信息安全管理与等级保护 [2007-07]

     随着信息时代的来临，信息安全成为影响组织机构乃至于国家安全的重要因素，国家从2003年到2004年先后发布27号文件和66号文件，并提出了信息安全等级保护的概念，在全国不同行业不同的机构和企业中进行了试点，其他非试点单位也呈现出纷纷效仿之势。本文就将重点关注组织机构的信息安全管理工作与国家提出的等级保护概念之间的关系，以及如何以等级保护为基本思想，进一步完善组织机构自身的安全管理体系。<!--more-->
    应该说，信息安全管理是一项个性化相当强的工作，“等级保护”的确抓住了要点，就是以业务为核心，围绕业务级别的高低和业务的范围，来制定相应的技术保护策略、管理保护策略和运行管理策略，这是机构和组织做好信息安全管理的唯一途径。可是安全要在不同的行业中找到统一的，具有高度执行指导意义的业务分级标准，显然是极其困难的，这也是等级保护只能作为一种思想而不是标准存在的原因。
    不过令人遗憾的是，很多客户过分的将采购“基于等级保护”的信息安全咨询服务看作是信息安全管理工作高质量的体现和实现高度安全的灵丹妙药，这其实是很危险的一种思想，而这种思想也一定程度上导致了服务公司对形式的重视超过了实际服务效果的关注，安全咨询工作过于泛泛，缺乏对实践的执行和持续推进的动力。
就以政府机构为例，要把信息安全管理真正落到实处，我觉得除了深入理解等级保护的实质内涵之外，还有两个要点。
    一个要点是为信息安全管理提供持续推进的动力。在所有的信息安全标准中都无遗漏的强调安全是一个动态的过程，需要从管理、技术两个层面进行支撑，可是现实的很多等级保护咨询项目，真的就如同传统的系统集成项目一样，评估出的大量漏洞和问题，没有落实成可行的工作计划与时间表，很多管理的工具和方法没有交付给客户以保证持续利用，很多信息安全相关的文档成为了申报材料的一部分却没有成为组织日常管理的一部分。这些都是缺乏持续推动力的结果。第一次等级保护评估的意义就在于，建立组织内部的安全管理意识，建立弥补现有漏洞所需工作的计划，同时积累沉淀一套适应组织业务特点的安全管理措施、制度、流程和文档管理规范以利于后续使用。服务商的工作如果不可交付，那么等级保护咨询就基本只能成为一个一次性的项目。
    第二个要点是要准确把握组织机构乃至于行业的应用发展变化趋势。等级保护中的保护一词，除了保护现有系统的安全之外，我们还应该赋予其预先防护的内涵，各个行业的业务应用都处于不断的变化之中，如果总是围绕着现有业务系统建立保护机制，一个时期过后，必然产生保护机制重叠、冲突的现象。但如果组织机构能够以更有前瞻性的眼光，较为准确把握行业业务变化的未来趋势，并围绕这未来的核心业务提供统一的防护计划，方是更有效率的安全体系。以政府行业为例，在2006年国家电子政务工作会议上，总理发言中强调，2010年以前，政府机构50%以上的公众服务都应能够通过互联网处理，换言之，我想今后5年的电子政务建设主题将是围绕门户网站为载体，打造一体化的公众服务平台。届时，有关门户网站安全的问题就不仅仅是主页防篡改那么简单了，其中必然涉及多业务系统的整合、业务网与互联网的数据交换安全防护、身份认证管理等大量的领域。在政府机构中，围绕门户网站的安全管理体系建
设，就是确保安全管理工作有效性的重要切入点。
    现有的多数信息安全咨询服务的交付，虽然都在尽可能的贴近国家等级保护这一好的标准，但是共同的缺陷则在于过分关注“现有”，忽视了业务的变化和应用发展。但在国家信息化建设快速发展的今天，建立适应行业个性化特点的动态安全管理体系才是服务产品差异化竞争的核心价值观。
    总之，信息安全管理是专业化和个性化要求都相当高的一项工作，在充分利用国内外领先思想评估、加固现有应用系统之外，为信息安全管理提供持续的管理驱动力，并准确把握未来的业务发展趋势，都是组织和机构的相关人员所需的思考和行动。
推荐到鲜果： 查阅更多相关主题的帖子: CIO 信息化主管沙龙 安全