全的開(kāi)發(fā)環(huán)境
控制措施:組織應(yīng)在系統(tǒng)開(kāi)發(fā)的整個(gè)生命周期里為系統(tǒng)開(kāi)發(fā)和集成建立并適當(dāng)保護(hù)安全開(kāi)發(fā)環(huán)境
A.14.2.8System security testing/系統(tǒng)安全測(cè)試
控制措施:在開(kāi)發(fā)過(guò)程中應(yīng)進(jìn)行安全功能的測(cè)試
A15.1.1Information security policy for supplier relationships/供應(yīng)商關(guān)系的信息安全策略
控制措施:為降低風(fēng)險(xiǎn),應(yīng)對(duì)供應(yīng)商訪問(wèn)組織的信息或信息處理過(guò)程確定信息安全要求并形成文件
A.15.1.2Addressing security within supplier agreements/在供應(yīng)商協(xié)議解決安全
控制措施:對(duì)每個(gè)可能接觸組織信息的供應(yīng)商,接觸方式包括訪問(wèn)、處理、存儲(chǔ)、通訊或提供IT基礎(chǔ)設(shè)施,應(yīng)建立所有與信息安全相關(guān)的要求并獲得批準(zhǔn)。
A15.1.3ICT supply chain/ ICT供應(yīng)鏈
控制措施:與供應(yīng)商的協(xié)議應(yīng)包括為解決相關(guān)的信息和通信技術(shù)服務(wù)及相關(guān)產(chǎn)品供應(yīng)鏈中的信息安全風(fēng)險(xiǎn)的要求
A.16.1.4Assessment and decision of information security events/信息安全事件的評(píng)估和決策
控制措施:應(yīng)評(píng)估信息安全事態(tài),并判斷是否應(yīng)歸類為信息安全事件
A.17.2.1Availability of information processing facilities/信息處理設(shè)施的可用性
控制措施:為實(shí)現(xiàn)可用性要求,信息處理設(shè)施應(yīng)實(shí)施適當(dāng)?shù)娜哂啻胧?/p>
4 總結(jié)
新版ISO/IEC 27001標(biāo)準(zhǔn)為了更好地幫助使用標(biāo)準(zhǔn)的企業(yè)管理信息安全以及追求“有用”和“好用”的目標(biāo),在信息過(guò)程的覆蓋面及針對(duì)性及與其它ISO管理體系標(biāo)準(zhǔn)的一致性方面有了很大提高。
參考文獻(xiàn):
[1]ISO/IEC 27001:2005 Information technology-Security techniques-Information security management systems-Requirements.
由于電力企業(yè)以發(fā)電、經(jīng)營(yíng)電力為主,信息網(wǎng)絡(luò)安全問(wèn)題并沒(méi)有得到足夠重視,管理方面存在重技術(shù)輕管理的問(wèn)題,未建立完善的信息安全管理制度,面對(duì)上級(jí)檢查,簡(jiǎn)單應(yīng)付,腦子里輕視信息安全,信息安全觀念淡薄,這都會(huì)增加企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)。例如,缺少對(duì)企業(yè)職工的信息安全教育培訓(xùn)、缺少定期對(duì)信息運(yùn)維人員的安全技能的培訓(xùn)等等,都會(huì)嚴(yán)重威脅企業(yè)信息網(wǎng)絡(luò)的安全。電力企業(yè)在針對(duì)信息系統(tǒng)的應(yīng)用和信息網(wǎng)絡(luò)安全兩個(gè)方面時(shí),更加注重的是前者。以此同時(shí),可能部分職工還存在僥幸心理,忽視了網(wǎng)絡(luò)安全問(wèn)題的重要性。
2電力企業(yè)網(wǎng)絡(luò)信息安全管理的有效策略
2.1注重建設(shè)基礎(chǔ)設(shè)施和管理運(yùn)行環(huán)境
需要嚴(yán)格的管理配電室、信息、通信機(jī)房等關(guān)鍵性的基礎(chǔ)設(shè)施,對(duì)防水、防火、防盜裝置進(jìn)行合理配備;對(duì)電力二次設(shè)備安全防護(hù)要做到,安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證,生產(chǎn)控制大區(qū)與信息管理大區(qū)要做好物理強(qiáng)隔離;機(jī)房需要安裝監(jiān)控報(bào)警設(shè)備和動(dòng)環(huán)監(jiān)測(cè)系統(tǒng);對(duì)桌面終端和主機(jī)等設(shè)備要做好補(bǔ)丁更新,控制權(quán)限;在網(wǎng)絡(luò)安全設(shè)備上要做好安全策略;做好流量監(jiān)測(cè)和行為監(jiān)測(cè);此外,建立設(shè)備運(yùn)行日志,對(duì)設(shè)備的運(yùn)行狀況進(jìn)行記錄,并且建立操作規(guī)程,從而保證信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,確保根據(jù)安全管理制度進(jìn)行操作;做好安全防護(hù)記錄、制定應(yīng)急響應(yīng)預(yù)案、系統(tǒng)操作規(guī)程、用戶應(yīng)用手冊(cè)、網(wǎng)絡(luò)安全規(guī)范、管理好口令、落實(shí)安全保密要求、人員分工、管理機(jī)房建設(shè)方案等制度,確保信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。由內(nèi)至外,全面的貫徹,實(shí)施動(dòng)態(tài)性地管理,持續(xù)提高信息安全、優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
2.3注重信息安全反違章督察工作的開(kāi)展
建立信息安全督察隊(duì)伍,明確職責(zé),按照信息安全要求,開(kāi)展定期的督察,發(fā)現(xiàn)問(wèn)題,限期整改。電力企業(yè)要對(duì)企業(yè)信息系統(tǒng)軟硬件設(shè)施、容災(zāi)系統(tǒng)、桌面終端、防護(hù)策略等進(jìn)行定期督查,實(shí)現(xiàn)信息安全設(shè)備加固和更新,培養(yǎng)信息安全督查專家隊(duì)伍,交叉互查、發(fā)現(xiàn)并解決問(wèn)題,提高信息系統(tǒng)的安全性。
2.4積極探索電力企業(yè)信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)指的是,對(duì)涉及國(guó)計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實(shí)際安全需求,合理投入,分級(jí)進(jìn)行保護(hù),分類指導(dǎo),分階段實(shí)施,保障信息系統(tǒng)安全。針對(duì)電力企業(yè)信息系統(tǒng),應(yīng)建立相應(yīng)的信息安全等級(jí)保護(hù)機(jī)制。技術(shù)上分級(jí)落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全;管理上要建立對(duì)應(yīng)的安全管理制度、設(shè)置安全管理機(jī)構(gòu)、做好人員安全管理、系統(tǒng)建設(shè)、運(yùn)維管理。
2.5明確員工信息安全責(zé)任,實(shí)現(xiàn)企業(yè)信息安全文化建設(shè)
針對(duì)企業(yè)的所有員工,關(guān)鍵是明確自己需要擔(dān)負(fù)的安全責(zé)任、熟悉有關(guān)的安全策略,理解一系列的信息安全要求。針對(duì)信息運(yùn)維人員,需要對(duì)信息安全的管理策略進(jìn)行有效地把握,明確安全評(píng)估的策略,準(zhǔn)確使用維護(hù)技術(shù)安全操作;針對(duì)管理電力企業(yè)信息網(wǎng)絡(luò)安全的管理人員,關(guān)鍵在于對(duì)企業(yè)的信息安全管理制度、信息安全體系的組成、信息安全目標(biāo)的把握和熟悉。以上述作為基礎(chǔ),實(shí)現(xiàn)企業(yè)信息安全文化的建設(shè)。
2.6提升人員的信息安全意識(shí)
針對(duì)電力企業(yè)信息安全而言,員工信息安全意識(shí)的提高十分關(guān)鍵。企業(yè)需要組織一系列有關(guān)的信息安全知識(shí)培訓(xùn),培養(yǎng)員工應(yīng)用電腦的良好習(xí)慣,比如不允許在企業(yè)的電腦上使用未加密的存儲(chǔ)介質(zhì),不應(yīng)當(dāng)將無(wú)關(guān)軟件或者是游戲軟件安裝在終端上,對(duì)桌面終端進(jìn)行強(qiáng)口令設(shè)置,以及啟用安全組策略,備份關(guān)鍵性的文件等,從而使員工的信息安全意識(shí)逐步提高。
3結(jié)語(yǔ)
關(guān)鍵詞:用戶參與;信息安全;信息安全意識(shí);業(yè)務(wù)流程結(jié)合;
作者簡(jiǎn)介:謝宗曉(1979-),男,山東日照人,南開(kāi)大學(xué)商學(xué)院博士研究生,研究方向:信息安全管理、網(wǎng)絡(luò)組織與治理等。
1引言
無(wú)論信息安全的關(guān)注點(diǎn)從單點(diǎn)轉(zhuǎn)向系統(tǒng),還是其手段從單純的技術(shù)/管理轉(zhuǎn)向體系,安全體系的核心始終都是用戶。因?yàn)樵谒邪踩珯C(jī)制中,一方面,用戶是機(jī)器系統(tǒng)的使用者,也是安全策略的執(zhí)行者,作為主體方存在;另一方面,用戶是安全策略約束的對(duì)象,作為客體方存在。
用戶在信息安全實(shí)踐中的作用往往被認(rèn)為是消極的,有些研究認(rèn)為,在任何系統(tǒng)的安全機(jī)制中,人是最薄弱的環(huán)節(jié)[1-2]。但是,目前不存在完全不需要用戶參與就能夠智能識(shí)別并適應(yīng)環(huán)境變化的安全防護(hù)系統(tǒng),就這點(diǎn)而言,用戶參與在現(xiàn)階段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)和商業(yè)機(jī)遇最大化,也就是說(shuō)信息安全是基于業(yè)務(wù)要求的適當(dāng)安全,過(guò)度的安全往往意味著浪費(fèi)。Spears等[3]的研究表明,用戶參與風(fēng)險(xiǎn)評(píng)估和控制措施設(shè)計(jì)過(guò)程可以提供足夠的業(yè)務(wù)信息,避免不切實(shí)際的安全控制,使實(shí)現(xiàn)適當(dāng)?shù)陌踩蔀榭赡?。因此,用戶參與在信息安全實(shí)踐中是必須和必要的,本研究的目的是探討用戶參與在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相關(guān)研究評(píng)述
2.1用戶參與
用戶參與的研究開(kāi)始于20世紀(jì)60年代[4-5],目前多集中在信息系統(tǒng)開(kāi)發(fā)領(lǐng)域中,在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi),用戶參與和用戶涉入的概念被認(rèn)為同義。Barki等[4,6]第一次將用戶涉入與用戶參與的概念分離,認(rèn)為用戶參與是系統(tǒng)開(kāi)發(fā)過(guò)程中用戶執(zhí)行的一系列行為或活動(dòng),用戶涉入是用戶對(duì)一個(gè)系統(tǒng)的重要性以及與個(gè)體關(guān)聯(lián)程度認(rèn)識(shí)的主觀心理狀態(tài)。
