跳转至内容部分

IT 术语解析

信息安全管理体系

信息安全管理体系 (ISMS) 是组织实施的一组控制措施,用于保护自身的信息资产以及其负责的其他信息资产。

设想一下,您有一部专门用于工作的手机。您在其中存储了用于付款的信用卡信息、用于查看财务状况的银行信息、所服务客户的重要详细信息、所订阅服务的登录信息,以及大量与企业核心运营相关的专有数据。

如果您和大多数人一样,随身携带手机,那么它在某个时候就有可能丢失或被盗。如果发生这种情况,设备上存储的信息会怎样?您如何保护自己的隐私和信息安全?又如何保护客户的信息?

这些问题的答案,就是建立信息安全管理体系 (ISMS)——一套旨在保护企业敏感信息、防止其被破坏或落入他人之手的政策、流程和协议。本文将详细介绍 ISMS——包括其定义、信息安全的发展历史,以及在组织中实施 ISMS 以保护关键数据的一些最佳实践。

什么是信息安全管理体系?

信息安全管理体系 (ISMS) 是组织实施的一组控制措施,用于保护自身的信息资产以及其负责的其他信息资产。设计并实施自身 ISMS 的组织将能够找到降低数据泄露发生可能性的方法,在数据泄露发生时限制责任的方法,以及缓解任何数据安全问题影响的其他方法。以下是构成有效 ISMS 的一些关键要素:

ISMS 是管理数据安全的体系

一个已建立的 ISMS 会管理用于帮助保护组织数据安全的政策、程序、流程和工作流。组织制定政策后,必须在整个组织内实施并运行这些政策,才能实现其价值。组织通过 PDCA(计划、执行、检查、处理)循环来治理这些政策,定期重新审视程序并根据需要进行调整。

虽然 ISMS 没有正式的文档要求,但通常的做法是记录用于以过程方法管理 ISMS 的政策和程序,以及为推进公司数据安全目标而实施的任何政策、程序、流程、工作流或控制措施。

ISMS 不会以同等方式对待所有数据

ISMS 描述组织应如何保护数据,但并不需要以完全相同的方式对待所有组织数据。组织每天都会创建、记录和交换许多不同类型的数据。我们在前文提到了几类数据——公司的财务记录、组织所使用服务的登录详细信息和相关信息、客户及顾客档案和信息,以及企业信用卡和银行详细信息。此外还有电子邮件、报告、库存数据、设施数据、设备服务记录等。

并非所有组织数据都必须处于相同的安全级别之下,保护某些类型的数据也会带来财务成本和生产力成本。例如,如果组织要求电子邮件登录使用双因素身份验证,员工每次查看电子邮件时可能会额外损失两分钟的工作效率。这样做是否值得?这需要组织领导者通过自身的风险评估来决定。

遵循 ISMS 对成功实施至关重要

创建 ISMS 后将其存放在某个文件夹中,最终并不会改善组织的信息安全——真正保护您免受数据泄露影响的,是有效实施相关政策,并将信息安全融入组织文化。虽然建立和维护 ISMS 是重要的第一步,但如果希望充分保护数据,组织还必须优先对员工进行 ISMS 培训,并将合规要求纳入日常流程和活动。

ISMS 是动态的,而非静态的

ISMS 是一个不断变化的“活”体系——它是动态的,而非静态的。在信息安全标准 ISO 27001 中,PDCA 循环被应用于 ISMS 体系。企业应建立 ISMS(计划)、实施和运行 ISMS(执行)、监控和评审 ISMS(检查),并维护和改进 ISMS(处理)。ISMS 应定期评审和更新,以反映不断变化的信息安全环境以及新的数据安全最佳实践。

有效的 ISMS 以风险为基础

需要理解的是,从绝对意义上说,要保护组织数据完全不发生安全泄露几乎是不可能的。只要窃贼或黑客拥有足够的时间和资源,最终很可能会找到突破您所实施安全措施的方法。针对不成熟安全系统的网络攻击,单个人可能只需几个小时即可完成;而训练有素的安全专家团队要访问高度受保护的服务器,则可能需要数周时间。

组织必须开展风险评估,确定哪些资产需要得到最严格的保护,并有效分配资源来保护这些资产。基于风险的 ISMS 在分配资产保护资源时,会考虑不同类型信息资产的相对风险。

组织为什么应保护其数据?

既然我们已经详细了解了 ISMS,就需要理解并认识到,组织为什么必须通过建立 ISMS 来保护其数据。以下是组织应建立 ISMS 以帮助保护数据的最重要原因:

ISMS 帮助您规模化管理数据安全

回到最初那个可能丢失或被盗的工作手机示例,保护单一设备不落入他人之手相对容易。但如果您的组织有 100 名员工、85 台台式电脑、20 台笔记本电脑、40 部手机、一个服务器机房,以及一个用于存放所有关键文档的云端存储库,会发生什么?此时,您需要规模化管理信息安全,因为数据量很大,网络也很庞大。一个配置不当且过期的防病毒程序所在的单一设备,就可能成为危及整个网络的漏洞。ISMS 提供控制措施,帮助保护每个端点免受恶意攻击,从而保护整个系统。

