我的《信息保卫战》读书笔记：信息安全框架基本内容

企业信息安全建设围绕企业信息安全框架的基本要素，分为安全管理、安 全运维、安全技术建设三个层面，并且在各个层面自成体系，依据框架不同视 图之间的关系，相辅相成。本节分别阐述企业信息安全框架中的二级、三级要 素视图。

一、安全管理

企业信息安全管理体系框架是企业信息安全框架中的业务视图，是企业信 息安全目标的分解视图，依据ISO 27001的信息安全管理体系要求，采用“计 划、实施、检查、改进”过程模式建立企业的信息安全管理体系，如图6-5 所示。

(1) 计划： 依照企业整个方针和目标，建立与控制风险、提高信息安全有关的安全目标、指标、过程和程序。

(2) 实施：实施和运作方针（过程和程序）。

(3) 检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

(4) 改进：采取纠正和预防措施进一步提高过程业绩。

以上四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体 系得到持续改进，使信息安全绩效螺旋上升。对应策略、实施、检查、改进四 个环节，企业信息安全管理视图可包括以下流程：合规管理、信息安全管理、 信息安全策略管理、风险评估管理。其中，合规管理是企业信息安全管理体系 的基石，信息安全治理与策略管理是企业信息安全管理体系的主体梁架或骨 架，风险评估管理是企业信息安全管理体系建设 的重要内容，如图6-6所示。

合规管理：对外部监管机构、法律法规相关 要求定期跟踪、收集的流程，为满足监管要求对 企业制度的分析与更新流程。其包括合规采集、合规审计等指标。

信息安全管理：针对企业整体信息化和信息 安全战略目标及业务目标，对组织、结构、人 员、制度、考核等相关规划、设计与贯彻的过 程。其包括规划管理、制度管理、资源管理、人图6-6企业信息安全管理视图 员管理、监督管理、违规管理、外部管理等 指标。

信息安全策略管理：企业信息安全业务的整体规划和落实计划的建立、更 新与废弃等流程，包括规划、方案设计、落实等指标。

风险管理：企业对由于管理流程及资源缺失或不足、自然因素、人为因素 和技术漏洞产生的操作、法律、声誉等风险的识别、评价、处置等流程，包括 风险识别、风险评估及评价、风险处置、整改等指标。

二、安全运维

企业信息安全运维体系在企业信息安全框架中是信息安全的系统功能视 图，是企业信息安全业务目标与信息化各个环节相关联后，企业信息安全目标 的系统化分解、系统化运行的核心视图。

在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过 程。安全运维与IT运维相辅相成、互为依托，共享信息资源。企业安全运维 主要包括安全监控、事件响应、事件审计、外包服务等流程，如图6-7所示。

安全监控：重要功能需求主要包括安全事件的收集、安全事件的归并和过 滤、安全事件标准化、安全事件显示和报表。 

事件响应：需要企业安全人员提供工具、工作流以及报告，可减少攻击识 别和补救之间的时间，风险处置流程分为自动响应和工单管理两大部分。

事件审计：对用户操作行为、维护行为记录的分析与处理过程。不建议将 安全审计外包。

外包服务：安全外包是将自身的安全运维工作外包给外部专业的安全管理 服务商，依赖外部的专业力量来协助组织自身的安全运维工作，实现安全托管。

技术体系更多是解决安全风险点的问题，也就是我们常说的“就事论 事”：有病毒杀病毒、有漏洞补漏洞等等。但是我们知道，信息分散在一系列 工作流程的各个环节中，因此需要对各项日常运行工作流程进行安全控制，也 就是从信息的生命周期进行流程控制，即在信息的创建、使用、存储、传递、 更改、销毁等各个阶段进行安全控制。在运维体系建设中，往往需要结合 ITIL、COBIT等流程分析来关注信息的生命周期安全。

三、安全技术

企业信息安全技术体系是企业信息安全的技术视图，是企业信息安全业务 目标与信息化各个环节关联后，在信息安全技术方面的技术指标分解。它主要 包括物理安全、基础架构安全、身份/访问安全、数据安全和应用安全的技术 机制和技术管理等流程。技术是安全必不可少的实施工具，采取哪些安全技 术，市场上有哪些工具可以使用，这是绝大部分信息安全管理工作者最关心的 话题。一般来说，可以按照从上到下信息所流经的设备来部署工具，即从数据 安全、终端安全、应用安全、主机安全、网络安全、物理安全六个方面来选择 不同的安全工具。信息安全工具种类繁多，一般而言，每一种工具都有其擅长 的安全方面，因此应按照“适度防御”原则，综合采用各种安全工具进行组 合，形成企业“适用的”安全技术防线。最后，需要一到两种提供综合管理的 工具来帮助把所有的安全监控工具进行统一管控。这个和最终希望呈现给使用 者的目的有所不同。例如，SOC (安全运行中心）是给企业日常维护管理者使用的；ITRM (风险管理工具）作为综合风险呈现，是给企业风险或安全管理层 使用的。信息安全技术体系如图6-8所示。