工作流信息安全政策定义

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

5．2 信息安全政策、标准及实践
所有利益团体的管理人员，包括普通职员、信息技术及信息安全人员，都必须将政策作为所有信息安全计划、设计和部署的基础。政策指导着问题的解决方式和技术的使用方式。政策一般不涉及设备或管理软件正常运行的细枝末节，这些信息可以在用户手册和系统文档的标准、规程和实践中找到。另外，政策决不能与法律发生矛盾，因为这是机构的一项重要责任。对于此问题的其他讨论，请阅读相关资料ArthurAndersen。
相关资料：

    “我妨碍了司法公正，”Enron公司的前首席外部审计员DavidB．Duncan承认，他告诉联邦陪审团，他们的能源客户垮台了，他让Arthur Andersen LLP的同事销毁证据，他知道他犯了罪。“我让约定小组的人遵守文件保管政策，我知道这会毁灭证据。”一份内部证据显示，公司撕碎了文档，删除了与Enron有关的电子邮件消息，之后，Andersen在一月份聘用了Duncan。他承认自己妨碍了司法公正，这将被判至少10年监禁。
    现在大多数人都知道Enron／Andersen咨询公司的垮台。人们发现，Enron能源公司在财务报告上撒了谎，尤其是它报告的收益情况。Enron被指控有许多可疑的商业行为，包括隐瞒财政损失和债务。
    这一诈骗行为的深度和广度非常大，至少有一位主管人员为避免犯罪的指控，自杀了。另外如上所述，世界著名的ArthurAndersen会计师事务所粉碎了上千吨的财政文档，试图掩盖问题。Andersen声称这是事务所的政策。
    根据定义，与法律相抵触的政策是不合法的，因此执行这样的政策就是犯罪行为。在Enron／Andersen丑闻中，一些人声称他们只是按照公司的政策办事，因此锒铛入狱。如果他们真的执行了政策，就可能逃脱牢狱之灾，因为Andersen的文件保管政策规定，工作文件必须保存6年之后才能销毁。但与客户相关的文件，例如信件或其他记录，都只是保存到“不再有用’’为止。经理和一些合伙人把这些资料保存在客户文件夹或其他文件中，按照公司的政策，他们应该“清除”文件。但在恐吓起诉案件中，Andersen员工不能销毁“相关的信息”。后来修改了政策，变成除较基本的工作文件之外，强制尽快粉碎所有文件，除非可以阻止合法检查程序。
    于是，粉碎行动开始了。一个大问题是，政策没能彻底贯彻下去，这次粉碎行动是在Andersen发现Enron被查出有诈骗商业行为之后开始的，这说明，咨询公司决定掩盖它和商业伙伴的犯罪行为。
    现在一些人正在接受审判，还死了一个人，人人都说他们只是执行政策。
    高质量的安全计划是由政策开始和结束的。因为信息安全基本上是一个信息管理问题，而不是一个技术题，政策迫使人们按照加强信息资产安全的方式来工作，而不是对这些资产构成威胁。注意，执行安全政策是一项较便宜的控制，但正确的实施是较困难的。它们的成本较低，因为仅涉及管理小组建立、验收和沟通所用的时间和努力。即使管理小组决定外雇一名顾问，来帮助制定政策，其成本与技术控制相比也是较低的。制定政策非常困难，因为必须：
    (1)不能与法律发生矛盾
    (2)如果有问题，要经得起法律的检验
    (3)通过传播并证明已被接受，来进行适当的管理

5．2．1 定义
在调查各种各样的信息安全政策之前，准确理解政策的内容以及如何使用它是非常重要的。
政策是行动的一个计划或者方针，机构从其较高层的管理人员向制定决策、采取行动和以机构的名义执行其他任务的人传达指令时使用。政策是机构的法律，因为它指出在机构的文化背景下，可以接受和不可以接受的行为。就像法律，政策必须阐明什么是正确的，什么是错误的，违反政策要接受什么惩罚，以及如何上诉。(这些主题在下面的章节中将进一步讨论)。另一方面，标准是更为详细的陈述，说明依据政策必须做什么。遵守标准和政策的要求是一样的。标准的接受等级可以是非正式的，这是事实上的标准。标准也可以由一个团体来发布、审查和批准，这是正式颁布的标准。较后，实践、过程和方针有效地解释了如何遵守政策。图5—1说明了政策是推动标准的力量，标准又推动了实践、过程和方针。

    政策用来支持机构的任务、构想和战略规划。机构的任务是其意图的书面陈述。机构的构想是其目标的书面陈述。机构在5年内要发展到什么程度?10年内呢?战略规划是使机构向其构想迈进的过程。
    要想达到预期结果，政策必须通过所有可能的方式进行推广，包括印刷个人手册、机构内联网和定期发行刊物。机构的所有成员都必须阅读、理解和遵守政策。同时，政策还是很灵活的，因为政策需要不断地改进和维护，以满足机构扩张的需要。
    安全政策的含义取决于它的背景。政府机关根据国家安全和国家政策来制定安全政策，处理对外事务。安全政策也可以代表一个信用卡机构处理信用卡号码的政策。一般而言，安全政策是一组保护机构资产的规则。信息安全政策提供保护机构信息资产的规则。如第1章所述，无论是传输、存储还是处理，信息安全专业人员的任务就是保护信息和进销存信息系统的机密性、完整性和可用性。这是通过应用政策、教育和培训计划，以及技术完成的。
    根据国家标准和技术协会的Special Publication 800-14(这个刊物将在本章的后面详细讨论)，管理人员必须定义3种安全政策：
    (1)一般或者安全计划政策
    (2)特定问题安全政策
    (3)特定系统安全政策
    每种管理政策将在下面进行详细讨论。
5．2．2企业信息安全政策
    企业信息安全政策(EISP)也称为一般安全政策、IT安全政策和信息安全政策。EISP基于机构的任务、构想和方向，并直接支持它们。EISP为所有的安全工作流制定战略方向、范围以及基调。它是一个行政级别的文件，通常由机构的首席信息官来起草，并由首席信息官协调。这项政策通常有2～10页，并形成了IT环境中的安全原则。除非机构的战略方向发生变化，否则，通常不需要修改EISP。
    EISP指导安全计划的发展、实施和管理。它包含信息安全蓝本或者框架必须满足的要求，定义了机构安全计划的意图、范围、限制和适用性，还指定了安全各个领域的责任，包括供应链管理系统、信息安全政策的维护以及用户的实践和责任。较后，它遵守法律。依照国家标准协议，EISP一般遵循以下两个范围：
    (1)确保满足建立计划的要求，并给机构的各个部门分配职责
    (2)使用特定的处罚以及采取处罚性措施
    制定EISP后，CISO(首席信息安全官)就开始组建安全小组，对信息安全计划进行必要的修改。