破解安全架构难题

开篇：润墨网以专业的文秘视角，为您筛选了一篇破解安全架构难题范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

虽然BS 7799标准中有两部分分别给出了组织安全管理体系的要求和最佳参考实践，但距离实际操作仍留下许多空白，这给安全顾问公司提供了价值发挥的空间。在项目实施过程中，还存在许多难点。

ISMS的范围在哪？

对ISMS范围的正确确定是整个实施的基础和成败关键。它涵盖了业务流程、信息流和相关资产，因而也确定了BS7799信息安全管理体系的边界和目标，这对于实施周期、实施受益的信息管理环节都将产生影响。

仅就认证目的而言，企业可以选择任何部门和系统，但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。

在本项目中，最终选择了企业的核心业务系统作为此次认证的范围，其ISMS边界包括数据安全实验室及所有与“数据销毁和数据恢复服务”相关的信息资产，从而确保了BS 7799实施与预期目标的一致性。

评估风险

风险评估被公认为是ISMS实施过程最关键和难以操作环节。因此，BS7799实施并不限定客户使用风险评估的方法。

风险评估成功与否关键不在于技术问题，而在于良好的客户沟通和会议组织技巧，包括让管理层和业务人员理解风险评估的重要性和方法，提供必要的配合和支持，并通过高效的会议组织获得较全面的和客观的调查反馈信息。

应避免风险评估仅限于IT部门和安全专家的参与。风险评估既然服务于企业的业务目标，就应当得到业务部门的支持。事实上，只有他们最理解需要保护什么、保护的程度如何，哪些是安全问题，发生过什么安全事件，是否值得以特定成本实施安全控制而降低某项风险。

因此，在一开始就应把业务骨干纳入到风险评估小组，通过培训让所有成员理解风险评估的目的、流程和方法。

风险评估应始终围绕企业的目标和方针进行。比如说，在评估资产和威胁的影响时，都要做BIA（业务影响分析），其中制定的参考指标就应当依据企业安全目标。当发生各成员评估结果不一致的情况时，项目经理也应参照安全目标的定义进行裁决。

成功的风险评估应避免片面性、主观性，避免与漏洞扫描或穿透测试混为一谈。客户可能认为只有后者才是值得尊重的专业服务，但事实上风险不仅来自技术弱点，还包括组织弱点，如业务流程、人员和资产管理等。

此外，完整的风险评估应涵盖物理和逻辑两方面的因素，我们这个案例就很明显地体现了这点。

由于既定的范围不包括复杂的网络和IT资产，因此在进行弱点分析时主要考虑组织和物理方面的技术弱点，例如客户介质在交递、保管、处理、返还等环节的安全隐患，以及安全实验室的实物与环境安全等。

企业应和客户详细讨论各种细微的业务流程隐患，甚至以用户身份参观公司，以了解这项服务存在的外部隐患，例如客户交来介质时如何接待，对包装如何检查、标记、存放，当实验室工作人员暂时离开，如何确保环境和客户介质的安全等。

我们还检查了实验室的装修环境，与其他区域的分隔，以及门禁、监控等措施的有效性。弱点识别往往包括内、外两方面不同的观点，但在资产和威胁分析时，顾问公司只是教给客户标准和方法，让客户自己分析、判断、纪录和整理最终的结果。

评断风险评估的好坏不局限于采用定性或定量的风险评估方法，还在于能否为安全控制决策提供足够的参考依据。

如果将资产价值、安全威胁和弱点对企业业务的影响等评估活动结果严格数字化，不仅可能导致实施进度的失控，而且可能因为缺乏足够的参考标准和过于繁复的过程导致不可操作。在此情况下，基于特定的指标进行范围分级往往是值得推荐的评估方法。

此外，为了提高评估的效率，还可以采用专业化评估软件以减少评估的人为失误和文档编制时间。

人是安全管理体系的灵魂

安全管理体系的良好运作依赖于制度和组织机制，更依赖于各种角色的安全意识和对安全方针的理解与遵守程度。所有这些，需要有有效的培训和管理层的支持。

办好培训最好的方式是案例分析，其次是高层动员。如果在安全手册的扉页有CEO对安全的评论和签名，显然会增加该文档的权威性。

BS 7799信息安全管理体系的实施，其意义不在于显著改善企业的安全风险水平，而在于让企业拥有可控的风险管理架构、方法和保障落实机制。

正是因为拥有这套机制，才确保企业在不断变化的安全风险环境中，始终能够通过科学的方法和持续的改进，达到管理者可接受的安全风险水平。