安全审计武器

——面向信息安全的审计制度正在成为守护企业信息的日常“武器”。

作 者:
周应 

作者简介:

原文出处:
IT经理世界

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2007 年 08 期

关 键 词:

字号:

      在艾默生网络能源公司位于深圳南山区科技园的大楼里,信息安全部经理杨世斌正指导同事做电影剪辑。他面前的电脑屏幕上,尼古拉斯·凯奇刚刚通过再现密码锁上的指纹和对几个数字排列组合的计算,破解了美国国家档案馆的密码,闪身进入机密档案室,寻找隐藏着国家宝藏秘密的那份《独立宣言》。

      这是美国大片《国家宝藏》中的经典片断,杨世斌小心地把这段剪下来,开始制作艾默生的信息安全宣传录像。自从2004年艾默生网络能源公司建立信息安全审计制度和信息安全体系以来,他已制作了不少类似Flash、小电影,以加深员工对信息系统安全的认识。

      “保护神”

      如今,IT系统几乎普及应用于企业运营的所有关键部分,因此一旦IT出现风险将会带来重创。于是,那些对IT系统依赖度强、组织结构复杂的大型企业开始引进信息安全审计制度,不断“审视”自身的信息安全。

      2006年底,毕博信息技术(上海)公司通过了ISO27001的认证,成为中国第11个取得该认证的企业。这是一项针对企业整体信息安全体系的认证,通过它意味着企业的信息系统安全性得到了权威机构的认可。不过,通过认证并不意味着一劳永逸,毕博以后不但需要每年两次要“应对”相关机构的审计,它的IT部门还需要不断根据业务与市场发展,更新IT系统安全标准,以保证持续取得认证。据负责该项目的毕博信息技术公司高级IT经理江玮介绍,他们为了取得认证,“耗资巨大,单是硬件投资就有数十万美元,另外还有数十万美元用于改进软件系统”。此外,他们还做了多项重大流程修改。

      对毕博信息技术公司而言,通过ISO27001认证的好处显而易见。毕博信息技术公司是毕博管理咨询公司的全球研发中心,负责咨询项目的IT系统研发部分,其承担的很多项目都涉及客户的核心流程与信息数据。2004年,毕博信息技术公司开始接到客户对其IT系统进行信息安全审计的要求;之后,有这种需求的客户越来越多,在2007年的前5个月,已有10家客户向它提出了信息安全审计的要求。

      “过去,客户请来外审机构,要求我们改哪里就改哪里。”江玮说。然而随着有类似需求的客户逐年增加,“头疼医头”的做法使得毕博信息技术公司不得不付出巨大成本。于是,它急需建立一套完备的日常信息安全审计制度,以覆盖企业信息安全的方方面面,且得到市场认可。参照国际通行的ISO27001改进企业流程,建立相应的信息安全保障制度,无疑可以给客户吃下一颗定心丸——他们外包给毕博开发的信息系统与相关数据,都能得到“国际水平”的保护。

      通过推进ISO27001安全标准,江玮将毕博信息技术公司相对松散的IT管理流程转化为集中管理模式,通过IT部门的统一控制来降低信息安全风险。他在客户端的管理上,采用了“瘦客户端”理念——员工对自己的电脑只有使用权,没有管理权,电脑中的所有信息都由IT部门进行统一管理和部署;用户禁止用U盘,也不能在电脑上安装、使用即时通信工具。

      毕博信息技术公司借助引入ISO27001,还对管理流程进行了重新梳理,在原有流程中加入了很多为保证信息安全而设立的环节,并建立了相应的评估机制。以前,毕博信息技术公司基本没有规范的IT故障报送流程,遇到IT故障的员工会直接给IT部门打电话,而IT部门也会随便派一个IT人员处理故障。现在,他们增加了对IT故障的潜在风险进行评估和相应处理的流程,故障从报送入口就被统一起来,事故有相应人负责处理和记录;报送记录同时会被提交到IT工程师和系统分析团队,前者负责处理事故,后者负责评估风险。

      为了保证信息安全管理流程能落到实处,江玮建立了相应的制度。他将企业的硬件、软件和数据、流程、人定义为4大信息资产,分别指定了明确的责任人,用白纸黑字的制度文件固定下来,并制定了评估标准与周期,确定了可量化的考核指标,“这些都是为了避免问题发生时,出现互相扯皮的现象”。

      信息安全一定无法离开IT技术的保障。在技术应用上,江玮同样遵循了统一管理的思路。他在与总部进行深入探讨后,准备在新加坡设立统一的亚太区管理中心,将辖区内所有项目组的服务器都放在新加坡进行统一管理与备份。“项目组要用服务器必须向管理中心申请,由它批相应的CPU空间。”以前,毕博信息技术公司各项目组通常是用自己的项目预算购买服务器、自己进行管理,“这样信息资产非常容易被拷贝或遭到破坏”。如果江玮建议的这项流程变革能够实现,他觉得“全公司的信息安全才真正有了保障”。

      兼顾安全与效率

      去年10月在美国纳斯达克上市的上海如家酒店管理公司为了满足塞班斯法案对信息系统安全的要求,正在企业内部“紧急”推广信息安全审计制度。如家的技术总监邓树洪希望,自己能在信息系统的可控性与灵活性之间找到一个最佳平衡点——“在不到半年的时间里,既要让我们的信息安全审计体系符合塞班斯法案,还要兼顾如家快速发展带来流程经常性变化。”于是,重新梳理流程、划分责权利不可避免。与众不同的是,邓树洪提出了“用IT来监控IT”的理念,将信息安全审计制度通过他们自己开发的IT总控系统落实下去。

相关文章: