0x01 信息安全管理标准,其实是安全底限标准
信息安全管理目前成熟的标准较多,常见的有ISO/IEC 27000族标准(囊括27001至27012所有标准)、公安部主导的等级保护标准(涉及国计民生的各信息系统均需依照此标准建设信息安全,如政府、教育等行业)、国家保密局主导的分级保护标准(所有涉密系统和涉密单位必须遵守的信息安全标准)、上市公司必须遵守的萨班斯法案等。
看似不同行业需遵从的标准过多,不利于理解和建设,实则本质是相同的。
毕业之初曾有幸参与某国有研究所的分级保护测评项目,对这一密不外宣的分级保护标准有过一定时间的亲密接触。分级保护标准由于其涉密性,除因特殊工作外,这套标准原文只允许在当地保密局借阅。现在开始学习ISO27001之后才发现,其实两套标准的核心是惊人类似的。
归结成一句话即是:信息安全管理标准,其实就是安全底限标准,其核心就是以某种划分依据将信息系统、信息资产分为相应的保护层级,分类设计保护措施和管理流程。所有标准要求的管理流程、管理方法、技术措施,都是对一条底限的不断描述。只要不突破这一底限,信息安全管理就是基本可信的,风险就是处于可控状态。
ISO27001的附录A就是ISO27002的纲要,相当于一个信息安全的最佳实践集合,罗列了133条控制措施,这些措施即是信息安全实践的底线而不是全部。在具体实施过程中可以按照组织特点无限制增加控制措施。一旦缺少了某些控制措施,则信息安全建设体系就不完整,也即某一方面的安全管理存在短板和风险,这样的安全管理体系就不是可信赖的。
0x02 信息安全建设的目标绝不能闭门造车
很多企业的信息安全建设目标,都是安全部门或者IT部门单独设计的。这样的管理在安全建设之初不会有明显问题,但时间久了无法保证安全建设方向与企业要求保持一致。
ISO27001标准明确之初了这一问题。标准在0.2章节描述“过程方法”时指出:
a.理解组织的信息安全要求和建立信息安全方针与目标的需要;
b.从组织的整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;
简单理解就是,信息安全建设的目标必须保持定期与企业管理层(甚至董事长本人)保持沟通确认,从企业发展战略或五年规划/三年规划出发,从IT本身建设方向出发,设计符合这些方针、方向的信息安全目标,确保安全工作有的放矢,方向不乱。同时,也只有企业最高决策层认可信息安全建设目标,才可以确保每年在信息安全方面的投入不被克扣。
ox03 信息安全建设的成果必须可考量
在0.2章节描述“过程方法”中,标准这样说道:“基于客观测量的持续改进”;
这点读起来拗口抽象,但我理解其重要性特别高,甚至可以一定程度上决定安全组织的存在与否。
任何组织的发展都必须保持PDCA循环的持续改进,这样的发展才是健康、有序的。这样的组织,才可以建设可信赖的安全体系。
那么,持续改进的输入是什么呢?零散的问题挖掘可以一定程度上驱动安全体系的改进优化,但零散问题的挖掘并不系统,也不能保证全面性,导致的结果就是改善并不能确保连续性,改善的方向也不能保证科学正确。因此,标准要求必须有客观的后果测量。简单说就是绩效要可衡量。如何衡量一个安全体系的绩效与成果呢?这就要求必须设计有一套完整的KPI体系,比如病毒感染率、网站攻击拦截率、机密级以上文件外泄比率等等,通过一套公式或考核办法,计算出阶段性安全成果,依次来考量安全体系的绩效与成果。这样的考核机制不仅可以提现安全组织的工作成就,也可以显性的识别出安全建设的短板,从而持续改进信息安全体系。
0x04 驳信息安全标准无用论
在乌云论坛看到一位核心白帽子说,标准神马的太死板,没有生命,限制了思想自由,目的是一劳永逸和忽悠老板。
窃以为,这是不理解标准内涵的看法,也是对标准的误解。
诚然,依据ISO27001建设的安全体系也不能保证企业网站永不被攻破,更不能保证企业网络永不被黑客成功渗透。那是否可以以此判断标准无用呢?显然不是。安全标准是行业内多位专家根据不同国家不同行业的成功实践经验,凝结成的管理套路。因此,ISO标准从不限制使用行业,他是普遍适用的。当各行各业的安全建设尚处于无序和盲目的阶段时,只有依据这样规范的、系统的标准来建设信息安全管理体系,才可以确保安全管理工作的完整与可靠。
同时,ISO标准核心的PDCA理念,也是一个企业、一个组织开展任何工作的制胜法宝,这种科学的理念是不容置疑的。
标准是为了让管理更科学、更系统,而信息安全工作历来是管理+技术并重的思路,因此,在管理可靠的基础上还需要引入安全技术的力量。比如安全风险评估、渗透测试等等工作,都离不开技术力量的支持。这时,白帽子们擅长的攻防技术、攻击技术就有了用武之地。
抛开技术谈管理,是纸上谈兵。
离开管理玩技术,是没头苍蝇。