用戶參與理論假設(shè)用戶參與與以系統(tǒng)質(zhì)量、用戶滿意度、用戶接受度、系統(tǒng)應(yīng)用等定義的系統(tǒng)成功之間存在關(guān)聯(lián)[5],其中隱含的含義為,在信息系統(tǒng)開(kāi)發(fā)過(guò)程中的用戶參與并不是必須的,而在信息安全實(shí)踐中的用戶參與則明顯不同,只有部分參與與全員參與的區(qū)別,并不存在是否參與的區(qū)別。Doll等[7]認(rèn)為,在強(qiáng)制環(huán)境下,用戶涉入與用戶參與沒(méi)有區(qū)別。由于用戶參與在信息安全情境中已經(jīng)隱含了強(qiáng)制環(huán)境的含義,因此本研究也認(rèn)為用戶涉入與用戶參與同義。為了研究方便以及與信息系統(tǒng)開(kāi)發(fā)過(guò)程形成更好的對(duì)應(yīng),本研究中的用戶參與是指用戶在安全策略制定過(guò)程中的一系列行為或活動(dòng)。
在信息安全研究領(lǐng)域,絕大多數(shù)研究都在關(guān)注安全功能的實(shí)現(xiàn),Dhillon等[8]在對(duì)文獻(xiàn)進(jìn)行分類梳理后認(rèn)為,信息安全研究主流必然從關(guān)注功能的范式轉(zhuǎn)向基于社會(huì)-組織視角的研究;Ashenden[9]反思人在信息安全管理中的作用,認(rèn)為其中來(lái)自人的挑戰(zhàn)被忽視了,并建議從管理學(xué)和組織行為學(xué)的角度研究信息安全管理所面臨的困境。之后涌現(xiàn)出的基于社會(huì)-組織視角的信息安全相關(guān)研究中,人的因素明顯成為熱點(diǎn),Johnston等[10]認(rèn)為恐懼訴求會(huì)影響員工遵守安全策略;Bulgurcu等[11]認(rèn)為員工遵守安全策略受規(guī)范信念和自我效能等因素的影響。
但是,這些關(guān)注員工遵守安全策略的研究與以往的功能范式研究假設(shè)前提一樣,即用戶參與(在信息安全中一般稱作人的參與)是作為消極因素出現(xiàn),這在信息安全風(fēng)險(xiǎn)評(píng)估和管理中尤為明顯。一般認(rèn)為人工評(píng)估是目前信息系統(tǒng)復(fù)雜到無(wú)法進(jìn)行全定量化和全自動(dòng)化評(píng)估時(shí)不得不采取的一個(gè)補(bǔ)充手段[12-14],如何去掉信息安全風(fēng)險(xiǎn)評(píng)估和管理過(guò)程中人的參與也成為其中的重要研究目標(biāo)之一[15]。
在信息安全情境中,專門研究用戶參與的文獻(xiàn)較少,僅有Spears等[3,16]探討用戶參與在信息安全風(fēng)險(xiǎn)管理中的作用,并得出用戶參與對(duì)信息安全風(fēng)險(xiǎn)管理有正向作用的結(jié)論,但對(duì)用戶參與在信息安全中的定義未進(jìn)行深入探討,直接用信息系統(tǒng)開(kāi)發(fā)中的系統(tǒng)開(kāi)發(fā)替代風(fēng)險(xiǎn)管理。問(wèn)題在于,在定義信息安全術(shù)語(yǔ)的ISO/IEC27000:2009以及類似文獻(xiàn)中并沒(méi)有明確的用戶參與的詞匯,只有管理者、用戶以及全員參與等相關(guān)或相似詞匯。更重要的是,信息安全的概念比信息系統(tǒng)安全的概念大得多,后者主要圍繞信息系統(tǒng)展開(kāi),前者則包括與信息有關(guān)的所有方面,如信息系統(tǒng)安全、環(huán)境安全、通信安全和人員安全等各個(gè)方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。無(wú)論是DeLone等[17]研究中涉及的6個(gè)維度的信息系統(tǒng)成功模型,還是He等[18]得到的2組8個(gè)因變量,都是關(guān)注信息系統(tǒng)的成功應(yīng)用,其本質(zhì)是效率或便利性的提高。但是幾乎所有的安全控制都增加了系統(tǒng)的操作復(fù)雜度,從而降低了效率,或者說(shuō),安全性與便利性存在某種程度上的矛盾。信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo),因此,在信息安全管理情境下不能直接引用已有的信息系統(tǒng)成功模型。
已有的信息安全研究中對(duì)于有效性的表述各不相同。Chang等[19]在探討組織文化對(duì)安全管理有效性影響時(shí),將有效性表述為安全管理有效性,并用保密性、完整性、可用性和可核查性作為變量來(lái)表征;D'Arcy等[20]在研究員工安全意識(shí)對(duì)信息系統(tǒng)誤用的影響時(shí),將有效性表述為有效的安全對(duì)策;Brady[21]在研究影響信息安全法律法規(guī)符合性的影響因素時(shí),將有效性表述為安全有效性,并延用了Chang等[19]的研究構(gòu)念。
無(wú)論表述為哪個(gè)概念,絕大部分的研究在討論有效性時(shí)都是依據(jù)安全屬性和安全目的進(jìn)行判斷。ISO/IEC27002:2005對(duì)信息安全的定義是保持信息的保密性、完整性、可用性,也可包括真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。這個(gè)定義本身就包含了信息安全管理的主要目標(biāo),也包括了7個(gè)最常見(jiàn)的安全屬性描述。實(shí)際上學(xué)術(shù)界普遍認(rèn)可的信息安全的3個(gè)核心屬性是保密性、完整性和可用性,也稱為信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而對(duì)真實(shí)性、可核查性、不可否認(rèn)性和可靠性的認(rèn)識(shí)則各有不同。為了研究方便,本研究選取3個(gè)核心屬性表征信息安全管理的有效性。當(dāng)然,有效的信息安全管理還要考慮更多的因素,如應(yīng)該遵循成本效益分析的原則[23-24]等。
2.3信息安全管理體系
信息安全管理體系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全,包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源等內(nèi)容。信息安全管理體系的支撐標(biāo)準(zhǔn)是ISO/IEC27000標(biāo)準(zhǔn)族,共有60個(gè)標(biāo)準(zhǔn),編號(hào)為ISO/IEC27000~ISO/IEC27059,其中最重要的標(biāo)準(zhǔn)ISO/IEC27001:2005和ISO/IEC27002:2005已經(jīng)被等同為國(guó)家標(biāo)準(zhǔn),即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理體系為背景研究用戶參與在信息安全管理中的作用,選擇信息安全管理體系作為研究用戶參與的背景主要原因如下。
(1)一般認(rèn)為信息安全管理體系是信息安全管理的一個(gè)可接受模型或最佳實(shí)踐[19,23-25],而且目前信息安全管理體系應(yīng)用非常廣泛。截至2011年6月,世界范圍內(nèi)已經(jīng)通過(guò)信息安全管理體系注冊(cè)的組織共有7279家,中國(guó)有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理體系包括可能涉及的所有信息安全管理活動(dòng),ISO/IEC27000標(biāo)準(zhǔn)族不但給出建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的基于業(yè)務(wù)風(fēng)險(xiǎn)的方法,而且還給出信息安全管理體系的要求、實(shí)用規(guī)則、審核指南以及相關(guān)安全域的具體指南等,僅ISO/IEC27002:2005信息安全管理實(shí)用規(guī)則就包括11個(gè)控制域、39個(gè)控制目標(biāo)、133項(xiàng)控制措施。
(3)信息安全管理體系相關(guān)標(biāo)準(zhǔn)是鼓勵(lì)用戶參與的,部署過(guò)程按照Plan-Do-Check-Act的戴明環(huán),階段劃分明顯,而且大部分的部署組織會(huì)申請(qǐng)第三方認(rèn)證,并在中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)注冊(cè),因此研究者可以非常清晰地判斷組織是否部署了信息安全相關(guān)措施、是否在信息安全實(shí)踐中有用戶參與行為等。
3研究假設(shè)和模型構(gòu)建
3.1用戶參與對(duì)信息安全管理有效性的直接影響
Ives等[26]對(duì)1959年至1981年的用戶參與與信息管理系統(tǒng)成功之間關(guān)系的實(shí)證研究進(jìn)行梳理發(fā)現(xiàn),22項(xiàng)研究中有8項(xiàng)表明用戶涉入與系統(tǒng)成功正相關(guān);Cavaye[27]對(duì)1982年至1992年的研究分析得出的結(jié)果基本類似,19項(xiàng)研究中有7項(xiàng)表明用戶涉入與系統(tǒng)成功正相關(guān),部分研究是無(wú)定論或負(fù)相關(guān);He等[18]從464項(xiàng)研究中選擇82項(xiàng)實(shí)證性研究進(jìn)行元分析,認(rèn)為用戶參與和信息系統(tǒng)開(kāi)發(fā)的態(tài)度和行為與生產(chǎn)率存在不同程度的正相關(guān)。
雖然信息系統(tǒng)成功和信息安全管理成功指向不同的目標(biāo),但兩者的開(kāi)發(fā)過(guò)程存在極大的相似性。信息安全管理體系的部署過(guò)程實(shí)際上是一整套安全策略體系的開(kāi)發(fā)過(guò)程,可認(rèn)為是系統(tǒng)開(kāi)發(fā)的一種,信息系統(tǒng)開(kāi)發(fā)的過(guò)程包括需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編碼、測(cè)試、上線、維護(hù)升級(jí)等階段,信息安全管理體系的部署過(guò)程包括風(fēng)險(xiǎn)評(píng)估、體系設(shè)計(jì)、文件設(shè)計(jì)與編寫(xiě)、試運(yùn)行、持續(xù)改進(jìn)等過(guò)程。信息系統(tǒng)開(kāi)發(fā)與信息安全管理體系部署的對(duì)應(yīng)關(guān)系見(jiàn)圖1。
基于此,本研究提出假設(shè)。
H1用戶參與對(duì)信息安全管理有效性有顯著的正向作用。
3.2信息安全意識(shí)及其中介作用
信息安全良好實(shí)踐(thestandardofgoodpracticeforinformationsecurity,SoGP)將信息安全意識(shí)定義為組織內(nèi)所有的員工理解信息安全的重要性,清楚組織所適用的安全級(jí)別,知悉并履行個(gè)人的安全職責(zé)。
用戶參與到建立信息安全管理體系的過(guò)程中,并承擔(dān)各種安全責(zé)任,可以加深用戶對(duì)信息安全的理解。Spears等[3]通過(guò)研究認(rèn)為,用戶參與到信息安全風(fēng)險(xiǎn)管理的過(guò)程中可以提高組織對(duì)信息安全風(fēng)險(xiǎn)和控制措施的重視程度,從而提高用戶的信息安全意識(shí)?;诖?,本研究提出假設(shè)。
