漫谈信息安全经理需要了解的国内外安全标准

尽管由人治向法治的过程困难重重,但不可否认法治观念越来越深入人心,信息安全领域的管理也不再是领导拍脑袋凭主观意愿决定一切的时代了。政府部门和关键的重点行业更是会接受多家监管机构对安全遵循的要求,领导型的标杆企业更是不得不向行业安全标准靠拢以增加竞争力,本文不是来剖析和解读业界的安全标准,只是来随意闲聊一下。

要说安全标准主要可以分为两类,一类是需要强制性遵循的,主要是安全监管机构的法律法规和特殊行业的安全需要,比如几乎所有组织机构都要受到公共安全网络监管和保密等机构相关法规纪律的约束比如NIST、FISMA和信息安全等级保护等,而所有重点行业,都会有行业监管机构出台相关的安全准则如COSO、SOX、HIPAA和中国某行业监督管理委员会信息系统安全指南等,甚至大型领导厂商也会联合起来制定安全准入标准比如PCI等。

除了强制性必须遵循的之外,另一类是泛行业性质的安全标准,这些和行业及规模无关,比如国际化标准ISO/IEC 27001/2以及一些安全治理构架COBIT等。

不可否认的是这些标准之间会存在竞争,强制性标准中有政治权力和经济利益之争,而行业标准更多的是经济利益和影响力之争,各类标准的势力范围也与时俱进,越扩越大并且开始趋同。这各趋势并不见得是坏事,因为只要遵循一种比较成熟和完善的标准,往往相关的要求都可以被映射到其它类似标准之中,所以如果组织的信息安全管理体系和ISO 27001/2保持一致的话,可以说其它任何安全管理规范或文件都已经被遵循了90%以上,剩下的那些少量的条款和特别的要求只需稍做努力便可轻松实现,因为管理体系的精髓都是相通甚至相同的,所以基于相同安全理念而细化出来的法规制度也大同小异。

各级组织机构往往会根据安全管理体系标准的要求,结合单位和部门的实际情况,细化制作相关的信息安全规章制度和工作流程,其中不乏各类工作文档、动员会议和沟通培训等等。

接下来更进一步,各单位会对所辖范围内的安全管理体系规程的实施情况进行定期审查,以确保信息安全管理方针政策得以落实,安全制度得以遵照执行,安全体系建设得以不断改进。

多数的安全管理审查结果并不理想,这让安全管理规定的落实大打折扣,严重的会让安全标准和制度成为一纸空文。问题的根源何在呢?昆明亭长朗然科技有限公司的资深安全管理顾问James Dong说:各单位的信息安全管理领导小组或安全管理委员会对信息安全的理解和认识往往比较全面,再根据各安全主管部门的要求和指导,容易制定出与实际工作相关的安全规程;到部门安全(协调)员和最终用户这一级,往往并非安全方面的专家,他们缺乏对信息安全的整体和全面的认识,以至于难以制定出具体的日常安全工作操作流程和安全注意事项等等运用于最佳安全实践之中,再加之安全并非他们日常工作的核心内容,所以即使被强迫制定出一些文档,也是为了应付检查而非真正嵌入到工作流程之中。

由于这些一线用户数量众多,他们对安全认识的不够足以影响整体的安全管理水平,具体的表现形式为抵抗、躲避或忽略各类安全技术和管理控制措施,而安全认知水平不够的根源在于安全知识体系管理和沟通的不足,简单说,就是信息安全管理委员会或信息安全管理领导小组没有对各部门的安全管理员、安全技术人员和最终用户进行足够的安全知识灌输,以填补信息安全意识的空洞和差距。

所以,如果你是一名安全管理专家,或安全管理领导小组的成员,请不要再执著于具体的安全管理标准或规范的名称如ISO/IEC 27001、 COBIT、 HIPAA、 PCI-DSS、 SOX、 等级保护等等,而是加强对下属各部门安全(管理协调)员的支持,对他们进行安全理念和管理体系的培训,支持他们对最终用户进行安全意识培训教育。

信息安全管理标准大同小异,落实才是关键,而落实安全管理标准的重要工作,也是常常被忽略掉的核心一环,是填补安全认识不足的鸿沟,亦即是对员工进行足够的信息安全意识培训。

轻松实现安全意识

继“安全朗朗然”系列安全意识教育视频之后,昆明亭长朗然科技有限公司又推出全新信息安全意识和培训解决方案——“轻松实现安全意识”。这种简便易用的方案采用了高品质的安全意识课件,能够帮助众多中小型企业甚至大型公司快速实施有效的安全意识教育,进而降低由于人员因素而带来的商业风险和强化对安全法律法规的遵从。

安全管理体系中最弱的一环是人员,最近美国一项研究表明,追溯数据泄露事故的起因,90%和人为错误有关,尽管如此安全意识培训却仍然被许多组织所忽略。昆明亭长朗然科技有限公司的安全培训顾问Alice Wong称:安全培训负责人并不是刻意去忽略安全意识培训,因为多数公司安全管理层并不清楚到底要培训哪些内容,以及如何进行有效地安全意识培训。

合规问题不仅仅限定于信息系统的安全,不管是互联网安全保护技术措施规定,信息系统安全等级保护基本要求,信息科技风险监管,还是ISO27001,SOX,HIPPA,PCI-DSS等国内外信息安全相关保护标准规范都有要求公司对员工进行必要的信息安全意识培训,以便让员工们了解和遵守相关的法律法规和安全规章制度。亭长朗然公司的Alice说:多数组织能够认识到合规对安全意识培训的要求,但是又没有足够的资源来建立权威的培训计划。

针对上述两项驱动力量和现实困难,亭长朗然公司设计研发出“轻松实现安全意识”培训课程,专门针对无论拥有数十数百或成千上万员工的各类组织,只需花费可承担的合理费用便可满足高难度的安全意识教育需求。

“轻松实现安全意识”是一套在线安全意识培训课程,最终用户只需使用网络浏览器登录访问学习网站便可轻松开始在线学习。这种基于电脑的培训方式在发达国家已经很流行,国内则刚刚起步,但是它的优势却很明显。多种安全意识模块课题可供选择,灵活的方式让最终培训时长可以从半个小时至五个小时。针对移动终端设备和HTML5的支持更让学员可以随时随地进行安全意识的主动学习,证书模块也可让成功完成测试的学员打印出课程证书。

“轻松实现安全意识”也很方便安全培训负责人或培训管理员跟踪学员们的学习进度和安全意识测试情况,而这些后台跟踪管理操作也是可以非常“轻松实现”的。同时,针对各类安全相关政策比如保密协定等文件的员工签署,也可方便地通过系统进行电子化认可,即能省却大量人力和纸张,也能帮助促进员工安全意识的提升。

各类供选择的安全意识模块充分考虑了业界的最佳实践,包括常见的办公场所安全、物理环境安全、敏感数据保护、移动计算安全、社交工程防范、互联网安全、工作站安全、桌面清洁等等。除此之外,在内容的深度和广度方面更提供多种不同的版本供选择,当然针对有特殊安全策略、标准或流程的客户,亦能快速实施定制化设计制作服务。

昆明亭长朗然科技有限公司位于中国的大西南,欢迎和我们联系洽谈安全意识培训合作。