ISO27001信息安全管理体系审核案例分析 发布时间: 2020-11-09 11:28
ISO27001信息安全管理体系审核案例分析
随着信息技术、数字技术和互联网通讯技术的快速应用和推广,社会发展对信息化的依赖程度越来越大。从人们日常生活、企业组织运作到国家各方面的治理,信息资源都是不可或缺的资源和资产,在政治、经济、军事、教育、科技、生活等方面发挥着相当重要的作用。
但是近年来,信息安全威胁事件频发,信息罪犯造成的经济损失快速增多,损失量位居全球第一。没有网络安全就没有国家安全。2019年4月,国务院国资委修订印发的《中央企业负责人经营业绩考核办法》中将网络安全作为央企负责人考核内容的一部分。随着《网络安全法》《互联网信息管理办法》和《信息安全等级保护管理办法》等多部相关法律法规的颁布实施,信息安全已上升为国家战略,作为国家安全的一部分,将其必要性和紧迫性排到了首位,既独立又渗透于各行业领域当中。
 
定义和范畴
信息安全是指对信息的保密性、完整性和可用性的保持。(注:另外,也可包括诸如真实性、可核查性、抗抵赖性和可靠性等其他特性)。
信息安全一般包括实体安全、运行安全、信息安全和管理安全等4个方面的内容。实体安全是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等) 破坏的措施;过程运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施) 来保护信息处理过程的安全;信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认,即确保信息的完整性、机密性、可用性和可控性;管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
 
经典案例回顾
管理,除了行业本身,还有第三方的监管,为市场和政府提供采信。依据标准GB/T 22080-2016/ISO/IEC 27000:2013,对企业进行认证,在对企业的信息安全管理体系的审核过程中,我们非常关注企业实施的典型案例,积累了大量的优秀实施案例,结合标准具体条款(部分) 要求,笔者回顾和梳理了以下几方面产生的良好实践案例与读者分享:
 
1.理解相关方的需求和期望
标准条款4.2:
组织应确定:信息安全管理体系相关方;这些相关方与信息安全相关的要求。
注:相关方的要求课包括法律、法规要求和合同义务。
案例分析:
在某企业的ISMS手册中看到了类似这样的文字:“首先要解决里子问题,其次要解决面子问题,再次是其他问题”。企业的首席信息安全官(CISO) 说这是首席执行官(CEO) 在面试他的时候向他提出的要求,他是这样解读的:防止客户信息泄露到竞争对手那里,造成业务的直接损失,这是里子问题;防止公司面向互联网开放的各个系统被黑客篡改等,发生负面新闻,造成业务的间接损失,这是面子问题。不得不说,这位CEO虽然不懂信息安全的术语和细节,也没读过ISO 27001标准原文,但这句话非常清晰明确地点出了包括股东在内的各相关方的需求和期望。
企业的CISO说他的一切工作的起点,就是这句话,这恰好也是2013版ISO 27001相较于2005版新增的这一HLS条款的原意。
 
2.组织的角色,责任和权限
标准条款5.3:
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通;
最高管理层应分配责任和权限,以确保信息安全管理体系符合本标准的要求;向最高管理者报告信息安全管理体系绩效。
注:最高管理层也可为组织内报告信息管理体系绩效,分配责任和权限。
案例分析:
企业的CISO说他们公司原来把信息安全管理的职责放在了首席信息官(CIO) 分管IT部门下面的设备运行维护部门下,因为早些年的信息安全工作主要是一些服务请求,例如用户口令重置和防火墙白名单设置相关的,后来发现很多安全事件是IT部门下的开发部门的代码没写好导致的,而这样的架构和层级对等关系导致了与开发部门的沟通极其困难。再后来,CIO把信息安全工作从运维部分出来,专门设立了CISO岗位和部门,与开发部和运维部等部门平级。虽然现在还是每天都在打架,尤其是跟IT部门之外的部门打交道的时候,但信息安全管理工作的推进还是顺畅很多。
企业的CISO对现状的认识也比较深刻:打架的根源在于IT部门的性质是服务部门,核心职责是支撑好业务的运行,而信息安全管理的性质是踩刹车,是以平时给兄弟部门造成一系列小麻烦来防止突然有一天发生大麻烦。
 