H2用戶參與對(duì)信息安全意識(shí)有顯著的正向作用。
Kruger等[28]認(rèn)為,安全控制的應(yīng)用效果依賴于積極的安全環(huán)境,其中每個(gè)人都具有較高的信息安全意識(shí),都理解并執(zhí)行組織內(nèi)的程序和規(guī)程;反之,在消極的安全環(huán)境中,安全控制不但得不到有效的應(yīng)用,甚至?xí)灰?guī)避和濫用。按動(dòng)機(jī)分,主要有以下兩種情況。
(1)故意的。如銀行業(yè)務(wù)系統(tǒng)用戶的非法外聯(lián),由于不理解信息安全的重要性,不了解后果的嚴(yán)重性,這類用戶往往并不知悉組織的信息安全懲戒措施或相關(guān)的法律法規(guī),可以歸結(jié)為信息安全意識(shí)薄弱。
(2)無(wú)意的。如服裝設(shè)計(jì)人員不知悉哪些信息需要保密、哪些信息可以公開(kāi),將作廢的設(shè)計(jì)圖紙隨手扔進(jìn)垃圾箱,這可能導(dǎo)致信息泄漏,影響信息的保密性。再如,有些用戶對(duì)主機(jī)的安全操作規(guī)程不了解,隨便重啟服務(wù)器,這可能導(dǎo)致宕機(jī),并由此影響信息的可用性。
這些導(dǎo)致信息安全管理失效的行為或多或少與信息安全意識(shí)相關(guān)聯(lián)。
基于此,本研究提出假設(shè)。
H3信息安全意識(shí)對(duì)信息安全管理有效性有顯著的正向作用。
H4信息安全意識(shí)在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
3.3業(yè)務(wù)流程結(jié)合及其中介作用
系統(tǒng)質(zhì)量理論認(rèn)為,用戶參與可以使開(kāi)發(fā)者真正了解系統(tǒng)需求,從而提高系統(tǒng)質(zhì)量[29-31]。在信息安全管理情境中,沒(méi)有涉及質(zhì)量這一概念,ISO9000:2005對(duì)質(zhì)量的定義是,一組固有特性滿足要求的程度,按照這個(gè)定義,信息安全管理的要求是滿足組織業(yè)務(wù)對(duì)安全的需要。用戶(尤其是業(yè)務(wù)流程負(fù)責(zé)人)參與到信息安全管理的建設(shè)過(guò)程中可以使安全策略開(kāi)發(fā)者了解業(yè)務(wù)過(guò)程,同時(shí)也使他們自己更加理解安全策略目的,從而促進(jìn)安全策略與業(yè)務(wù)流程進(jìn)行結(jié)合,提高安全策略的質(zhì)量。Spears等[3]的研究證實(shí)用戶參與可以使信息安全風(fēng)險(xiǎn)管理更加符合業(yè)務(wù)情境。基于此,本研究提出假設(shè)。
H5用戶參與對(duì)業(yè)務(wù)流程結(jié)合有顯著的正向作用。
對(duì)用戶參與信息系統(tǒng)開(kāi)發(fā)與系統(tǒng)使用之間關(guān)系的研究表明,只有在可選擇應(yīng)用的環(huán)境中進(jìn)行研究才有意義[17]。但Barki等[4]認(rèn)為,即使在強(qiáng)制應(yīng)用環(huán)境中,用戶還是可以根據(jù)自己的判斷(如態(tài)度和意愿)控制使用的程度,而信息系統(tǒng)的使用程度正是信息系統(tǒng)成功的參數(shù)之一。
信息安全管理是強(qiáng)制環(huán)境,但是在實(shí)際應(yīng)用中安全策略的設(shè)計(jì)者出于盡職免責(zé)的心態(tài),很容易陷入過(guò)度安全的狀態(tài),而業(yè)務(wù)流程負(fù)責(zé)人出于對(duì)自身利益的考慮則希望盡量減少安全控制對(duì)正常業(yè)務(wù)的影響,這種矛盾的存在往往會(huì)導(dǎo)致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效實(shí)施。
由安全主管和業(yè)務(wù)流程人員共同參與設(shè)計(jì)安全策略是解決這個(gè)矛盾的途徑之一,這個(gè)過(guò)程往往是一個(gè)博弈的過(guò)程,最后一般會(huì)使組織的安全策略符合基線標(biāo)準(zhǔn)。只有這種充分考慮了業(yè)務(wù)要求的安全策略才能得到高“使用程度”,進(jìn)而提高信息安全管理的有效性。因此,本研究提出假設(shè)。
H6業(yè)務(wù)流程結(jié)合對(duì)信息安全管理有效性有顯著的正向作用。
H7業(yè)務(wù)流程結(jié)合在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
綜上所述,提出本研究模型,如圖2所示。
4研究設(shè)計(jì)
4.1樣本選擇
研究者從2011年6月前通過(guò)信息安全管理體系認(rèn)證的497家中國(guó)公司隨機(jī)抽取30家,給每家公司發(fā)放10份問(wèn)卷,以郵寄的方式將問(wèn)卷發(fā)放給被選公司的信息安全負(fù)責(zé)人,隨后以第三方認(rèn)證機(jī)構(gòu)電話確認(rèn)的方式,請(qǐng)公司信息安全負(fù)責(zé)人組織公司相關(guān)成員填寫(xiě)問(wèn)卷,并以郵寄的方式回收問(wèn)卷。收回256份問(wèn)卷,剔除問(wèn)題填寫(xiě)不完整的22份問(wèn)卷,最終納入數(shù)據(jù)分析的問(wèn)卷共234份,問(wèn)卷的有效率為78%。填寫(xiě)問(wèn)卷人員的描述性統(tǒng)計(jì)如表1所示,其中男性占60.684%,女性占39.316%,與目前信息安全從業(yè)人員性別比例基本相符。
4.2變量和測(cè)量
4.2.1自變量:用戶參與
用戶參與沿用Barki等[6]和Spears等[3]的測(cè)量框架,按項(xiàng)目階段確定關(guān)鍵活動(dòng)。信息安全管理體系采用PDCA框架模型,階段劃分明確,本研究也采用分階段羅列關(guān)鍵活動(dòng)的方法對(duì)用戶參與程度進(jìn)行測(cè)量,每階段選取7項(xiàng)關(guān)鍵活動(dòng),用戶參與其中一項(xiàng)得1分,否則為0,以此類推,每個(gè)階段的用戶參與結(jié)果最小值為0,最大值為7。
用戶參與問(wèn)卷以ISO/IEC27001:2005和謝宗曉等[22,32]描述的信息安全管理體系部署過(guò)程中一系列關(guān)鍵活動(dòng)為基礎(chǔ),選擇36項(xiàng)關(guān)鍵活動(dòng),其中計(jì)劃階段12項(xiàng)、執(zhí)行階段12項(xiàng)、檢查階段8項(xiàng)、改進(jìn)階段4項(xiàng),并把檢查和改進(jìn)階段合并為12項(xiàng)。在信息安全管理體系從業(yè)人員中選取22人,采用多選項(xiàng)-多選擇量表的方法,限定從業(yè)人員分別從36項(xiàng)關(guān)鍵活動(dòng)中選擇7個(gè)認(rèn)為最重要的選項(xiàng),從業(yè)人員分布見(jiàn)表2,選擇結(jié)果統(tǒng)計(jì)見(jiàn)表3。
4.2.2中介變量:信息安全意識(shí)和業(yè)務(wù)流程結(jié)合
無(wú)論在薩班斯奧克斯利法案還是在信息安全管理體系的情境下,信息安全意識(shí)和業(yè)務(wù)流程結(jié)合的含義基本一致,都是為了提高信息安全管理的有效性。信息安全意識(shí)量表和業(yè)務(wù)流程結(jié)合量表修改自Spears等[3]的問(wèn)卷,該問(wèn)卷為L(zhǎng)ikert7點(diǎn)量表,1為非常反對(duì),7為非常支持。
4.2.3因變量:信息安全管理有效性
采用Chang等[19]設(shè)計(jì)、Brady[21]沿用并修改的Likert7點(diǎn)量表測(cè)量信息安全管理有效性,1為非常反對(duì),7為非常支持。
由于信息安全意識(shí)、業(yè)務(wù)流程結(jié)合和信息安全管理有效性的測(cè)量量表引用自英文文獻(xiàn),為了保證問(wèn)卷的有效性,研究者將英文翻譯成中文,請(qǐng)兩名中文專業(yè)碩士研究生對(duì)問(wèn)卷的行文進(jìn)行修改以符合中文習(xí)慣,然后請(qǐng)兩位信息安全領(lǐng)域的專家比對(duì)問(wèn)卷的中英文內(nèi)容并審核確認(rèn),所有變量及問(wèn)卷項(xiàng)見(jiàn)表4。
4.3構(gòu)建有效性
用戶參與、信息安全意識(shí)、業(yè)務(wù)流程結(jié)合和信息安全管理有效性4個(gè)潛變量的信度(Cronbach'sα)、均值、標(biāo)準(zhǔn)差、極值和相關(guān)系數(shù)如表5所示。用戶參與、信息安全意識(shí)、業(yè)務(wù)流程結(jié)合、信息安全管理有效性的Cronbach'sα系數(shù)分別為0.723、0.802、0.640、0.948,信度較高,在可接受范圍內(nèi)。Mithas等[33]認(rèn)為,來(lái)源于實(shí)踐、經(jīng)過(guò)長(zhǎng)期的實(shí)踐檢驗(yàn)且有權(quán)威來(lái)源的量表(如國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn))能夠保證測(cè)量的效度。本研究中問(wèn)卷的測(cè)量符合以上要求,因此能夠保證效度。
4個(gè)潛變量之間的相關(guān)系數(shù)全部達(dá)到顯著相關(guān),數(shù)據(jù)適合多重中介模型檢驗(yàn)。
5實(shí)證結(jié)果和分析
5.1同源方差分析
由于本研究中變量數(shù)據(jù)均來(lái)源于自稱式問(wèn)卷調(diào)查,容易導(dǎo)致變量之間的關(guān)系不能反映潛在構(gòu)念之間的真實(shí)關(guān)系,即共同方法偏差的存在容易導(dǎo)致構(gòu)念效度的降低,甚至影響研究假設(shè)的接受或拒絕,增加犯Ⅰ類錯(cuò)誤或Ⅱ類錯(cuò)誤的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取驗(yàn)證性因子分析方法分兩步對(duì)問(wèn)卷共同方法偏差進(jìn)行分析,檢驗(yàn)結(jié)果如表6所示。
采用Harman單因子檢驗(yàn)方法對(duì)用戶參與、信息安全意識(shí)、業(yè)務(wù)流程結(jié)合和信息安全管理有效性進(jìn)行檢驗(yàn),如果方法變異明顯存在,驗(yàn)證性因子分析的結(jié)果容易析出一個(gè)單獨(dú)因子或者一個(gè)公因子解釋大部分變異[37]。由表6可知,單因子模型的擬合指標(biāo)沒(méi)有達(dá)到可以接受的標(biāo)準(zhǔn),NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman單因子檢驗(yàn)方法的假設(shè)前提存在明顯的缺陷,除非存在非常嚴(yán)重的同源偏差問(wèn)題,否則一個(gè)公因子解釋大部分變量變異的情況一般不會(huì)出現(xiàn)。為進(jìn)一步探查同源偏差的可能性,本研究采用不可測(cè)量潛在方法進(jìn)行因子檢驗(yàn),比較有共同方法偏差的模型與沒(méi)有共同方法偏差的模型,如果后者的擬合指數(shù)優(yōu)于前者的擬合指數(shù),表明變量數(shù)據(jù)不存在共同方法偏差。由表6可知,四因子模型的擬合指數(shù)比較好,RMSEA<0.080,CFI>0.900,NNFI>0.900,對(duì)四因子模型與其他3個(gè)競(jìng)爭(zhēng)模型的χ2和AIC指標(biāo)(值越小越好)[38]進(jìn)行比較,無(wú)共同方法偏差的四因子模型明顯優(yōu)于其他3個(gè)有共同方法偏差的模型,說(shuō)明各變量間不存在明顯的同源方差,用戶參與、信息安全意識(shí)、業(yè)務(wù)流程結(jié)合和信息安全管理有效性具有良好的區(qū)分效度。
