在前面的文章中,我们了解了信息安全策略的重要性以及如何做好信息安全策略,本文我们介绍信息安全建设过程中另外一项重要工作——三大体系:组织管控体系、技术管控体系和运营管控体系。

山东省软件评测中心根据多年信息安全建设经验,简单总结以上三大体系,希望能给大家带来帮助。下图为信息安全体系框架总体结构图。

信息安全体系框架总体结构

从上图可以看出,信息安全体系主要是由安全技术体系、安全组织与管理体系以及运行保障体系三部分共同构成的。

在前面的文章中我们了解到,安全策略是指导。安全策略与安全技术体系、安全组织和管理体系以及运行保障体系这三大体系之间的关系也是相互作用的。三大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。

(一)组织管控体系

组织管控体系是安全技术体系真正有效发挥保护作用的重要保障,组织管控体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。

技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。

组织管控体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。信息安全管理体系一共包括了12项管理类:安全策略与制度、安全风险管理、人员和组织安全管理、环境和设备安全管理、网络和通信安全管理、主机和系统安全管理、应用和业务安全管理、数据安全和加密管理、项目工程安全管理、运行和维护安全管理、业务连续性管理管理、合规性(符合性)管理。

(二)技术管控体系

技术管控体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这三个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。

安全基础设施平台是以安全策略为指导,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。

安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题,应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。

安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡到安全的信息系统应用体系。

统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。

技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。

(三)运营管控体系

运营管控体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行保障体系对于组织信息化的可持续性运营提供了重要的保障手段。