兼顾安全与效率
去年10月在美国纳斯达克上市的上海如家酒店管理公司为了满足塞班斯法案对信息系统安全的要求,正在企业内部“紧急”推广信息安全审计制度。如家的技术总监邓树洪希望,自己能在信息系统的可控性与灵活性之间找到一个非常好的平衡点——“在不到半年的时间里,既要让我们的信息安全审计体系符合塞班斯法案,还要兼顾如家快速发展带来流程经常性变化。”于是,重新梳理流程、划分责权利不可避免。与众不同的是,邓树洪提出了“用IT来监控IT”的理念,将信息安全审计制度通过他们自己开发的IT总控系统落实下去。
塞班斯法案对于企业来说,只是一个用于控制财务风险的框架性标准。通常企业在合规准备阶段,都会聘请外审机构确定风险控制点。邓树洪在进行总控系统的设计之前,与外审机构有过几次开诚布公的详谈,明确提出了自己的“最低标准和关键控制点”。
最终,这些关键控制点被确定为如家关键应用系统中的5个控制层面——公司层面、开发/变更层面、日常操作层面、备份管理及安全控制层面。它们涵盖了IT战略规划、IT风险评估、组织机构/岗位职责、酒店管理系统、关键应用系统(数据采集系统、账户管理系统、后台的采购平台、CRS、CRM、财务管理系统、开发/变更)及IT系统的配置变更、重大故障等审批执行等流程。这些关键点的任何操作、更改和变化都要被信息系统记录下来,留待外审进行审计。如家自行开发的IT总控系统全部覆盖了这些关键控制点。
为了配合“监控IT的IT系统”,如家还将内部安全审计制度设计成一张大的流程控制表,把各个环节用流程号串起来。“这样,当一个新部门和一种新流程出现时,就相当于在这个大表里加入一个模块,只需把流程号重新排列一下,再串起来就是一个新流程;然后再根据流程定义相应的责任人。”邓树洪说。
如今,如家的总控系统已可以做到一旦新流程确定后,几个小时之内就可以完成总控体系的更改,且完全能符合信息安全审计制度的要求。
安全链
艾默生网络能源公司是全球最大的生产通信电源与相关设备的公司。最初,它的信息安全审计压力来自摩托罗拉、爱立信、诺基亚等大客户,于是它开始逐渐在企业内部建立了信息安全管理与审计制度。在内部制度建立完毕后,艾默生开始把“安全压力”转移到供应链下游,它要求自己的供应商也要接受相应的安全审计。“我们要从整条供应链上,保证信息安全体系的完整。”艾默生网络能源公司信息工程部总监郭云凌说。
由于外包业务的不断发展和供应链上不同企业间协同的增强,建立并对整条安全链进行审计,可以保证自己的核心知识产权不被泄密。有关专业人士指出,这种针对“安全链”的信息安全审计将会在国内大型制造企业中流行起来。
当供应商确定后,艾默生就会对它有定期或不定期的安全审计,看看供应商承诺的信息安全保护措施是否真正落实了。从去年开始,对于新增的供应商,艾默生实行了信息安全否决制——只要不符合他们的信息安全审计标准,就不能成为其供应商。目前,艾默生已对两家供应商提出了基于网络安全、病毒防护、数据保护、灾备等的审计标准。
郭云凌强调:“我们的信息安全体系必须与业务发展战略相配合。”艾默生最新确立的业务发展目标是在全球每个有研发的地方,都可以进行产品设计;同时,这些产品还可以在各地的制造合作伙伴处生产出来。这就涉及到不同地理区域和公司之间的文档信息交流,所以它的信息安全链必须保证全球战略的实现,保证文档信息在沟通和交流中不能出现泄密风险。
艾默生在通信电源和相关设备上,有着非常强的自主研发能力,每年申请的专利达上百个,“这构成了公司最重要的信息资产”。这也决定了艾默生面临的最大的信息安全威胁不是来自病毒或黑客攻击,而是来自企业内部。为此,2004年前后,艾默生开始建立自身的信息安全管理制度,信息安全审计制度作为管理体系的组成部分也在那时开始形成。郭云凌通过推动信息安全委员会的建立,将保障信息安全提升到公司的战略高度。这个信息安全委员会由CEO、CFO和所有副总经理组成。在信息安全委员会的指导下,郭云凌领导的信息工程部下专设了信息安全部,由3个人全职负责一系列制度的执行。此外,她还在在供应链、研发、市场、客服和财务等各业务部门都设置了一个信息安全专员,他们由信息安全部统一管理。
信息安全审计
信息安全审计是一种针对信息系统安全和可信度,所提出的安全评估方法。它在身份鉴别、访问控制、信息流控制、加密技术等多种安全措施的基础上,通过对已获得的数据进行评估,以及对信息系统及环境连续性、完整性管理的考核,从而评估信息系统的安全性。
在上世纪70 年代,伴随着多用户、分时计算机系统的普及,信息安全审计作为保障信息系统安全的制度逐渐发展起来;后来,它在对信息系统依赖性最高的金融业开始普及。一般而言,信息安全审计的主要依据为相关标准,如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800 等。这些标准从不同角度提出信息安全控制体系,基于它们可以有效地控制信息安全风险。(IT经理世界)