5.2結(jié)果分析
多重中介模型的驗(yàn)證方法有多種,MacKinnon等[39]提到14種驗(yàn)證路徑的方法,在所有驗(yàn)證方法中,Preacher等[40]和Sobel[41]都推薦Bootstrapping方法,認(rèn)為該方法模型參數(shù)估計(jì)更為穩(wěn)健,結(jié)論也更可靠,更能避免Ⅰ類錯(cuò)誤,尤其是進(jìn)行多重中介研究時(shí)。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0驗(yàn)證多重中介模型。按照提出的研究假設(shè),將用戶參與設(shè)定為自變量,將信息安全意識(shí)和業(yè)務(wù)流程結(jié)合設(shè)定為中介變量,將信息安全管理有效性設(shè)定為因變量,樣本數(shù)量設(shè)置為5000,置信區(qū)間設(shè)置為95%,對(duì)如下方程回歸系數(shù)的顯著性進(jìn)行檢驗(yàn),結(jié)果見(jiàn)表7和表8。
其中,c、a1、a2、c'、b1和b2為回歸系數(shù),ε1~ε4為殘差。
由表7可知,c=0.674(p<0.001),達(dá)到顯著水平,表明用戶參與程度的不同顯著影響信息安全管理有效性的高低,支持H1,同時(shí)也為中介效應(yīng)的檢驗(yàn)提供了基礎(chǔ)。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用戶參與對(duì)信息安全意識(shí)和業(yè)務(wù)流程結(jié)合有顯著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意識(shí)和業(yè)務(wù)流程結(jié)合對(duì)信息安全管理有效性有顯著正向作用,支持H3和H6。
整體模型指標(biāo)中,F(xiàn)=26.508,p=0.000,說(shuō)明自變量用戶參與通過(guò)中介變量信息安全意識(shí)和業(yè)務(wù)流程結(jié)合對(duì)因變量信息安全管理有效性的影響達(dá)到顯著水平。此外,模型的解釋率R2為0.247,表明還有其他變量能夠納入模型,這也是下一步研究的方向。
由表8可知,用戶參與對(duì)信息安全管理有效性總的間接效應(yīng)為0.155(a1b1)+0.077(a2b2)=0.232,對(duì)應(yīng)的Z檢驗(yàn)結(jié)果為3.581(p=0.000),偏差矯正與增進(jìn)95%bootstrap置信區(qū)間為{0.120,0.352},置信區(qū)間不包括零。因此,拒絕總的間接效應(yīng)為零的虛無(wú)假設(shè),表明總的間接效應(yīng)顯著。
在多重中介方法中,不但要關(guān)注總的間接效應(yīng),也要關(guān)注單獨(dú)的中介效應(yīng),由表8可知,中介效應(yīng)值如下。通過(guò)信息安全意識(shí):a1b1=0.155(Z=2.569,p<0.050),偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.048,0.270},置信區(qū)間不包括零;通過(guò)業(yè)務(wù)流程結(jié)合:a2b2=0.077(Z=1.967,p<0.050),偏差矯正與增進(jìn)95%Bootstrap置信區(qū)間為{0.018,0.162},置信區(qū)間不包括零。由此可見(jiàn),信息安全意識(shí)和業(yè)務(wù)流程結(jié)合的中介效應(yīng)顯著,支持H4和H7。此外,兩個(gè)中介效應(yīng)的置信區(qū)間有重合的部分,且兩者比較檢驗(yàn)結(jié)果不顯著(Z=0.992,p>0.050),可以認(rèn)為兩個(gè)中介變量起到的中介作用沒(méi)有顯著差異,同等重要。
本研究概念模型的驗(yàn)證如圖3所示。
6討論
(1)本研究驗(yàn)證了用戶參與在信息安全管理中的正向作用,這對(duì)安全機(jī)制不能完全脫離人而運(yùn)轉(zhuǎn)的情況具有非常積極的意義。
(2)本研究解釋了用戶參與如何正向影響信息安全管理有效性。Spears等[3]驗(yàn)證了在薩班斯奧克斯利法案情境下用戶參與對(duì)控制措施績(jī)效的正向作用,但是并未揭示用戶參與如何影響控制措施績(jī)效。本研究通過(guò)構(gòu)造多重中介模型,揭示了用戶參與可以有效地提高員工的信息安全意識(shí),促進(jìn)業(yè)務(wù)流程結(jié)合,使組織的信息安全管理體系更加符合組織的實(shí)際安全需求,最終促進(jìn)信息安全管理有效性。
(3)本研究采用多重中介的驗(yàn)證模型,應(yīng)用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用戶參與影響信息安全管理有效性的路徑。
本研究結(jié)論對(duì)管理實(shí)踐具有一定的指導(dǎo)意義,主要體現(xiàn)在標(biāo)準(zhǔn)制定和安全實(shí)踐兩個(gè)方面。
(1)本研究證實(shí)了用戶參與的重要性和積極作用,為信息安全相關(guān)標(biāo)準(zhǔn)的制定、完善和提高提供了新的視角和依據(jù)。
(2)大部分組織的安全負(fù)責(zé)人都會(huì)盡量減少人在安全機(jī)制中的比重,以減少執(zhí)行的不確定性,這導(dǎo)致2010年至2011年68%的組織在安全技術(shù)方面的投入超過(guò)整體安全預(yù)算的10%,僅17%的組織在終端用戶安全意識(shí)教育方面的投入超過(guò)整體安全預(yù)算的10%,有35%的組織還不足1%;同時(shí),有41.100%的受訪組織經(jīng)歷了信息安全事件,攻擊源來(lái)自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件的占24.800%[42]。顯然,組織的安全負(fù)責(zé)人應(yīng)該將安全預(yù)算的分配更多地傾斜到終端用戶身上。對(duì)信息安全管理體系的咨詢和認(rèn)證人員而言,在咨詢和認(rèn)證的過(guò)程中,不應(yīng)僅關(guān)注安全技術(shù)的部署和安全制度的設(shè)計(jì),也應(yīng)關(guān)注如何鼓勵(lì)用戶參與到所有可能的活動(dòng)中,并承擔(dān)更多的責(zé)任。
7結(jié)論
關(guān)鍵詞:企業(yè)檔案信息安全風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)控制
企業(yè)檔案是企業(yè)知識(shí)資產(chǎn)和信息資源的重要組成部分,[1]是企業(yè)各方面活動(dòng)的真實(shí)記錄,對(duì)企業(yè)市場(chǎng)活力提升、制度改革和文化建設(shè)等有至關(guān)重要作用。企業(yè)檔案信息安全管理是企業(yè)安全管理的重要組成部分,提前識(shí)別企業(yè)檔案信息管理存在的安全風(fēng)險(xiǎn),有利于采取有效控制手段規(guī)避風(fēng)險(xiǎn),促進(jìn)企業(yè)檔案安全管理建設(shè),防患于未然。本文以H企業(yè)為例,在調(diào)研基礎(chǔ)上探討企業(yè)檔案信息存在的安全風(fēng)險(xiǎn)及控制手段。
一、H企業(yè)概況
H企業(yè)成立于2013年,主要經(jīng)營(yíng)金融板塊、產(chǎn)業(yè)發(fā)展板塊、城市功能性設(shè)施板塊和出資人板塊等四大業(yè)務(wù)板塊,是戰(zhàn)略性投資的融資平臺(tái)和產(chǎn)業(yè)項(xiàng)目、城市功能性項(xiàng)目的先行戰(zhàn)略投資者。[2]隨著公司的發(fā)展壯大,檔案數(shù)量呈現(xiàn)指數(shù)級(jí)增長(zhǎng)趨勢(shì)。H企業(yè)檔案工作實(shí)行二級(jí)管理制,第一級(jí)管理是指由公司綜合部負(fù)責(zé)統(tǒng)籌管理全公司的文書(shū)檔案工作,第二級(jí)管理是指各部門負(fù)責(zé)本部門的檔案資料使用管理工作。綜合部的檔案按文書(shū)、科技、財(cái)務(wù)、人事、聲像、實(shí)體6種檔案類別進(jìn)行分類整理,公司用OA系統(tǒng)對(duì)電子文件進(jìn)行日常管理,將部分重要的紙質(zhì)檔案進(jìn)行數(shù)字化掃描,加以保存。
二、企業(yè)檔案信息安全風(fēng)險(xiǎn)要素識(shí)別
企業(yè)檔案信息安全風(fēng)險(xiǎn)要素識(shí)別是對(duì)企業(yè)檔案信息安全管理工作中存在的薄弱環(huán)節(jié)進(jìn)行確認(rèn)。[3]在對(duì)H企業(yè)調(diào)研的基礎(chǔ)上,將其所面臨的企業(yè)檔案信息安全風(fēng)險(xiǎn)要素劃分為組織風(fēng)險(xiǎn)要素、人員風(fēng)險(xiǎn)要素與技術(shù)風(fēng)險(xiǎn)要素。
(一)組織風(fēng)險(xiǎn)要素
一是,企業(yè)重視程度低。企業(yè)檔案信息效益的產(chǎn)生具有隱蔽性和延遲性,隱蔽性即檔案部門投入清晰性和收益模糊性之間的矛盾,延遲性即檔案工作的效益要在很長(zhǎng)一段時(shí)間后才可能顯現(xiàn)。[4]企業(yè)檔案信息無(wú)法快速創(chuàng)造經(jīng)濟(jì)效益的特點(diǎn)使企業(yè)對(duì)其重視程度較低,檔案信息安全管理投入的資金、人力較少。以H企業(yè)為例,文書(shū)檔案工作人員僅一人且為兼管人員,檔案管理投入資金少,專門存放檔案的檔案柜和檔案安全管理設(shè)備至今尚未配備,檔案信息安全管理專業(yè)技術(shù)人員、設(shè)施設(shè)備的缺乏給企業(yè)檔案信息安全帶來(lái)了巨大風(fēng)險(xiǎn)。
二是,檔案安全管理制度缺失。企業(yè)迫切需要的檔案安全開(kāi)發(fā)、利用及電子文件長(zhǎng)期保存等相關(guān)標(biāo)準(zhǔn)尚未制定,且存在與企業(yè)檔案工作實(shí)際相脫節(jié)的情況。[5]以H企業(yè)為例,企業(yè)成立至今已4年,但尚未建立健全的檔案安全管理制度體系。面對(duì)企業(yè)檔案數(shù)量劇增與檔案安全管理制度缺失之間的尖銳矛盾,企業(yè)檔案工作者在處理文檔工作時(shí)無(wú)章可循,業(yè)務(wù)工作缺乏規(guī)范性,企業(yè)檔案信息安全管理工作缺乏制度的監(jiān)督約束,檔案信息安全缺口隨之?dāng)U大。
(二)人員風(fēng)險(xiǎn)要素
企業(yè)檔案管理崗位人員流動(dòng)性大是造成檔案泄密的主要原因。檔案工作者的信息安全意識(shí)和素質(zhì)水平會(huì)直接影響檔案信息的安全。[6]以H企業(yè)為例,專職人員自2013年來(lái)更換了4人,企業(yè)檔案管理崗位人員可直接接觸記錄企業(yè)生產(chǎn)經(jīng)營(yíng)、戰(zhàn)略發(fā)展及科研技術(shù)等重要檔案信息,隨著企業(yè)人員離職跳槽向其他公司、行業(yè)流動(dòng),這部分涉及原企業(yè)商業(yè)機(jī)密的檔案信息極可能隨之外泄。
