4、COBIT在信息安全管理中的应用

　　结合实际情况研究COBIT中与信息安全管理有关的三个流程如何在企业环境中应用，并使用名为SW的一家贸易企业作为示例。

　　4.1风险评估

　　在风险分析过程中，最开始考虑的有两方面的内容：一个是对企业资产的识别，另一个是对威胁的识别。

　　1)确定资产

　　SW拥有很多宝贵的信息资产，范围包括从电子邮件到客户基本数据，以及客户需求预测报告等。作为一个贸易型企业，员工频繁地通过电子邮件、电话和传真机与客户联系业务，因此邮件服务器和通讯系统对业务的成功是必不可少的，相比而言，企业内部的业务管理信息系统就不那么重要了。

　　2)确定威胁

　　通过电子邮件传递的客户需求预测报告面临由内部人员故意或无意的非授权访问或操作形成的完整性和机密性损失的威胁。

　　3)确定漏洞

　　考虑SW的客户需求预测报告面临的完整性和机密性损失威胁时，可以找出以下三个漏洞：(1)员工滥用数据而造成的泄露；(2)数据从局域网主机被盗；(3)数据从移动计算设备中被盗。

　　4)评估资产暴露程度

　　(1)由于员工的滥用而造成的完整性和机密性的破坏可能对企业造成损失，也会导致严重的或高度的损失，因为员工更加了解客户数据的特性。

　　(2)发生在LAN主机上的客户数据被盗造成的完整性和机密性损坏会导致严重的或高度的损失。发生可以在短时间内收集多个客户数据的自动化攻击时尤其如此。

　　(3)发生在移动计算设备上的客户数据被盗造成的完整性和机密性损坏，但是可能不会太严重。损失程度有一定限制，因为各个业务员只能访问其管理的客户数据，造成的损失将较小。

　　5)确定现有控制措施和利用可能性

　　(1)员工滥用数据而造成的泄露：员工和企业签订了保密协议，通过电子邮件发送客户数据不会被检查。(2)数据从局域网主机被盗：LAN按照部门划分域，不同的域之间有严格的访问权限，但是属于相同的域的员工可以互相访问对方在文件服务器上的文件。(3)数据从移动计算设备中被盗：业务员使用的笔记本电脑由个人负责保管，但是没有要求核查其中是否含有机密的客户数据以防止泄露(客户数据规定只能存放在文件服务器上)。

　　6)风险衡量(定性分析方法)

　　应用以上方法可以确定不同风险的优先级，并形成风险优先级列表，如表1和表2所示，对于风险级别高的资产应该优先分配资源进行保护。

　　7)安全控制

　　通过风险评估对风险进行识别后，风险管理的下一步工作就是采用成本效益的方式对风险进行安全控制，以确保风险降低或消除。组织有两种处理风险的基本策略：可以接受风险，也可以实施降低风险的控制措施。如果选择接受风险，则叮以决定将全部或部分风险转移给第三方，例如保险公司或管理服务公司。

　　8)实施控制以降低风险

　　第一步，针对风险定义功能要求：针对客户数据从移动计算设备中被盗的风险：必须确保客户数据没有长时间地保存在移动计算设备中。

　　第二步，确定控制解决方案：为每个风险制定潜在控制措施列表，以满足该风险的功能要求。员工滥用客户数据而造成泄露的风险可以通过明确员工对相关信息资产的责任，在文件服务器上安装审计软件监视对客户数据的输出和更改。

　　第三步，根据要求审奁解决方案：信息技术人员试用审计软件检查是否能监视对数据的操作，以确定实施这种验证是否能满足功能要求。

　　第四步，评估风险降低程度。

　　第五步：评估解决方案成本。

　　第六步：选择风险缓解方案。

　　4.2业务持续性计划

　　业务连续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。

　　1)项目启动

　　(1)获得管理层的支持与投入，为了确保该程序能够成功，高级管理层必须参与其中。同时业务持续计划必须成为公司的战略性业务计划之一，并且公司必须设定合理预算。

　　(2)建立团队，人员包括财务部、审计部、信息技术部、人事部、行政部等等。

　　2)风险分析与业务影响

　　两个主要因素：一是引起业务中断的事件，如设备故障、自然灾害；另一个是每个中断对组织产生的影响，包括损害、恢复与替换的费用，以及因业务中断造成的损失。

　　3)业务持续计划的制定和实施

　　计划制定过程中，主要分析业务持续计划的成本、效益和潜在风险，在制定计划之前，要须考虑下列措施是否已经存在：

　　(1)变更控制流程。

　　(2)最终用户的标准操作流程。

　　(3)操作人员的具体需求和特殊外围设备需求。

　　(4)数据流图表及问题管理程序。

　　(5)重要记录。

　　(6)磁带备份/记录管理。

　　(7)日常安排异地存储。

　　计划制定之后，还要进行测试和维护，以及人员的培训工作。

　　4.3确保系统安全

　　1)确定要保护的信息资源

　　数据：业务数据，客户资料，生产报告。

　　应用系统和技术：业务信息系统，数据库系统，网站，电子邮件系统。

　　设备：打印机，传真机，台式电脑，笔记本电脑，邮件服务器，文件服务器，防火墙，交换机。

　　人员：公司所有员工。

　　2)数据分类

　　(1)按照数据保密性大致分三类

　　外部的：参加各种展览会的资料，对公共网页的阅读权限，已发布的新闻稿、产品小册子、白皮书和随发行产品提供的说明文档，过时的企业信息或有形资产。

　　内部的：报关资料，手册。出货单，装箱单，雇员名录，采购订单数据，网络基础架构设计，内部网站信息以及关于仅限于内部业务使用的内部文件共享的数据。

　　机密的：客户资料，财务数据和知识产权，密码，信用卡号码和截止日期。

　　(2)分类的数据管理

　　机密信息应该以适当的形式进行信息标注，如：打印报告可采用盖章的方式；记录的媒介可采用实物标签的形式；屏幕显示采用电子形式标注。

　　员工：每天工作结束离开的时候确保所有在适当存储器中信息安全，清理自己的桌面。例如关闭电脑以及电源，把敏感的资料锁进柜子或者抽屉，确保桌面上没有文件上包含可读的机密的信息。

