信息安全工作计划

目录学习目标...................................................................................................................................21.1.引言.............................................................................................................................21.2.计划的组成部分...........................................................................................................31.2.1.前景...................................................................................................................41.2.2.价值声明...........................................................................................................51.2.3.战略...................................................................................................................51.2.4.制定机构计划...................................................................................................61.2.5.计划分级...........................................................................................................81.2.6.计划的制定与首席信息安全官.......................................................................91.2.7.观点(viewpoint)...........................................................................................111.3.信息安全实施计划.....................................................................................................131.4.系统开发生命周期介绍.............................................................................................151.4.1.调查阶段.........................................................................................................161.4.2.分析阶段.........................................................................................................171.4.3.逻辑设计阶段.................................................................................................171.4.4.物理设计阶段.................................................................................................181.4.5.实施阶段.........................................................................................................181.4.6.维护阶段.........................................................................................................181.5.安全系统开发生命周期.............................................................................................191.5.1.调查阶段.........................................................................................................191.5.2.分析阶段.........................................................................................................201.6.安全系统开发生命周期实施阶段.............................................................................281.7.观点.............................................................................................................................371.8.本章小结.....................................................................................................................391.9.复习题.........................................................................................................................40学习目标阅读本章之后,你将能够:认识到计划的重要性,并能描述该计划的主要组成部分知道并理解信息安全系统实施计划的主要组件及其在机构计划方案中的作用1.1.引言在第1章里(也是第1部分惟一的一章),我们结合一般的管理知识讨论了信息安全管理,讲述了一些适用于信息安全的管理要点。在第2部分中,我们将讨论如何制定计划,更深入地研究机构计划和信息安全计划的过程。第2部分分为2章(见图2-1):第2章叙述了为组织机构制定计划和为信息安全系统制定计划,第3章讲述了制定应急计划的概念。通常一个机构的成功依赖于它有一个恰当的计划。事实上,计划在商业和机构管理中的重要性怎么讲也不过分。在人力和财政资源不断受到限制的环境里,一个好的计划能够使机构最大限度地利用已有的资源。虽然某些计划一直被认为是重要的,而且一些机构在制定计划上花费了太多的时间、金钱和人力,然而却收效甚微,因此每一个机构都必须权衡计划的成效和花费时间。制定一个计划通常涉及一些相互关联的团体和组织过程。它们可能来自机构内部或外部,包括员工、管理、内部股票持有者、外部股票持有者、物理环境、政治和法律环境、竞争环境以及其他技术环境。这些因素中的每一个都会影响计划的执行和实施。本章将对战略计划的主要部分———目标、任务、策略、依赖关系和部门———做进一步的讨论。为信息安全制定一个计划同样依赖这样一个计划过程。信息安全利益团体应该寻求那些影响力更大的利益团体。为了制定一个有效的信息安全计划,计划的制定者应当知道整个机构的计划制定过程,以便参与该过程,从而获得对信息安全计划有意义的结果。虽然一个机构的CISO(信息安全主管)和他们的下属们常常急于对本机构当前所遭受的攻击进行回应,但我建议他们最好通过利用机构整体计划分配给他们的资源来确保信息安全计划的长期有效性。在制定信息安全计划之前,我们首先必须搞清楚怎样为机构本身制定计划。一个现代机构的主要作用就是管理资源,为一系列活动排序,或者说制定计划,并对这些活动进行有效的控制以保证目标的实现。计划为机构的未来发展指明了方向。没有详尽的计划,机构中每个部门就会按自己的利益去实现各自的目标。这种无组织的方式不仅不能实现目标,而且会导致资源的低效使用。如果让机构各个部门分别执行相应的活动,计划就会提供统一的指导以提高效率、避免浪费和减少重复劳动。我们应该采用自上而下的过程为一个机构制定计划。领导者在该过程选择整个机构的方向以及应该达到的大致目标。刚刚开始时,我们无法刻画这些目标的细节,而只是勾勒出总体目标。制定这个初步计划的主要目的是形成更详细的计划,也就是说要系统地指明如何达到总体目标。这是一个从最初的总体目标到形成具体目标的过程。1.2.计划的组成部分为了有效地推行一个计划,机构的领导者必须首先制定文档,清楚地说明机构的道德观念、企业理念和哲学理念。最近这几年,道德观念迅速成为了人们关注的焦点。近来发生的一些事件,如:Enron和WorldCom,说明了一个机构拥有清晰和稳固的道德观念的重要性。尽管严重的道德问题并不常见,但一些机构已经开始严格检查那些构成本机构道德基础的文档。当机构的基础文档与管理层所宣称的道德观念、企业理念和哲学理念不相吻合时,由这些理念所派生出来的发展计划就会失控。任务(mission)一个机构的任务声明(missionstatement)就是明确地界定机构的业务及其操作范围。从某种意义上说,它就是机构的身份证。例如:RWW公司设计、制造用于现代商业环境中的高质量widget部件和相关的设备。描述一个机构的任务应该用简洁的方式,能便于内外操作,并能保持较长时期内有效(4～6年),简而言之,它必须解释机构要做什么和为谁而做。许多机构鼓励或要求每个部门制定自己的任务声明。对于信息安全部门而言,它们可以像上面说的一样简要,承诺保证信息的机密性、完整性、可用性或者像下面那样,提供一份更加详细的信息安全部门职能的描述。这个任务声明应该出现在机构整体计划的“信息安全角色及其相关责任”这一部分当中。“信息安全部门负责识别、评估和恰当地管理X公司的信息和信息系统所面临的风险。它评价应对风险的各种方案,和全公司的其他部门一起商定解决方案,并采用恰当的方式主动地响应同样的风险。信息安全部门还负责制定适用于整个机构和外部信息系统(例如外部网)的安全要求,(这些要求包括策略、标准、过程)。最重要的是,该部门全权负责对X公司的信息系统带来潜在威胁的所有事务,包括设法避免、阻止、检测各种威胁或恢复系统。这些威胁包括(但不局限于)以下几条:非授权存取信息非授权使用信息非授权暴露信息非授权分割信息非授权更改信息非授权破坏信息非授权复制信息无效信息1.2.1.前景计划的第2个组成部分是前景声明(visionstatement)。和任务声明相比,后者解释机构是什么,而前者解释机构希望成为什么。因此,前景声明应该是雄心勃勃的。毕竟,它们代表一个机构的志向,并展现了机构的未来。换句话说,