企業(yè)員工檔案安全管理意識(shí)弱也會(huì)帶來(lái)安全風(fēng)險(xiǎn)。譬如,各部門檔案收集移交不及時(shí),會(huì)對(duì)企業(yè)檔案信息的完整性帶來(lái)風(fēng)險(xiǎn);各部門在檔案整理、利用中造成檔案載體損毀對(duì)企業(yè)檔案信息的可用性帶來(lái)風(fēng)險(xiǎn);企業(yè)人員出于自身利益篡改檔案信息內(nèi)容,給企業(yè)檔案信息的真實(shí)性帶來(lái)風(fēng)險(xiǎn)等。
(三)技術(shù)風(fēng)險(xiǎn)要素
一是,信息系統(tǒng)及硬件故障。信息系統(tǒng)不穩(wěn)定會(huì)導(dǎo)致檔案信息數(shù)據(jù)丟失與損壞,硬件設(shè)施故障也會(huì)給檔案信息安全帶來(lái)風(fēng)險(xiǎn)。以H企業(yè)為例,公司日常行文均通過(guò)OA系統(tǒng)實(shí)現(xiàn),OA系統(tǒng)中流轉(zhuǎn)大量企業(yè)管理信息,H企業(yè)的OA系統(tǒng)分別于2015年8月及2016年3月出現(xiàn)異常引起系統(tǒng)崩潰,導(dǎo)致部分企業(yè)信息數(shù)據(jù)丟失且無(wú)法恢復(fù)。
二是,電子文件安全保障技術(shù)不成熟。如何保證企業(yè)檔案系統(tǒng)中電子檔案的安全,是現(xiàn)階段企業(yè)檔案安全管理的重難點(diǎn)。企業(yè)電子文件信息安全保障技術(shù)不成熟,會(huì)危及電子文件安全和正常運(yùn)用。一旦系統(tǒng)遭遇病毒、黑客侵?jǐn)_或信息載體物理?yè)p傷、外圍設(shè)備技術(shù)障礙等,都會(huì)給電子文件帶來(lái)無(wú)可挽回的損失。
三、企業(yè)檔案信息安全風(fēng)險(xiǎn)控制對(duì)策
(一)從制度層面進(jìn)行控制
1.企業(yè)檔案信息安全管理制度的建立健全。健全的企業(yè)檔案信息安全管理制度應(yīng)包括以下幾個(gè)方面:一是,企業(yè)檔案日常安全管理制度,如檔案保密制度、檔案安全檢查制度和檔案安全追責(zé)制度等,明確企業(yè)各部門、人員的職責(zé),建立檔案信息安全管理的長(zhǎng)效機(jī)制;二是,企業(yè)電子文件安全管理制度,確保電子檔案信息存儲(chǔ)、讀取、利用過(guò)程的安全可靠;三是,應(yīng)急響應(yīng)制度,建立檔案信息安全應(yīng)急預(yù)案,提高企業(yè)檔案管理部門應(yīng)對(duì)自然災(zāi)害及突發(fā)事件的能力;四是,應(yīng)急處理制度,對(duì)企業(yè)檔案信息安全風(fēng)險(xiǎn)發(fā)生后,能在第一時(shí)間采取相應(yīng)措施進(jìn)行處理,將風(fēng)險(xiǎn)損失降至最低。
2.企業(yè)檔案信息安全管理制度的適用。以企業(yè)檔案信息安全管理制度的適用來(lái)實(shí)現(xiàn)對(duì)檔案信息安全風(fēng)險(xiǎn)控制,主要從以下兩個(gè)方面著手:一方面,不同企業(yè)形成的檔案信息各有特點(diǎn),安全保障要求各有不同,企業(yè)應(yīng)根據(jù)本單位檔案信息安全保障的實(shí)際需求,制定符合本企業(yè)特點(diǎn)與需求的檔案信息安全管理制度。另一方面,企業(yè)檔案信息安全風(fēng)險(xiǎn)要素具有動(dòng)態(tài)性,企業(yè)檔案信息安全管理制度應(yīng)隨著新技術(shù)、新風(fēng)險(xiǎn)的出現(xiàn)不斷完善和更新,保證檔案信息安全管理制度在多變的信息安全風(fēng)險(xiǎn)環(huán)境中的適用性。
3.企業(yè)檔案信息安全管理制度的執(zhí)行。檔案工作者是規(guī)章制度的執(zhí)行者,執(zhí)行力度的大小關(guān)系到檔案安全管理工作水平。[7]首先,企業(yè)應(yīng)嚴(yán)格要求檔案工作者照章管理檔案,自上而下確保檔案信息安全管理制度的執(zhí)行,將制度的執(zhí)行納入企業(yè)管理運(yùn)行程序,將公司檔案管理納入制度化軌道。其次,企業(yè)管理層要監(jiān)督企業(yè)檔案信息安全管理制度的執(zhí)行情況,將制度的執(zhí)行與員工績(jī)效考核掛鉤,定期對(duì)制度的執(zhí)行情況進(jìn)行評(píng)估并根據(jù)評(píng)估結(jié)果進(jìn)行相應(yīng)的獎(jiǎng)懲。
(二)從管理層面進(jìn)行控制
1.分級(jí)管理。分級(jí)管理即對(duì)企業(yè)檔案信息和風(fēng)險(xiǎn)控制消減等工作進(jìn)行安全等級(jí)評(píng)定,以最少的成本投入獲得最大的檔案信息安全保障效果。企業(yè)可根據(jù)檔案信息對(duì)企業(yè)生產(chǎn)發(fā)展作用價(jià)值大小、涉密與否來(lái)劃分重點(diǎn)檔案和普通檔案。企業(yè)檔案中涉及企業(yè)商業(yè)機(jī)密,記錄企業(yè)核心競(jìng)爭(zhēng)力信息的這部分檔案是企業(yè)發(fā)展的重要戰(zhàn)略資源,如企業(yè)的項(xiàng)目檔案、科技檔案、客戶資料以及反映企業(yè)發(fā)展歷程的重大事件相關(guān)檔案等,可劃分為重點(diǎn)檔案,其余日常業(yè)務(wù)工作中形成的文書(shū)檔案等可劃分為普通檔案。在對(duì)所有檔案進(jìn)行安全管理的同時(shí),對(duì)重點(diǎn)檔案信息的安全進(jìn)行重點(diǎn)監(jiān)控,不同重要等級(jí)的檔案進(jìn)行分級(jí)管理。
2.人員管理。通過(guò)人員管理來(lái)控制企業(yè)檔案信息安全風(fēng)險(xiǎn)的方式有:第一,倡導(dǎo)員工終身學(xué)習(xí),針對(duì)企業(yè)檔案信息安全內(nèi)涵的拓展、風(fēng)險(xiǎn)要素的類型、應(yīng)對(duì)風(fēng)險(xiǎn)的技術(shù)等內(nèi)容定期開(kāi)展檔案信息安全管理培訓(xùn),豐富企業(yè)員工檔案信息安全保護(hù)理論知識(shí),提高檔案信息安全保護(hù)技能水平。第二,注重對(duì)企業(yè)員工職業(yè)道德的培養(yǎng),使守護(hù)企業(yè)檔案信息安全,嚴(yán)守企業(yè)檔案機(jī)密信息的崗位職責(zé)內(nèi)化為員工的職業(yè)道德。第三,注重企業(yè)文化的建設(shè),培養(yǎng)員工對(duì)企業(yè)的認(rèn)同感和歸屬感,減少因員工離職或跳槽而造成企業(yè)機(jī)密檔案信息泄露。
3.動(dòng)態(tài)管理。企業(yè)檔案信息安全是企業(yè)生產(chǎn)經(jīng)營(yíng)安全的重要組成部分,伴隨企業(yè)生存發(fā)展的始終。[8]檔案安全管理面臨的各類風(fēng)險(xiǎn)要素中,每種要素都處于不斷變化之中,某一要素的變化會(huì)引起其他要素的聯(lián)動(dòng)變化。[9]因此企業(yè)應(yīng)對(duì)檔案信息安全實(shí)施動(dòng)態(tài)管理,即隨著新的風(fēng)險(xiǎn)點(diǎn)的產(chǎn)生,相應(yīng)的保護(hù)方案、制度也應(yīng)隨之保持動(dòng)態(tài)發(fā)展。此外,動(dòng)態(tài)管理還體現(xiàn)在與外界的動(dòng)態(tài)關(guān)聯(lián)上,企業(yè)要與外部社會(huì)環(huán)境保持良好溝通聯(lián)系,及時(shí)掌握檔案信息風(fēng)險(xiǎn)變化的新動(dòng)態(tài)。
(三)從技術(shù)層面進(jìn)行控制
1.檔案信息安全技術(shù)的應(yīng)用。信息安全技術(shù)指用于保障信息、信息系統(tǒng)和網(wǎng)絡(luò)安全的技術(shù)。[10]檔案信息安全技術(shù)是電子檔案信息安全的有力保障,企業(yè)可針對(duì)不同安全屬性的檔案信息采用不同的信息安全技術(shù)。在數(shù)據(jù)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和檔案管理系統(tǒng)用戶安全技術(shù)等方面強(qiáng)化保護(hù)措施,運(yùn)用信息技術(shù)提高企業(yè)檔案工作效率的同時(shí),也保證企業(yè)檔案信息的安全。
2.檔案信息安全技術(shù)的更新。檔案信息安全建設(shè)是基礎(chǔ)性的長(zhǎng)期工作,構(gòu)建全面、能力可持續(xù)增長(zhǎng)的安全防御體系才能保證檔案信息系統(tǒng)的長(zhǎng)期安全穩(wěn)定運(yùn)行。[11]檔案信息安全技術(shù)是不斷發(fā)展的,企業(yè)應(yīng)及時(shí)了解和掌握最新的計(jì)算機(jī)病毒、黑客技術(shù)等檔案信息存在的潛在風(fēng)險(xiǎn),關(guān)注信息技術(shù)的更新動(dòng)態(tài),確保企業(yè)應(yīng)用的檔案信息安全技術(shù)與時(shí)俱進(jìn),為企業(yè)檔案信息安全保駕護(hù)航。
四、結(jié)論
企業(yè)檔案信息安全是企業(yè)生產(chǎn)經(jīng)營(yíng)安全的重要組成部分,伴隨企業(yè)生存發(fā)展的始終。人員風(fēng)險(xiǎn)要素、組織風(fēng)險(xiǎn)要素與技術(shù)風(fēng)險(xiǎn)要素三者綜合構(gòu)成威脅企業(yè)檔案信息安全的風(fēng)險(xiǎn)要素,為保障企業(yè)檔案信息安全必須從管理、制度、技術(shù)三個(gè)層面三管齊下對(duì)這些風(fēng)險(xiǎn)要素進(jìn)行有效控制,深入貫徹“預(yù)防為主,防治結(jié)合”的方針,保障企業(yè)檔案信息安全無(wú)虞,讓企業(yè)檔案信息更好地服務(wù)于企業(yè)的發(fā)展。
參考文獻(xiàn):
[1]DA/T 42—2009.企業(yè)檔案工作規(guī)范[S].
[2]中國(guó)—馬來(lái)西亞欽州產(chǎn)業(yè)園區(qū)工管委辦公室.中國(guó)—馬來(lái)西亞欽州產(chǎn)業(yè)園區(qū)簡(jiǎn)介[EB/OL].[2017-11-01].http://qip.gov.cn/News/Detail/d3ad5db6- 9c0e- 435aa290-9f91a75beecc.
[3]張霞.檔案安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)的建立及其實(shí)現(xiàn)[J].青海師范大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2014(2):165-167.
[4]馮惠玲,張輯哲.檔案學(xué)概論[M].北京:中國(guó)人民大學(xué)出版社,2006:107-108.
[5]康旭冉.企業(yè)檔案安全保障體系建設(shè)研究[D].河北大學(xué),2014:6.
[6]宗文萍.基于價(jià)值鏈理論的檔案信息安全管理[J].檔案學(xué)研究,2015(1):34-36.
[7][9]張錦云,秦壘.基于動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估視角的檔案安全管理研究[J].浙江檔案,2017(2):11-13.
[8]吳緒成.企業(yè)檔案信息安全策略簡(jiǎn)論[J].中國(guó)檔案, 2012(4):62.
[10]聶云霞,張加欣,甘敏.信息生態(tài)視域下數(shù)字檔案用戶信息安全保障系統(tǒng)構(gòu)建研究[J].檔案學(xué)研究,2017(1): 66-72.