　　打印机和传真机管理员：确保每天工作结束时没有机密的和内部的文件遗留在机器旁边。销毁分类数据常常通过粉碎、焚烧或者转移到提供授权文件销毁的服务中去。确保没有分类信息被不适当地放置到垃圾箱或回收站中。当分类信息的备份不再有价值或者多余时，通过双重签名确认后.应该注意销毁不需要的备份。

　　(3)签订保密协议：

　　①与客户签订保密协议，明确需要保密的数据和保密措施和责任划分。例如，客户在传真定单等机密信息之前必须以电话或者邮件通知业务员，等确认后再传真过来，尽量减少传真件在公共传真机旁暴露的时问。公司用邮件、传真、文本邮递等形式发送给客户的数据中如果有机密信息的应该用适当形式明显地标明“机密信息，请注意保存，禁止向第三方泄露”。

　　②与员工签订保密协议，作为雇佣合同基本条款的一部分，明确规定雇员对组织信息安全的责任，保密要求及违反约定的法律责任。对于试用期的新员工，要求他们签订一个保密承诺。

　　③在允许第三方使用信息处理设施之前要求他们签订保密协}义。例如网络服务提供者和信息发布站点建设者为了调试进入信息系统的情况。

　　3)访问权限控制(以SW业务相关处理举例)

　　对文件的操作：a读，b删除，c添加，d修改，e打印，f复制，g无访问权限。

　　访问者：业务员、证员、业务经理、物流部、生产计划部、核销部、财务部。

　　访问对象：客户名单、定单、销售合同、生产通知单、装箱单、发票、出口财务发票、进料加工手册。(SW中与业务相关的文件访问权限以及定单各个属性访问权限分配表略)

　　4)用户安全教育和培训

　　安永2004全球信息安全报告指出员丁缺乏信息安全意识已经成为有效信息安全控制的头号障碍"。因此加强用户安全教育和培训，对于企业信息安全管理非常重要。

　　除了定期对用户提供教育和培训外，还要考虑以下情况：

　　(1)开发和更新IT可持续性计划后。

　　(2)安全事故发生后的或者意识到有潜在的安全隐患。

　　(3)新员工加入。

　　(4)外部信息安全环境发生变化，如新的有关信息安伞的法律颁布，新威胁和新技术的出现。

　　(5)内部信息安全环境发生变化，如新加入的系统和应用程序。

　　5)安全事故监控和故障反映

　　(1)报告安全事故。明确信息安全事故的报告方式，报告的内容，报告的受理部门，即建立一个信息安全事故报告的渠道，以便信息安全事故发生后，发现者能及时将事故报告给受理部门。

　　(2)报告安全弱点。信息服务的用户发现任何可见或潜在的系统或服务的安全薄弱环节或威胁时，要求用户对其进行记录并及时报告给有关部门。

　　(3)报告软件故障。明确规定软件故障报告的方式，报告的内容，报告的接受和处理肯及有关安全要求。

　　(4)归档一个事故。记录事件的人员、特征、时间、地点、原因、影响范围等。

　　(5)事故遏制策略。停止或遏制事故的影响范围。

　　(6)事故恢复。评估事故破坏程度，然后进入恢复过程。

　　(7)从事故中吸取教训。建立相应机制，对发生的事故和故障进行记录、测量和监控，确定事故与故障的类型、严重性、损失情况，分析事故与故障产生的原因，从中吸取经验教训，防止类似情况的再次发生。

　　(8)惩戒过程。当员工违反组织信息安全方针或程序时，应该按照规定对其进行惩戒。手段可以是行政和经济等方面的处罚。

　　5、结论

　　通过对COBIT的实际应用，对基丁COBIT的应用实施有以下几点体会：(1)采用前瞻性的管理方法应对企业面临的信息安全风险。风险评估和业务持续性计划中都包涵了动态的管理思想，既编制计划，执行计划，监视行动，纠正计划，再执行计划的循环。使得企业的安全防护总是处于不断的更新当中，实际发生风险的时候不会再手忙脚乱。(2)考虑安全控制措施时始终遵循成本效益原则，真正把信息安全管理和企业的最根本目标结合在一起。能使企、啦感觉到投资的成效，从而形成一个良性的循环，使企业愿意在信息安全的管理七进行更多的投资，促进整个社会对信息安全的认识。(3)明确安全责任。承担责任意味着要付出代价，这就促使企业的成员在行为之前考虑相应的后果，从而减少由于员工无意识引起的安全事故。(4)重视人的因素。COBIT的详细控制目标中经常出现“培训”这个词。在漏洞分析中，巾于人为因素形成漏洞的影响和发生可能性都足最大的。

　　COBlT作为专注与信息技术的管理标准在信息安全管理方面给企业提供了很好的参考标准，企业可以把它作为努力的方向，通过实施COBIT的控制目标来实现对信息安全的有效管理或者进一步提高管理质量，但是COBIT以行业非常好的实践为基础，并非针对具体企业的，不是每个企业都必须实施COBIT中所有涉及信息安全的控制目标，实施COBIT需要的企业预算作为支持，因此企业需要根据预算、企业文化、人员配置和信息资产面临的风险有选择地分步地实施COBIT。