隆峰 谢宗晓(南开大学商学院)
信息安全规划思路初探
隆峰谢宗晓
(南开大学商学院)
摘要:信息安全规划是信息安全建设整个过程中的重要一环,相当于信息系统建设或软件开发全生命周期的总体设计阶段,是为整个信息安全工作“理思路、定框架”。本文从信息安全规划的概念、建设思路、一般方法等进行初步探讨。关键词: 信息安全信息安全规划流程信息安全架构
谢宗晓 博士
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文38篇,出版专著12本。
信息安全管理系列之十二
目前大多数企业的信息安全建设属于“事件触发型”或“项目建设型”,在发生信息安全事件时才想起来进行信息安全的投入和建设,在建设时也没有进行体系化和有针对性的考虑和设计,仅仅以单个信息安全产品、服务进行堆叠,头痛医头,脚痛医脚,而最终效果却不理想,信息安全部门成为救火队疲于奔命。为构建信息安全纵深防御体系和全面防护能力,应当对信息安全工作进行顶层设计和全面规划布局,明确总体工作思路、任务和重点,才能最终建立科学、合理、有效的信息安全管控体系。本文对信息安全规划及其相关问题进行初步探讨。
谢宗晓(特约编辑)
规划是个人或组织根据自身发展需要,对战略、需求、目标进行分析,从战略性、长远性、全局性、方向性上考量,进而形成指导一定时期内企业生存与发展的可执行方案。
不同于“计划”侧重于短期性和偏战术、执行层面,规划更多考虑的是战略层面的布局,是在“可预见的未来”条件下的行动路线(而不是行动指南)。信息安全规划作为企业战略在信息安全方面的落实和扩展,是以企业整体发展战略、信息化规划为基础,考虑外部合规、内部管控需要,诊断、分析、评估企业信息安全差距和需求,并结合信息安全最佳实践以及发展趋势,总结和提出企业信息安全建设的远景、目标、框架、任务和行动路线的过程。
信息安全规划按照一般方法主要分为几个阶段(见图1)。
图1 信息安全规划几个阶段
支撑企业信息化,保障企业信息系统和网络安全、可靠,是信息安全的首要、直接目的,而信息化又是以支撑企业业务为主要目的的,企业业务服务于企业发展战略,因此,要找准信息安全的定位,就应在规划时自上而下考虑企业发展战略、业务目标、信息化建设规划、外部监管合规、内部管控对信息安全的需求,具体如表1所示。
表1 需求理解
信息安全在规划时应首先考虑框架性设计,在总结信息安全现状、需求、工作环境、工作指导思想等影响因素之上,参考成熟信息安全模型、最佳实践框架、技术标准架构,来构建信息安全的总体边界、内容框架、思路方法。概要设计中应制定信息安全的愿景和使命、总体目标、方针、总体框架。
(1)应确定信息安全顶层设计的指导思想,上级直管部门工作要求以及高层领导战略决策都可能成为指导信息安全工作思路的重要参考;(2)应清楚信息安全建设的愿景和使命,从发展、远景战略角度阐述信息安全工作的重要意义以及应产生的积极作用;(3)应明确信息安全的总体目标与方针,从服务企业业务与保障信息化的角度阐述信息安全要起的主要保障作用和建设效果;(4)应设计信息安全的总体框架,总体框架应有模型或理论支撑,与指导思想保持一致性,和信息安全工作重点、紧迫性需求、差距短板等进行结合,逐步形成完善的思路和框架,保证其符合当前现状以及一定时期内的期望,并与前文描述的需求相匹配,突出重点,有针对性,切忌大而全、“放之四海而皆准”。
信息安全概要设计中至少应包括表2中的内容。
表2 概要设计
概要设计是明确了信息安全的主体思路和工作框架,如何将相关构想落实到具体工作中,调动相关的人财物等资源进行优化配置,部署相关的技术措施和管理手段,建立起规范的工作流程以进行实践并有效运转,还应将信息安全框架进行细粒度分解,形成详细的工作任务以指导实施。工作任务的来源可以是标准规范、最佳实践或者同行案例,也可以是信息安全差距分析结果或者来自于业务的需求。应将工作任务分解成相互独立的任务单元,为体现工作任务的可实施性,还应明确工作任务的目的、内容、组织实施方式、实施周期、投资预算、影响因素等,相关描述不应过细,但是也不能太模糊太笼统,应能指导项目具体实施。具体见表3。
表3 工作任务分解要素描述
各工作任务导出后,要在规划时间段内将工作任务完成,还应进行优先级排序,厘清各任务间关联因素,考虑外部环境、资源调配、执行风险等各方面影响因素,将各项工作任务合理安排到规划的工作时间段中,以逐步落实各项任务的高效、有序、阶段性进行。
对任务优先级排序可能产生的影响因素见表4。
表4 工作任务优先级影响因素
任务优先级设定时可针对以上因素做定性分析或专家讨论,也可进行定量分析,生成影响因素矩阵图,对紧迫性高、实施难度低的任务优先进行,紧迫性低、实施难度高的延后进行,并最终形成建设时间阶段内的任务实施蓝图。
在信息安全建设中,需要权衡安全、成本、效率三者的关系。实际上,信息安全是“相对的安全”,信息安全防御手段总是滞后于攻击技术的,人力、物力、财力也是有限的,信息安全投入过高则会“过度保护”,造成资源上的浪费,投入不足则导致信息安全风险不能有效管控,存在造成难以挽回的经济、声誉损失的可能。因此,企业在对信息安全活动进行资源分配时必须对成本和收益进行分析比较,找到其中的平衡。
参考文献
[1]辛玉红. 企业信息化建设中的信息安全问题[J]. 现代情报,2004(11):205-207.
[2]孙剑颖. 企业信息安全投资的经济学决策模型浅析[J]. 东北财经大学学报,2005(03).
[3]林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社,2015.
Discuss of Information Security Planning
Long Feng, Xie Zongxiao
( Business School, Nankai University )
Abstract:Information security planning is an important part of the whole process of information security construction. It is similar to the overall design phase of the whole life-cycle of information system construction or software development. It is used to comb ideas and make a framework for information security. This paper discussed concepts, principles and process of information security planning.
Key words:information security, process of information security planning, information security architecture