關(guān)鍵詞:信息安全管理;測(cè)評(píng);要素;指標(biāo)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)27-6080-03
人類進(jìn)入信息化社會(huì),社會(huì)發(fā)展對(duì)信息化的依賴程度越來(lái)越大,一方面信息化成果已成為社會(huì)的重要資源,在政治、經(jīng)濟(jì)、國(guó)防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用,另一方面由于信息技術(shù)的迅猛發(fā)展而帶來(lái)的信息安全事件、事故層出不窮,信息安全問(wèn)題與矛盾日益突出。信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程,其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運(yùn)行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實(shí)現(xiàn)信息安全目標(biāo),就必須建立一套行之有效信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略(包括計(jì)劃、程序、流程與記錄等)、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)的選擇、控制措施的實(shí)施以及信息安全管理測(cè)評(píng)等。管理大師德魯克曾經(jīng)說(shuō)過(guò)“無(wú)法度量就無(wú)法管理”[1],強(qiáng)調(diào)了測(cè)量對(duì)組織管理的重要意義,信息安全管理同樣也離不開(kāi)測(cè)評(píng)。如何對(duì)信息安全管理有效性等進(jìn)行測(cè)量,根據(jù)測(cè)量的結(jié)果對(duì)組織信息安全管理情況進(jìn)行評(píng)價(jià)并進(jìn)一步指導(dǎo)信息安全管理,提高信息安全管理能力和水平,目前已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)[2]。
信息安全管理測(cè)評(píng)是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來(lái)綜合能力的反映,不僅是對(duì)過(guò)去和現(xiàn)在的能力展現(xiàn),而且為未來(lái)發(fā)展提供保障和動(dòng)力。在我國(guó),目前關(guān)于信息安全管理測(cè)評(píng)研究剛處于起步階段,還沒(méi)有一套可供使用的信息安全測(cè)評(píng)體系標(biāo)準(zhǔn)、方法等。因此,開(kāi)展信息安全管理測(cè)評(píng)研究,對(duì)組織信息化建設(shè)既具有重要的現(xiàn)實(shí)意義也具有長(zhǎng)遠(yuǎn)的持續(xù)發(fā)展意義。
1 信息安全管理測(cè)評(píng)發(fā)展綜述與需求
關(guān)于信息安全測(cè)評(píng),美國(guó)早在2002年通過(guò)的《聯(lián)邦信息安全管理法案》中就要求各機(jī)構(gòu)每年必須對(duì)其信息安全實(shí)踐進(jìn)行獨(dú)立測(cè)評(píng),以確認(rèn)其有效性。這種測(cè)評(píng)主要包括對(duì)管理、運(yùn)行和技術(shù)三要素的控制和測(cè)試,其頻率視風(fēng)險(xiǎn)情況而定,但不能少于每年一次。在獨(dú)立評(píng)價(jià)的基礎(chǔ)上,聯(lián)邦管理與預(yù)算局應(yīng)向國(guó)會(huì)上報(bào)評(píng)價(jià)匯總結(jié)果;而聯(lián)邦審計(jì)署則需要周期性地評(píng)價(jià)并向國(guó)會(huì)匯報(bào)各機(jī)構(gòu)信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執(zhí)行情況。
2003年7月,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(National Institute of Standards and Technology,NIST)了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測(cè)量指南》,其包括以下內(nèi)容[3]:
1) 角色和職責(zé):介紹發(fā)展和執(zhí)行信息安全測(cè)量的主要任務(wù)和職責(zé)。
2) 信息安全測(cè)量背景:介紹測(cè)量定義、進(jìn)行信息安全測(cè)量的好處、測(cè)量類型、幾種可以進(jìn)行信息安全測(cè)量的控制、成功測(cè)量的重要因素、測(cè)量對(duì)管理、報(bào)告和決策的作用。
3) 測(cè)量發(fā)展和執(zhí)行過(guò)程:介紹用于信息安全測(cè)量發(fā)展的方法。
4) 測(cè)量項(xiàng)目執(zhí)行:討論可以影響安全測(cè)量項(xiàng)目的技術(shù)執(zhí)行的各種因素。
5) 以附件的形式給出的16種測(cè)量的模板。
2004年11月17日,美國(guó)的企業(yè)信息安全工作組(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《帶有支撐管理測(cè)量的信息安全計(jì)劃要素》[4],2005年國(guó)際標(biāo)準(zhǔn)化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems,ISMS)的系列標(biāo)準(zhǔn)——ISO27000系列。2005年1月10日又了修訂版,并作為針對(duì)ISO/IEC 2nd WD27004 的貢獻(xiàn)文檔提交給ISO/IEC JTC1 SC27,該文檔是根據(jù)CISWG的最佳實(shí)踐和測(cè)量小組的報(bào)告改編。
2005年8月31日,美國(guó)國(guó)際系統(tǒng)安全工程協(xié)會(huì)(International System Security Engineering Association,ISSEA)針對(duì)ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測(cè)量的貢獻(xiàn)背景)和“ISSEA Metrics”[6](ISSEA測(cè)量)兩個(gè)貢獻(xiàn)文檔。
2009年國(guó)際標(biāo)準(zhǔn)化組織(ISO)了ISO/IEC 27004:2009(信息技術(shù)一安全技術(shù)一信息安全管理測(cè)量)標(biāo)準(zhǔn),為如何建立及測(cè)量ISMS及其控制措施提供了指導(dǎo)性建議[7]。
信息安全管理體系是信息安全保障體系的重要組成部分。近年來(lái),隨著組織對(duì)信息安全保障工作重視程度的日益增強(qiáng),不少組織都依據(jù)標(biāo)準(zhǔn)GB/T 22081-2008建立了一套比較完善的ISMS來(lái)保護(hù)組織的重要信息資產(chǎn),但是體系建立起來(lái)了,不少管理者都對(duì)ISMS的運(yùn)行效果極其控制措施的有效性,持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測(cè)評(píng)方法來(lái)全面的對(duì)ISMS的運(yùn)行情況進(jìn)行科學(xué)的評(píng)價(jià),進(jìn)一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測(cè)評(píng)將為確定ISMS的實(shí)現(xiàn)目標(biāo),衡量ISMS執(zhí)行的效力和效率提供一些思想、方法,其結(jié)果具有客觀的可比性,還可以作為信息安全風(fēng)險(xiǎn)管理、安全投入優(yōu)化和安全實(shí)現(xiàn)變更的客觀依據(jù),有助于降低安全風(fēng)險(xiǎn),減少安全事件的概率和影響,改進(jìn)安全控制和管理過(guò)程的效率或降低其成本。
2 信息安全管理測(cè)評(píng)研究?jī)?nèi)容
信息安全管理測(cè)評(píng)是信息安全管理體系的重要部分,是信息安全管理測(cè)量與評(píng)價(jià)的綜合。信息安全管理測(cè)量的結(jié)果是信息安全績(jī)效評(píng)價(jià)的依據(jù)。信息安全管理測(cè)量比較具體,信息安全管理評(píng)價(jià)則通過(guò)具體來(lái)反映宏觀。
2.1 信息安全管理測(cè)評(píng)要素及其框架
信息安全管理測(cè)評(píng)要素包括:測(cè)評(píng)實(shí)體及其屬性、基礎(chǔ)測(cè)評(píng)方式、基礎(chǔ)測(cè)評(píng)變量、導(dǎo)出測(cè)評(píng)制式、導(dǎo)出測(cè)評(píng)變量、測(cè)評(píng)方法、測(cè)評(píng)基線、測(cè)評(píng)函數(shù)、分析模型、指示器、決策準(zhǔn)則、測(cè)評(píng)需求和可測(cè)評(píng)概念等,其框架如圖3.1信息安全測(cè)評(píng)框架所示,包括:基于什么樣的需求來(lái)測(cè)評(píng)(即測(cè)評(píng)需求),對(duì)什么進(jìn)行測(cè)評(píng)(即實(shí)體及其屬性),用什么指標(biāo)體系來(lái)測(cè)評(píng)(包括測(cè)評(píng)制式、測(cè)評(píng)變量和測(cè)評(píng)尺度),用什么方法來(lái)測(cè)評(píng)(即測(cè)評(píng)方法),用什么函數(shù)來(lái)計(jì)算測(cè)評(píng)結(jié)果(即測(cè)評(píng)函數(shù)),用什么模型來(lái)分析測(cè)評(píng)結(jié)果(即分析模型),用什么方式來(lái)使分析結(jié)果能夠輔助決策(即指示器)等問(wèn)題。
信息需求是測(cè)評(píng)需求方提出的對(duì)測(cè)評(píng)結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標(biāo),與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導(dǎo)向的。
決策準(zhǔn)則是一種決定下一步行為的閾值。他有助于解釋測(cè)評(píng)的結(jié)果。決策準(zhǔn)則可能出自或基于對(duì)預(yù)期行為在概念上的理解和判斷。決策準(zhǔn)則可以從歷史數(shù)據(jù)、計(jì)劃和探索中導(dǎo)出,或作為統(tǒng)計(jì)控制限度或統(tǒng)計(jì)信心限度計(jì)算出來(lái)。
可測(cè)評(píng)概念是實(shí)體屬性與信息需求之間的抽象關(guān)系,體現(xiàn)將可測(cè)評(píng)屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想??蓽y(cè)評(píng)概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險(xiǎn)、績(jī)效、能力、成熟度和客戶價(jià)值等。實(shí)體是能通過(guò)測(cè)評(píng)屬性描述的對(duì)象。一個(gè)實(shí)體是測(cè)評(píng)其屬性的一個(gè)對(duì)象,例如,過(guò)程、產(chǎn)品、系統(tǒng)、項(xiàng)目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿足信息需求的屬性。實(shí)踐中,一個(gè)實(shí)體可被歸類于多個(gè)上述類別。他可以是有形的也可是無(wú)形的。信息安全管理測(cè)評(píng)的實(shí)體包括信息安全管理體系建立過(guò)程中所有的控制項(xiàng)(信息安全管理測(cè)評(píng)要素)。屬性是實(shí)體可測(cè)評(píng)的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區(qū)分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性,其中只有一些可能對(duì)測(cè)評(píng)有價(jià)值。測(cè)評(píng)模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結(jié)合到支持不同信息需求的多個(gè)測(cè)評(píng)構(gòu)造中。信息安全管理測(cè)評(píng)主要測(cè)評(píng)的是每一項(xiàng)控制措施的屬性(信息安全管理測(cè)評(píng)指標(biāo))。
測(cè)評(píng)是以確定量值為目的的一組操作。信息安全管理測(cè)評(píng)是確定控制項(xiàng)的每一個(gè)具體指標(biāo)的一組操作,可以有多種測(cè)評(píng)方法?;A(chǔ)測(cè)評(píng)是依照屬性和定量方法而定義的測(cè)評(píng)方法,是用來(lái)直接測(cè)評(píng)某一屬性的,是根據(jù)屬性和量化他的方法來(lái)定義,他捕獲單獨(dú)屬性的信息,其功能獨(dú)立于其他測(cè)評(píng)。信息安全管理基礎(chǔ)測(cè)評(píng)是對(duì)于控制項(xiàng)的指標(biāo)可以直接測(cè)評(píng)出來(lái)的量。導(dǎo)出測(cè)評(píng)是通過(guò)測(cè)評(píng)其他屬性來(lái)間接地測(cè)評(píng)某一屬性的測(cè)評(píng),是根據(jù)屬性之間的關(guān)系來(lái)定義,他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息,其功能依賴于基礎(chǔ)測(cè)評(píng)的,是兩個(gè)或更多基礎(chǔ)測(cè)評(píng)值得函數(shù)。
