信息、信息安全与管理体系

毋庸置疑,信息是信息时代的货币。在通常情况下,信息是一个组织拥有的最宝贵的资产,即使该信息没有受到正式和全面的估价。

IT治理是董事会和管理团队用来引导和控制企业各种结构、标准和流程,旨在有效地管理,保护和利用其组织的信息资产。

信息安全管理是IT治理的一个子集,它的重点是保护一个组织的信息资产安全。

信息资产面临的风险

资产在ISO 27001中的定义为“对组织具有价值的任何东西”。信息资产面临着各种各样的威胁,这些威胁包括来自外部的和内部的,威胁的范围包含有随机产生的和非常具体的。风险包括自然灾害,欺诈和其他犯罪活动,也包括用户错误和系统故障。信息风险可以影响信息资产的一个或多个信息安全基本三要素或信息安全三属性,它们是:可用性、机密性和完整性。

ISO 27001中将这些三要素或者三个属性定义为:

1.可用性(AVAILABILITY)-‘经授权的实体在正常需求下可以访问和使用的属性’,信息允许由人类用户访问,以及软件程序访问;

2.保密性(CONFIDENTIALITY)-‘信息不提供或披露给未经授权的个人、实体或程序的属性‘;

3.完整性(INTEGRITY)-‘维护资产的准确性和完整性的属性’。

信息安全

ISO 27001将信息安全定义为“对信息的机密性,完整性和可用性的保持”。此外,如真实性(防伪确认),可跟踪性,不可抵赖性和可靠性等属性也可以参与进来。

信息安全管理体系

ISO 27001定义了ISMS,即Information Security Management System,亦即信息安全管理体系,是整个管理系统的一部分,以业务风险方法为基础,其目的是建立、实施、运行、监督、评审、保持和改进信息安全。该管理体系包括“组织的结构、方针政策、规划活动、职责、实践(惯例)、程序、过程和资源。ISMS的存在是为了维持机密性,完整性和可用性。如图所示,ISMS确保组织的信息和信息资产的机密性,完整性和可用性,最关键的信息资产在所有三个属性都是重要的。

昆明亭长朗然科技有限公司设计制作了信息安全管理者在线培训课程,欢迎联系我们进行在线体验!

infosec-management-course-online

漫谈信息安全风险意识

“合规运营只是信息安全的驱动力之一。”国家互联网信息办公室人事局一名不愿透露姓名的工作人员指出:“使用基于风险管理的方法来推动工作,才是将信息安全与公司治理及商业战略很好结合起来的不二法门。”

让我们来谈谈风险,导出不穷的信息安全事件,似乎不断提醒着人们,互联网不安全。同样,在公司范围内,安全管理团队也经常将风险挂在嘴边,不仅仅是赶时髦,而是在使用科学的方法,来平衡风险与收益,平衡安全与效率。

信息安全事件的层出不穷的背后真正原因是什么?

互联网发展迅猛,对传统商业模式、生活方式带来了彻底的改变,在巨大的挑战面前,我们很多组织都在不断探究着新的商业模式,以期借助灵活的商业模式和快速多变的运营方式,发现新的业务增长点、提高效率和提升竞争力。昆明亭长朗然科技有限公司信息安全咨询师董志军指出:在这个过程中,新的产品、新的服务会不断推出,风险当然也随之而来。风险管理实践的滞后,是信息安全事件导出不穷的根本原因之一。

企业应如何建立健全信息安全管理体系呢?

对于不同类型的组织机构,建立健全信息安全管理体系的方法是通用的,但是亦要考虑到合规因素。因为这不仅仅是一个市场的力量,比如一家国有控股集团与一家外企,在方法论上是类似的,但是在管理体系模型和框架的选择上,可以有不同的风险偏好。通常来讲,国企偏好使用等级保护准则,而外企偏好使用ISO等国际标准。

如何有效管理和降低安全风险呢?

关于如何识别、评估和应对安全风险,其实不用我来多说。董志军笑称:做信息安全管理工作的如果连这点基础理论都不了解,那真是混混了。关键的问题并不在于您懂不懂风险管理,而在于实践。与商业目标结合起来,尽我们的努力,使信息安全不再是商业拓展的绊脚石,而是促进商业的护佑队。

说到底,在参与新项目、新事业的过程中,我们要尽量避免拒绝任何事情,并把所有的事情作为基于风险的决定。这样相关的利益相关者才能根据我们给他们的信息做出实际决策,而不是他们期待我们批准或不予批准。这样,我们所持有的风险观点都保持不变,但是他们对风险的态度会因业务而有所不同。

对风险的应对,无非就是转移、接受、消除和降低,投资信息安全控制措施,来降低风险,显然是最为常见的做法。切记,纯技术不能解决风险问题,工作程序或流程亦不可少,另外,人永远是风险控制中的核心环节。如果人员缺乏有效的风险管理意识和思维,将会导致业务模式设计、系统架构和运营管理等方面从源头上就失去前瞻性考量,造成后期不断暴露出安全漏洞和风险。

如何让商业用户拥有风险意识?

在谈论商业目标和风险控管措施的投入产出之时,我们不仅仅要考虑到应该部署的软、硬件产品和解决方案,也应该知道如何通过投资于人员的风险意识来获得安全回报。董志军指出:在公司全体职员中建立风险意识和风险管理职责,是成本最低且最有效的风险管理措施。

风险意识是与人们的日常生活和工作息息相关的东西。美国哲学家和教育家杜威说:教育应该以生活为目的,在生活的情境里,透过生活去达成。自然,在日常生活和工作中来强化用户们的信息安全风险意识,是最为恰当的场所和做法。

对我们来说,对职场人员进行风险意识教育,非常重要的方法就是分享经验和讲故事。身边人的经验和故事,往往能够引起人们的共鸣,恰当使用这种方式,会让人们永远难以忘记。当然,讲故事和分享经验不仅需要有一个好的口才,更需要能够灵活把握受众的心理特点。

另外一种选择则是使用对话型或故事案例型的动画视频,权威调查表明,那种视觉的冲击、幽默的对话片断,会引发人们大笑,精心勾画的故事片,亦能让受众久久难以忘却,继而沉思信息安全和风险问题。

结语

信息安全事件影响的不只是业务运营的持续性和效率,更有财务上的损失以及声誉上的损害,进一步将影响到客户的安全感和对公司的信心。在信息安全是公司治理的一部分,应该使用风险管理的思维。不管是对商业决策层、安全管理层,还是普通职员,都应该拥有一定的信息安全风险意识。

员工的风险意识和思维,影响风险管理的成败与否。我们必须提高全员的信息安全风险意识和认知,将风险管理的重要性提升到公司生死存亡的高度。使用分享经验和讲故事的方法,借助对话型或故事案例型的动画视频,是提升员工的信息安全风险意识的好方法。

昆明亭长朗然科技有限公司专注于提升人员的信息安全与风险防范意识,我们推出了大量的对话型和故事型信息安全动画视频,欢迎有需要的或有兴趣的朋友联系我们,洽谈合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898