一方面随着信息化工作的推进,组织对信息系统的依赖性越来越大,而另一方面漏洞曝光的速度越来越快,威胁的方式越来越复杂,同时信息系统等级保护、SOX法案、IT内控、ISO27001等信息安全要求越来越多,如何应对?“被动反应”还是“以不变应万变”?《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)》等相关文件都明确要求信息安全要“统筹规划、突出重点”。基于长期的信息安全服务经验、以及对信息安全的持续跟踪研究,为客户提供信息安全规划服务。
服务定义
信息安全规划指基于客户实际情况,参照国内外信息安全相关标准指南及最佳实践,采用科学、系统的方法调研信息安全现状,挖掘客户在信息安全管理、运作、技术等层面的安全需求及相应的差距,提出后续3至5年的信息安全建设规划。
信息安全规划服务包括如下内容:
1) 通过文档审阅、问卷调查、脆弱性扫描、本地审计、人员访谈、现场观测等方式,了解被服务单位的信息安全现状;
2) 根据客户的外部环境(如相关的法规要求)和内部环境(如信息化战略),确定信息安全战略;
3) 基于信息安全战略,识别在信息安全管理、信息安全运作、信息安全技术等方面的信息安全需求;
4) 分析信息安全现状和信息安全需求之间的差距,确定改进措施,并规划相应的安全项目。
通过信息安全规划服务,被服务单位可以:
-
前瞻性地处理安全问题和要求
-
清晰理解当前的信息安全现状
-
在安全投资上的决策更加科学
-
提高内部人员的信息安全认识
1) 前瞻性地处理安全问题和要求
规划是基于被服务单位的信息安全现状以及自身内外环境的信息安全要求,参照国内外信息安全相关标准指南及最佳实践而编制的,因此使得被服务单位可以合理地利用资源、主动地应对安全问题和要求,而不是在危机到来时再被动地加以响应。
2) 清晰理解当前的信息安全现状
规划过程将从信息安全管理、信息安全运作、信息安全技术等多个方面综合评价组织的信息安全现状,从而使得被服务单位将清晰认识现有信息安全体系在安全管理、日常运作、技术措施等方面的现状。
3) 在安全投资上的决策更加科学
规划过程将分析被服务单位自身的业务和信息化工作对信息安全的要求,并结合相关的外部环境要求,确定被服务单位自身的信息安全战略,在此基础上,确定相应的信息安全需求,从而后续的信息安全建设都是基于被服务单位自身的信息安全需求为指导来进行,而不是单纯从理想的信息安全体系来提出建设建议,因此信息安全规划结果将是信息安全投资的可靠依据。
4) 提高内部人员的信息安全认识
规划过程中规划人员将与被服务单位人员密切合作。通过回答规划人员提出的有针对性的问题、填写精心设计的调查问卷、确认由现状所获得的评估发现等,被服务单位的管理、业务、技术等人员将逐步提高对信息安全的认识。信息安全规划服务分为计划准备、现状评估、需求分析、项目规划、项目验收5个阶段,每个阶段由不同的任务组成,如下图所示:
-
《信息安全现状评估报告》
-
《信息安全需求分析报告》
-
《信息安全项目规划报告》