3.规划
标准条款6:
当规划信息安全管理体系时,组织应考虑标准4.1中提到的事项和标准4.2中提到的要求,并确定需要应对的风险和机会,以:
确保信息安全管理体系可达到预期结果;
预防或减少不良影响;
达到持续改进。
组织应规划:
应对这些风险和机会的措施;
如何将这些措施整合到信息安全管理体系过程中,并予以实现;
评价这些措施的有效性。
案例分析:
企业的CISO说他们部门每年年初制定的年度工作计划就是ISO 27001标准中要求的规划,ISO 27001标准中要求的规划也就是他们部门每年年初制定的年度工作计划。
企业的CISO说ISO 27001标准的条款6给他最大的价值就是帮他建立了一套制定规划的方法和框架。用科学的基于风险评估和风险处置的思路来写,比之前简单地说投入人力和资金做某项目更容易说服上司。企业的人才和资金永远都是稀缺资源,别人说服上司新建一条流水线都是用这样的理由:投入1000万,3年就能回本,再之后就是XXX利润。信息安全管理工作是不能直接创造价值的,但可以通过减少损失的方式间接创造价值,比如CISO这样说服他的上司:
安全创造的年度价值=ALE安全投入前-ALE安全投入后-安全的年度投入成本
注1:上述公式的4个参数的单位都是人民币;
注2:ALE是年度损失期望的英文缩写,ALE=ARO× SLE;
注3:ALE的本质就是风险;
注4:ARO的本质就是标准条款6.1.2d)2;
注5:SLE的本质就是标准条款6.1.2d)1。
 
4.远程工作
标准条款A.6.2.2:
控制措施:应实现相应的策略及其支持性的安全措施,以保护在远程工作地点上所访问的、处理的或存储的信息。
案例分析:
企业的CISO说,ISO 27002的6.2.2条款提到了“虚拟桌面”,我们认为这是个非常好的信息安全控制措施,虽然价格较贵。封闭是最好的保护。在虚拟桌面的工作环境下,所有的员工物理上触摸的桌面和虚拟桌面之间是隔离的:物理桌面只是输入设备和输出设备,虚拟桌面才是计算设备和存储设备。
我们设置了禁止磁盘映射后,从虚拟桌面就无法把文件传回到物理桌面了,这大大降低了泄密风险。但虚拟桌面也有一些负面作用,例如确实工作上必要的文件传输,就要靠内网和外网间的文件服务器中转加审批和审计,效率较低;例如一旦断电断网,就无法工作,所以我们加强了供电和网络等的冗余。
 
5.资产清单
标准条款A.8.1.1:
控制措施:应识别信息以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单。
案例分析:
企业的CISO说,虽然ISO 27001的2013版相较于2005版放弃了基于资产、威胁和脆弱性的风险评估方法,他们也不再使用那种微软Excel表格制作的风险评估报告,但他认为实时地摸清自己的家底还是很重要的。该企业的资产没有按照硬件、软件、服务、人员和声誉之类的泾渭分明的分类方法,而是类似于CMDB,更强调CI之间的关联关系和依赖关系等,也更强调实时性和准确性。
该企业的资产清单不是一个表格,而是一个可以在任意节点点击钻取的网状结构的系统,该系统的数据主要来源于持续集成系统的各种发布,少量来源于本地扫描、网络扫描和网络流量抓包等技术手段,人工的增减删改原则上是禁止的。该企业的资产属性包括了:域名、IP、端口、接口、通用软件包、责任人等。
企业的CISO说,假如fastjson的某个版本被曝出存在安全漏洞,可以在几秒钟内列出受影响的业务、系统、域名、ip、磁盘文件路径等。
 
结语
数字化、信息化和互联网技术的技术应用在快速发展,但凡涉及有数据、有信息化和有互联网应用的企业都会涉及信息安全的管理。实践证明,单纯采用技术手段来保护信息和信息系统安全的作用是有限的,在缺乏良好管理的支撑下,有些技术甚至是无效的。通过信息安全管理体系并结合各种适用的控制措施(包括管理、技术和运行三方面) 才是组织信息安全的真正保障。