測(cè)評(píng)尺度是一組連續(xù)或離散的數(shù)字量值(如小數(shù)/百分比/自然數(shù)等)或離散的可數(shù)量值(如高/中/低/等)。測(cè)評(píng)尺度是規(guī)范測(cè)評(píng)變量取值的類型和范圍。測(cè)評(píng)方法將所測(cè)評(píng)屬性的量級(jí)影射到一個(gè)測(cè)評(píng)尺度上的量值后賦給測(cè)評(píng)變量。
測(cè)評(píng)尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型:
名義(Nominal) :測(cè)評(píng)值是直呼其名。
序數(shù)(Ordinal) :測(cè)評(píng)值是有等級(jí)的。
間隔(Interval) :測(cè)評(píng)值是等距離的,對(duì)應(yīng)于屬性的等量,不可能是零值。
比率(Ratio) :測(cè)評(píng)值是等距離的,對(duì)應(yīng)于屬性的等量,無(wú)該屬性為零值。
測(cè)評(píng)單位是作為慣例定義和被廣泛接受的一個(gè)特定量。他被用作比較相同種類量值的基準(zhǔn),以表達(dá)他們相對(duì)于此量的量級(jí)。只有用相同測(cè)評(píng)單位表達(dá)的量值才能直接比較。測(cè)評(píng)單位的例子有公尺、公斤和小時(shí)等。
測(cè)評(píng)函數(shù)是將兩個(gè)或更多測(cè)評(píng)變量結(jié)合成導(dǎo)出測(cè)評(píng)變量的算法。導(dǎo)出測(cè)評(píng)變量的尺度和單位依賴于作為函數(shù)輸入的測(cè)評(píng)變量的尺度和單位以及他們通過(guò)函數(shù)結(jié)合的運(yùn)算方式。分析模型是將一個(gè)或多個(gè)測(cè)評(píng)變量轉(zhuǎn)化為指示器的算法。他是基于對(duì)測(cè)評(píng)變量和/或他們經(jīng)過(guò)一段時(shí)間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評(píng)估或評(píng)價(jià)。測(cè)評(píng)方法和測(cè)評(píng)尺度影響分析模型的選擇。
測(cè)評(píng)計(jì)劃定義了測(cè)評(píng)實(shí)施的目標(biāo)、方法、步驟和資源。測(cè)評(píng)頻率是測(cè)評(píng)計(jì)劃的執(zhí)行頻率。測(cè)評(píng)計(jì)劃應(yīng)按規(guī)定的頻度定期地或在必要的時(shí)候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中,可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時(shí)候包括ISMS初始規(guī)劃和實(shí)施以及ISMS本身或運(yùn)行環(huán)境發(fā)生重大變化。
2.2 信息安全管理測(cè)評(píng)量表體系
任何測(cè)評(píng)都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息安全測(cè)評(píng)指標(biāo)體系是信息安全測(cè)評(píng)的基礎(chǔ),是對(duì)指定屬性的評(píng)價(jià),這些屬性與測(cè)評(píng)需求方的信息保障需求相關(guān)聯(lián),對(duì)他們進(jìn)行評(píng)價(jià)為測(cè)評(píng)需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測(cè)評(píng)需求方的。標(biāo)準(zhǔn)GB/T 22081-2008是進(jìn)行信息安全管理所參照的標(biāo)準(zhǔn),其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個(gè)方面,提出了133個(gè)控制措施供使用者在信息安全管理過(guò)程中選擇適當(dāng)?shù)目刂拼胧﹣?lái)加強(qiáng)信息安全管理。該標(biāo)準(zhǔn)所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面。在建立信息安全管理測(cè)評(píng)指標(biāo)體系的實(shí)踐中,通常以控制措施的實(shí)施情況作為指標(biāo),建立預(yù)選指標(biāo)集,通過(guò)對(duì)預(yù)選指標(biāo)集的分析,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標(biāo)。
3 信息安全管理測(cè)評(píng)方法探討
測(cè)評(píng)方法通常影響到用于給定屬性的測(cè)評(píng)尺度類型。例如,主觀測(cè)評(píng)方法通常只支持序數(shù)或名義類型的測(cè)評(píng)尺度。測(cè)評(píng)方法是使用指定的測(cè)評(píng)制式量化屬性的操作邏輯序列。操作可能包括計(jì)算發(fā)生次數(shù)或觀察經(jīng)過(guò)時(shí)間等。同樣的測(cè)評(píng)方法可能適用于多個(gè)屬性。然而,每一個(gè)屬性和測(cè)評(píng)方法的獨(dú)特結(jié)合產(chǎn)生一個(gè)不同的基礎(chǔ)測(cè)評(píng)。測(cè)評(píng)方法可能采用多種方式實(shí)現(xiàn)。測(cè)評(píng)規(guī)程描述給定機(jī)構(gòu)背景下測(cè)評(píng)方法的特定實(shí)現(xiàn)。
測(cè)評(píng)方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型:
主觀:含有人為判斷的量化。
客觀:基于數(shù)字規(guī)則(如計(jì)數(shù))的量化。這些規(guī)則可能通過(guò)人或自動(dòng)手段來(lái)實(shí)現(xiàn)。
測(cè)評(píng)方法的可能例子有:調(diào)查觀察、問(wèn)卷、知識(shí)評(píng)估、視察、再執(zhí)行、系統(tǒng)咨詢、測(cè)試(相關(guān)技術(shù)有設(shè)計(jì)測(cè)試和操作有效性測(cè)試等)、統(tǒng)計(jì)(相關(guān)技術(shù)有描述統(tǒng)計(jì)、假設(shè)檢驗(yàn)、測(cè)評(píng)分析、過(guò)程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計(jì)過(guò)程控制(SPC, statistical Process control) 圖和時(shí)序分析等)。
4 結(jié)束語(yǔ)
當(dāng)前,信息安全領(lǐng)域的測(cè)評(píng)研究多側(cè)重于對(duì)技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測(cè)評(píng),其中信息安全風(fēng)險(xiǎn)評(píng)估可通過(guò)對(duì)重要信息資產(chǎn)面臨的風(fēng)險(xiǎn)、脆弱性的評(píng)價(jià)掌握組織的信息安全狀況;信息安全審計(jì)則只是對(duì)信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據(jù);而信息安全管理評(píng)審則是符合性審核,他們都不能對(duì)信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評(píng)價(jià)。因此,非常有必要對(duì)信息安全管理的有效性進(jìn)行測(cè)評(píng),這將有助于了解信息安全管理過(guò)程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況,為管理者決策提供依據(jù),也能為組織信息安全管理過(guò)程的持續(xù)改進(jìn)提供足夠的幫助,達(dá)到更好地管理信息安全的最終目的。
參考文獻(xiàn):
[1] 閆世杰,閔樂(lè)泉,趙戰(zhàn)生.信息安全管理測(cè)量研究[J].信息安全與通信保密,2009,5:53.
[2] 朱英菊,陳長(zhǎng)松.信息安全管理有效性的測(cè)量[J].信息網(wǎng)絡(luò)安全,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics , Adapted from the report of the Best Practices and Metrics Teams , Corporate Information Security Working Group ( CISWG ) , 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl),2005-08-31
【關(guān)鍵詞】 等級(jí)保護(hù) 電力調(diào)度 管理制度
引言
我單位開(kāi)展了信息安全等級(jí)保護(hù)安全建設(shè)整改、等級(jí)測(cè)評(píng)等工作。然而,隨著整改進(jìn)程的深入,建立規(guī)范、高效、安全的信息系統(tǒng)運(yùn)行維護(hù)和管理體系,如何將等級(jí)保護(hù)中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合,給管理工作帶來(lái)了新的挑戰(zhàn),通過(guò)建立等級(jí)保護(hù)管理制度體系能夠更全面的提高電力調(diào)度系統(tǒng)運(yùn)維管理層次,實(shí)現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用,支撐實(shí)現(xiàn)電力調(diào)度的信息化發(fā)展目標(biāo)。本文結(jié)合筆者在信息安全管理中的實(shí)踐和理解,對(duì)等級(jí)保護(hù)管理體系在工作中的應(yīng)用提出一些個(gè)人的想法,供讀者借鑒。
一、建立等級(jí)保護(hù)制度體系目的和意義
為更好的提高信息安全保障能力和水平,依據(jù)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))、國(guó)家電網(wǎng)公司《信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見(jiàn)》(信息運(yùn)安[2009]27號(hào))、《SG186工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收標(biāo)準(zhǔn)(試行)》(信息運(yùn)安[2009]44號(hào))、《關(guān)于加強(qiáng)電力二次系統(tǒng)安全防護(hù)和等級(jí)保護(hù)工作的通知》(調(diào)自〔2012〕65號(hào))等要求。進(jìn)一步加強(qiáng)電力調(diào)度系統(tǒng)重要信息系統(tǒng)的安全保護(hù),落實(shí)國(guó)網(wǎng)公司關(guān)于信息安全等級(jí)保護(hù)和安全防護(hù)體系建設(shè)的總體要求,我單位開(kāi)展了信息安全等級(jí)測(cè)評(píng)和整 改工作。
二、等級(jí)保護(hù)管理制度體系分析
等級(jí)保護(hù)管理制度體系提供了對(duì)組織機(jī)構(gòu)中信息系統(tǒng)全生存周期過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的管理,包括落實(shí)安全管理機(jī)構(gòu)及人員,明確角色與職責(zé),制定安全規(guī)劃、開(kāi)發(fā)安全策略、實(shí)施風(fēng)險(xiǎn)管理、進(jìn)行監(jiān)控、檢查,處理安全事件等,具體落實(shí)在要求則體現(xiàn)在等級(jí)保護(hù)測(cè)評(píng)指標(biāo)中,等級(jí)保護(hù)管理要求如圖1所示。
三、等級(jí)保護(hù)管理體系建設(shè)實(shí)踐
在具體落實(shí)管理體系過(guò)程中,應(yīng)結(jié)合原有的信息化管理制度,貫徹建立管理制度文件層級(jí)化和流程化管理概念,將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學(xué)的管理運(yùn)作;將信息化安全管理方針策略定義為一層策略文件;將溝通管理、信息化人員管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面定義為二層制度文件,落實(shí)一層文件中涉及的各方面運(yùn)維和安全管理內(nèi)容;將信息化運(yùn)維管理的操作指導(dǎo)規(guī)范等定義為三層流程文件,支撐二層制度文件的具體操作;將所有信息化運(yùn)維相關(guān)的表格定義為四層表格文件,落實(shí)并規(guī)范化所有運(yùn)維操作,融合和動(dòng)態(tài)的管理當(dāng)前使用的管理制度體系結(jié)構(gòu),如圖2所示。
3.1安全管理的原則
1)基于安全需求原則:組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命,積累的信息資產(chǎn)的重要性,可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求,遵從相應(yīng)等級(jí)的規(guī)范要求,從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果;
2)主要領(lǐng)導(dǎo)負(fù)責(zé)原則:主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策,負(fù)責(zé)提高員工的安全意識(shí),組織有效安全保障隊(duì)伍,調(diào)動(dòng)并優(yōu)化配置必要的資源,協(xié)調(diào)安全管理工作與各部門工作的關(guān)系,并確保其落實(shí)、有效;
