日常信息安全审计:用IT监控IT
自从2004年艾默生网络能源公司建立信息安全审计制度和信息安全体系以来,他已制作了不少类似Flash、小电影,以加深员工对信息系统安全的认识。
在艾默生网络能源公司位于深圳南山区科技园的大楼里,信息安全部经理杨世斌正指导同事做电影剪辑。他面前的电脑屏幕上,尼古拉斯·凯奇刚刚通过再现密码锁上的指纹和对几个数字排列组合的计算,破解了美国国家档案馆的密码,闪身进入机密档案室,寻找隐藏着国家宝藏秘密的那份《独立宣言》。
郭云凌: 我们要从整条供应链上,保证信息安全体系的完整。
这是美国大片《国家宝藏》中的经典片断,杨世斌小心地把这段剪下来,开始制作艾默生的信息安全宣传录像。自从2004年艾默生网络能源公司建立信息安全审计制度和信息安全体系以来,他已制作了不少类似Flash、小电影,以加深员工对信息系统安全的认识。
“保护神”
如今,IT系统几乎普及应用于企业运营的所有关键部分,因此一旦IT出现风险将会带来重创。于是,那些对IT系统依赖度强、组织结构复杂的大型企业开始引进信息安全审计制度,不断“审视”自身的信息安全。
2006年底,毕博信息技术(上海)公司通过了ISO27001的认证,成为中国第11个取得该认证的企业。这是一项针对企业整体信息安全体系的认证,通过它意味着企业的信息系统安全性得到了权威机构的认可。不过,通过认证并不意味着一劳永逸,毕博以后不但需要每年两次要“应对”相关机构的审计,它的IT部门还需要不断根据业务与市场发展,更新IT系统安全标准,以保证持续取得认证。据负责该项目的毕博信息技术公司高级IT经理江玮介绍,他们为了取得认证,“耗资巨大,单是硬件投资就有数十万美元,另外还有数十万美元用于改进软件系统”。此外,他们还做了多项重大流程修改。
对毕博信息技术公司而言,通过ISO27001认证的好处显而易见。毕博信息技术公司是毕博管理咨询公司的全球研发中心,负责咨询项目的IT系统研发部分,其承担的很多项目都涉及客户的核心流程与信息数据。2004年,毕博信息技术公司开始接到客户对其IT系统进行信息安全审计的要求;之后,有这种需求的客户越来越多,在2007年的前5个月,已有10家客户向它提出了信息安全审计的要求。
“过去,客户请来外审机构,要求我们改哪里就改哪里。”江玮说。然而随着有类似需求的客户逐年增加,“头疼医头”的做法使得毕博信息技术公司不得不付出巨大成本。于是,它急需建立一套完备的日常信息安全审计制度,以覆盖企业信息安全的方方面面,且得到市场认可。参照国际通行的ISO27001改进企业流程,建立相应的信息安全保障制度,无疑可以给客户吃下一颗定心丸——他们外包给毕博开发的信息系统与相关数据,都能得到“国际水平”的保护。
通过推进ISO27001安全标准,江玮将毕博信息技术公司相对松散的IT管理流程转化为集中管理模式,通过IT部门的统一控制来降低信息安全风险。他在客户端的管理上,采用了“瘦客户端”理念——员工对自己的电脑只有使用权,没有管理权,电脑中的所有信息都由IT部门进行统一管理和部署;用户禁止用U盘,也不能在电脑上安装、使用即时通信工具。
毕博信息技术公司借助引入ISO27001,还对管理流程进行了重新梳理,在原有流程中加入了很多为保证信息安全而设立的环节,并建立了相应的评估机制。以前,毕博信息技术公司基本没有规范的IT故障报送流程,遇到IT故障的员工会直接给IT部门打电话,而IT部门也会随便派一个IT人员处理故障。现在,他们增加了对IT故障的潜在风险进行评估和相应处理的流程,故障从报送入口就被统一起来,事故有相应人负责处理和记录;报送记录同时会被提交到 IT工程师和系统分析团队,前者负责处理事故,后者负责评估风险。
为了保证信息安全管理流程能落到实处,江玮建立了相应的制度。他将企业的硬件、软件和数据、流程、人定义为4大信息资产,分别指定了明确的责任人,用白纸黑字的制度文件固定下来,并制定了评估标准与周期,确定了可量化的考核指标,“这些都是为了避免问题发生时,出现互相扯皮的现象”。