数据泄露代价高昂

如果您从未经历过大量客户数据被盗的数据泄露事件,那么您需要知道,一旦发生此类事件,成本会非常高。由 Ponemon Institute 在 IBM 赞助下开展的《2017 年数据泄露成本研究》确定,2017 年数据泄露的平均成本为 362 万美元。您可能听说过 Equifax 数据泄露事件,该事件导致其股价下跌 20%,并在一个月内引发了 30 多起针对该公司的集体诉讼。互联网巨头雅虎也曾遭遇重大安全泄露,导致其全部 30 亿用户的账户信息受到影响——其后果包括 3500 万美元的联邦罚款、8000 万美元的法律和解金,以及收购价值减少 3.5 亿美元。

除此之外,还包括通知客户其数据已遭泄露、聘请安全专家修补导致泄露的漏洞,以及向受影响者支付其他处罚、罚款和赔偿款等相关成本。

组织可以获得 ISO 27001 认证

国际标准化组织 (ISO) 是发布组织标准和最佳实践的全球性机构。2005 年,ISO 发布了一份正式称为 ISO/IEC 27001:2005 的文件,确立了信息安全管理体系的国际标准。按照这些最新信息安全标准构建 ISMS 的组织,可以获得一项认证,向客户和合作伙伴表明其已建立适当的体系来保护自身的信息资产。

ISO 27001 认证能够为组织带来业务优势,使其能够证明自身符合信息安全管理方面最新最佳实践的要求。

如何在组织中实施 ISMS

实施 ISMS、实现 ISO 27001 合规并确保信息资产安全,可以为组织带来显著收益;但要获得 ISMS 的完整价值,需要进行全面的实施和培训。以下是在组织中开始实施 ISMS 的方法:

第一步:资产识别与估值

实施 ISMS 的第一步,是识别必须保护的资产,并确定其对组织的相对价值。请记住,基于风险的 ISMS 会考虑不同类型数据和设备的相对重要性,并据此提供保护。在此步骤中,组织会从文档中收集数据,以识别业务关键型 IT 资产及其对组织的相对重要性。

组织必须创建敏感性声明 (SoS),对其每项 IT 资产在三个不同维度上进行评级——机密性、完整性和可用性:

  • 机密性 - 确保信息只能由授权人员访问
  • 完整性 - 确保需要保护的信息准确且完整,并确保信息和处理方法受到保护
  • 可用性 - 确保授权人员在需要时能够访问受保护的信息和资产

组织必须在保护资产与使需要数据履行工作的授权人员能够访问资产之间取得平衡。

第二步:开展详细风险评估

完成资产识别与估值并制定 SoS 后,就应开展详细的风险评估,为 ISMS 的编制提供依据。风险评估分析包括四个重要步骤,用于确定应如何保护 IT 资产:

  1. 威胁 - 组织应通过记录可能导致资产被故意或意外误用、丢失或损坏的任何不良事件,来分析资产面临的威胁。
  2. 漏洞 - 威胁是对可能发生事件的具体描述,而漏洞则衡量 IT 资产对分析第一部分所识别威胁的易受影响程度。此时,您开始区分不同类型的资产——恶意软件攻击对服务器、笔记本电脑和手机都是威胁,但在这里我们可能会指出,手机更容易受到该威胁影响,因为它们会被远程使用,并且可能连接到多个外部网络;而服务器则会保留在内部并全天候受到监控。
  3. 影响与可能性 - 组织现在可以评估某些类型泄露事件发生的可能性,以及每类数据泄露可能造成的潜在损害程度。组织可以使用成本效益分析,帮助其将最严格的安全措施用于应对潜在破坏性最大的泄露事件。
  4. 缓解 - 最后,组织通过 ISMS 中的政策和程序,提出尽量降低已识别威胁、漏洞和影响的方法。

第三步:建立 ISMS

现在,组织已经识别了需要保护的资产,并完成了全面风险评估,就可以继续编写构成 ISMS 的实际政策和程序。如果组织希望获得信息安全管理最佳实践认证,则应按照 ISO 27001 的要求建立 ISMS。

回到我们最初关于未受保护工作手机的示例,如果手机丢失或被盗,组织可以采取哪些步骤来确保手机上的信息得到充分保护?以下是一些可实施以帮助降低风险的示例政策:

  • 手机丢失或被盗后,必须在八小时内向 IT 部门报告。如果您不知道手机在哪里,请立即联系 IT。
  • IT 必须具备远程跟踪和擦除任何公司所有手机的能力。
  • 公司手机必须使用与分配对象对应的生物识别密码进行保护——必须使用指纹、视网膜扫描或面部识别技术来解锁手机。
  • 公司手机随附安全腰挂套,鼓励员工在不使用时将其固定在身上,以避免丢失该资产。

这套政策和程序将最大限度降低因手机丢失而发生数据泄露的可能性。生物识别密码要求显著提高了未经授权访问手机所需的复杂程度,报告要求为手机使用者增加了额外问责机制,而 IT 则能够从任何被报告丢失的手机中移除敏感数据。

总结

ISMS 是一套政策和程序,用于规定公司将如何保护其信息资产免受故意或意外误用、丢失或损坏。建立 ISMS 是保护组织数据资产并避免数据泄露所带来法律和财务影响的重要一步。组织可以通过遵循 ISMS 全球标准来获得 ISO 27001 认证。实施 ISMS 要求组织识别并评估其资产、开展风险评估,并记录已建立的政策和程序。还需要培训计划,以确保员工在处理敏感数据时遵循 ISMS。

ISMS 应按照 PDCA 循环进行维护并定期评审,目标是持续改进,形成满足组织数据安全需求的基于风险的 ISMS。