3)全員參與原則:信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同保障信息系統(tǒng)安全;
4)持續(xù)改進(jìn)原則:安全管理是一種動(dòng)態(tài)反饋過(guò)程,貫穿整個(gè)安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱性的分布變化,應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí),維護(hù)和持續(xù)改進(jìn)信息安全管理體系;
5)分權(quán)和授權(quán)原則:對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán),避免權(quán)力過(guò)分集中所帶來(lái)的隱患,以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。
3.2管理制度體系框架構(gòu)建
3.2.1工作目標(biāo)
建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人,明確組織內(nèi)各機(jī)構(gòu)人員責(zé)任和工作職能,確定信息安全管理體系方針策略,編制形成信息安全方針策略文件。
3.2.2建立信息安全管理組織
(1)建立信息安全管理組織架構(gòu)
信息安全領(lǐng)導(dǎo)機(jī)構(gòu):供電公司信息化領(lǐng)導(dǎo)小組,主要負(fù)責(zé)對(duì)單位信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在單位的執(zhí)行情況、設(shè)立落實(shí)信息安全責(zé)任。由供電公司分管領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),小組成員為各個(gè)部門負(fù)責(zé)人組成。
(2)明確各相關(guān)機(jī)構(gòu)和崗位角色的責(zé)任和職能
建立相應(yīng)的職責(zé)文件,明確各相應(yīng)領(lǐng)導(dǎo)、部門、崗位的職責(zé)。調(diào)度通信中心應(yīng)設(shè)立信息安全工作的各關(guān)鍵崗位,如安全管理員、網(wǎng)絡(luò)管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員等,并將之與班組人員結(jié)合,并重視信息化人員的培養(yǎng)。
3.2.3確定安全管理總體方針策略
安全管理方針策略是為組織的每一個(gè)人提供基本的規(guī)則、指南、定義,從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn),防止員工的不安全行為引入風(fēng)險(xiǎn)。同時(shí),還是進(jìn)一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。應(yīng)當(dāng)目的明確、內(nèi)容清楚,能廣泛地被組織成員接受與遵守,且要有足夠靈活性、適應(yīng)性,能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動(dòng)和資源??梢允箚T工了解與自己相關(guān)的信息安全保護(hù)責(zé)任,強(qiáng)調(diào)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。
安全方針策略屬于高層管理文件,簡(jiǎn)要陳述信息安全宏觀需求及管理承諾,應(yīng)該篇幅短小,內(nèi)容明確。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要,便于理解,至少應(yīng)包括以下內(nèi)容:
(1)信息安全的定義,總體目標(biāo)、范圍,安全對(duì)信息共享的重要性;
(2)管理層意圖、支持目標(biāo)和信息安全原則的闡述;
(3)信息安全控制的簡(jiǎn)要說(shuō)明,以及依從法律、法規(guī)要求對(duì)組織的重要性;
(4)信息安全管理的一般和具體責(zé)任定義,包括報(bào)告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序,定義安全角色賦予管理職責(zé),陳述組織的安全目標(biāo),為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。
3.3管理制度體系策略建立
3.3.1工作目標(biāo)
建立覆蓋信息工作的全部文件,包含安全策略、制度、規(guī)定規(guī)范、表單,完善所有活動(dòng)流程管理。
3.3.2建立體系策略制度文件
信息安全策略是組織信息安全活動(dòng)的最高方針,需要根據(jù)信息工作的實(shí)際情況,分別制訂不同的信息安全策略。應(yīng)該簡(jiǎn)單明了、通俗易懂,并形成書(shū)面文件,發(fā)給單位內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn),以使信息安全方針真正植根于單位內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。根據(jù)本單位實(shí)際情況,建立的策略文件,所有文件均需進(jìn)行論證和評(píng)審。
(1)信息安全管理策略
作為所有系統(tǒng)的指導(dǎo)性方針文件,提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定各管理制度、操作和使用規(guī)范。
(2)系統(tǒng)運(yùn)維安全管理策略
作為所有系統(tǒng)運(yùn)行維護(hù)的指導(dǎo)性方針文件,提供系統(tǒng)安全運(yùn)行維護(hù)的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定系統(tǒng)運(yùn)行維護(hù)中相關(guān)的各種管理制度和規(guī)定,以及控制各項(xiàng)活動(dòng)的記錄表單和審批流程。應(yīng)覆蓋機(jī)房、網(wǎng)絡(luò)、系統(tǒng)、資產(chǎn)、備份、日常運(yùn)維等所有運(yùn)行維護(hù)工作的范圍。
(3)系統(tǒng)建設(shè)安全管理策略
作為所有信息化工作建設(shè)的指導(dǎo)性方針文件,提供信息工作相關(guān)的建設(shè)安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)形成項(xiàng)目管理、采購(gòu)管理、工程實(shí)施管理、測(cè)試及驗(yàn)收管理等建設(shè)管理的全過(guò)程管理制度,相應(yīng)的控制表單和審批規(guī)定。
(4)人員安全管理策略
由于在系統(tǒng)、運(yùn)維、建設(shè)方面已經(jīng)對(duì)人員在該活動(dòng)中的行為做了要求,人員安全管理主要需要考慮的問(wèn)題是錄用、離崗、保密、教育培訓(xùn)、考核及外來(lái)人員方面的管理,也可以直接制定比較詳細(xì)的人員安全管理制度。
(5)管理流程
梳理并完善各種活動(dòng)的詳細(xì)流程圖,任何針對(duì)信息系統(tǒng)的活動(dòng)均有流程可依據(jù)進(jìn)行控制管理。如事件管理流程、變更管理流程等。
(6)其他輔助制度
建立輔助文件,如對(duì)以上策略、制度、表單等進(jìn)行管理的文件管理制度、保密制度、信息規(guī)定等。
3.4管理制度體系運(yùn)作落實(shí)
3.4.1工作目標(biāo)
逐項(xiàng)實(shí)施,直至體系全面運(yùn)行,監(jiān)督落實(shí)安全策略制度,找出體系中的不適用和缺陷。
3.4.2實(shí)施
經(jīng)過(guò)第一和第二階段的工作,理論上單位已初步形成完整的信息安全管理體系,但體系是否能正常運(yùn)作發(fā)揮作用,需要對(duì)體系進(jìn)行驗(yàn)證,驗(yàn)證的方法就是運(yùn)行體系。
體系的運(yùn)行分幾步進(jìn)行:
對(duì)通過(guò)論證評(píng)審的文件,通過(guò)正規(guī)渠道正式發(fā)文的方式進(jìn)行,的文件根據(jù)情況決定是否采取“征求意見(jiàn)稿”或“暫行”;
文件前召集相關(guān)部門的負(fù)責(zé)人學(xué)習(xí)文件,并要求確保落實(shí)力度;
的文件要求相關(guān)部門組織學(xué)習(xí),并依照實(shí)施;
各相關(guān)部門對(duì)運(yùn)行的文件制度運(yùn)行情況進(jìn)行收集,存在實(shí)際困難無(wú)法落實(shí)的報(bào)評(píng)審組織評(píng)審適用性;
對(duì)“征求意見(jiàn)稿”的文件,必須從實(shí)施的相關(guān)部門采集意見(jiàn)。
體系實(shí)施階段可以在體系建立階段同步開(kāi)展,建立部門策略制度后,通過(guò)論證評(píng)審即可進(jìn)行試運(yùn)行,不需等全套文件完成。
3.4.3監(jiān)督
指定或成立跨部門監(jiān)督機(jī)構(gòu)、人員,對(duì)文件實(shí)施的過(guò)程進(jìn)行監(jiān)督管理,制定相應(yīng)的懲戒措施,對(duì)落實(shí)情況進(jìn)行監(jiān)督檢查,對(duì)違反文件實(shí)施和實(shí)施不力的部門或人員進(jìn)行懲戒,切實(shí)落實(shí)文件的有效實(shí)施。收集監(jiān)督過(guò)程中發(fā)現(xiàn)的文件問(wèn)題、人員實(shí)施問(wèn)題方面資料,反饋到編制組織。
本階段是系統(tǒng)建立的關(guān)鍵階段,是信息安全管理體系要分析運(yùn)行效果,尋求改進(jìn)機(jī)會(huì)的階段。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分,就要采取糾正措施,以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。必須強(qiáng)調(diào)相關(guān)領(lǐng)導(dǎo)應(yīng)重視本階段工作,并且從實(shí)際上支持和推動(dòng)實(shí)施工作。且應(yīng)加大學(xué)習(xí)培訓(xùn)和監(jiān)督力度,落實(shí)懲戒措施。讓文件涉及的相關(guān)部門和相關(guān)人員熟知該文件并能按要求準(zhǔn)確執(zhí)行。
3.5管理制度體系細(xì)化調(diào)整
3.5.1工作目標(biāo)
總結(jié)體系運(yùn)行情況,調(diào)整不適用和無(wú)法落實(shí)的部分,完善體系,使之能高效、有序的運(yùn)作。
3.5.2評(píng)審
評(píng)審有兩個(gè)環(huán)節(jié),第一個(gè)環(huán)節(jié)是針對(duì)出現(xiàn)的問(wèn)題進(jìn)行審核,論證其原因,進(jìn)行改正完善。第二個(gè)環(huán)節(jié)是在大部分問(wèn)題解決后、體系正常的情況下全面評(píng)審體系文件、組織、活動(dòng)是否達(dá)到預(yù)期目標(biāo)。
首先,信息安全領(lǐng)導(dǎo)小組組織相關(guān)部門人員,對(duì)體系實(shí)施中發(fā)現(xiàn)的問(wèn)題進(jìn)行審核,對(duì)落實(shí)不力的部門責(zé)成落實(shí);對(duì)實(shí)際存在的問(wèn)題進(jìn)行論證,提出解決辦法;對(duì)不適用的文件或部分進(jìn)行論證評(píng)審,確實(shí)存在不適用的文件則組織相關(guān)人員進(jìn)行修訂,轉(zhuǎn)入修訂環(huán)節(jié),對(duì)于不適用且沒(méi)必要存在的文件進(jìn)行廢止。
而后,對(duì)于本階段計(jì)劃時(shí)間內(nèi)反饋沒(méi)發(fā)現(xiàn)問(wèn)題的文件,組織相關(guān)部門評(píng)審試行效果,達(dá)到預(yù)期要求則作為正式版運(yùn)行,并采用持續(xù)優(yōu)化階段的方式進(jìn)行管理,未達(dá)預(yù)期目的則轉(zhuǎn)入重新編制程序。
3.5.3修訂
對(duì)于存在問(wèn)題的策略文件,組織該策略文件涉及最多的主體部門和其他相關(guān)部門人員成立臨時(shí)修訂機(jī)構(gòu),針對(duì)文件存在問(wèn)題進(jìn)行修訂。修訂后進(jìn)行新版本的頒布,同時(shí)該文件轉(zhuǎn)入落實(shí)階段。
3.5.4測(cè)評(píng)
經(jīng)過(guò)細(xì)化調(diào)整,不斷地審核修訂后,體系應(yīng)已基本完善,此時(shí)轉(zhuǎn)入評(píng)審的第二環(huán)節(jié)。按照符合等級(jí)保護(hù)要求的預(yù)期目標(biāo),委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)保護(hù)測(cè)評(píng),在保證客觀、合規(guī)、公正的前提下,對(duì)單位信息安全體系進(jìn)行全面評(píng)審。整體測(cè)評(píng)后,對(duì)不滿足要求的部分進(jìn)行整改,整改完成后轉(zhuǎn)入實(shí)施階段,直至符合要求。
3.6管理制度體系持續(xù)優(yōu)化
通過(guò)前四個(gè)階段的工作,信息安全管理體系應(yīng)基本穩(wěn)定、成熟,后期的工作在于保持并進(jìn)行不斷地優(yōu)化。把經(jīng)過(guò)檢驗(yàn)的文件作為常態(tài)的管理遵循依據(jù),在日常工作中保持,不因試行結(jié)束而松懈。部門和人員應(yīng)把試行期間依照文件要求形成的工作模式進(jìn)一步完善保持,在未發(fā)生異常情況之前,始終按照正式版本執(zhí)行。定期進(jìn)行評(píng)審,找出不適用部分進(jìn)行優(yōu)化調(diào)整;結(jié)合工作實(shí)際,尋求更高效安全的方法優(yōu)化體系,提高效能。
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)