实际上,一个组织,我们可以认为是由一些列的信息处理活动组成的,随着组织的扩张和增大,信息处理和控制变得越来越艰难,所以我们需要对信息安全进行管理和监控。而根据Duke大学和悉尼大学计算机系的老师的说法,所有的组织都可以从三个层面的系统去看待和管理,所以我们可以从这三个层面的系统去管理和控制信息安全问题。这三个层面分别是:Fromal, Informal, Technical,因为其实翻译为中文这三个词还蛮恶心的,本文还是以英文来表达不同的信息层次,相对应的意思为:正式层面,非正式层面,和技术层面。分别代表的是:Formal System-组织的管理运营层面;Informal System-组织的文化层面;Technical System-组织的技术层面。而信息安全管理的目的就是用一系列的控制(Control)去维持组织的这三个层面的整体性(Integrity)。本文正文将详细地介绍各层面系统所负责的范围和处理原则,作为这个管理体系后面阐述的基础。
关键概念:
- 组织由三个层面的系统构成,Fromal system,Informal system,Technical system;
- 组织用各种Controls去管理和控制这三个层面的系统;
- 所有Controls的目的是为了维护组织的整体性,即维护三个层面系统的一致性。
1 组织的三个层面
这部分主要介绍三个层面系统分别的定义和负责内容。信息安全其实指的应该是组织的这三个层面系统的一致性,即formal system的组织结构,informal system的组织文化,和technical system的技术应用,都应该是为了组织的目的而存在的,且都应有助于组织实现既定的目标。
1.1 Formal System
Formal System 定义了整个组织,实际上Formal System就是我们在管理学里面所说的组织,关注组织运营中的信息的处理,比如说信息流流动方向等,包括了组织结构,规章制度,组织战略等东西。在Formal System中,我们经常会制定很多的组织运营规则,这些规则能够帮助组织在运行的过程中达到统一。
但是对于一个由人组成的组织来说,只有一系列的规章制度是远远不够的,特别是在信息安全的领域。我们可以通过一系列的技术手段(即Technical System的Technical Control)来帮助管理运营(Formal System)运营的更加高效与有效,同时,我们也需要通过组织文化的管理来帮我们防止组织内部人员有意无意地透露组织的机密信息。
总体来说,我们要进行技术控制和组织文化的控制的目的,都是为了使Formal System运营的成功。
- Defines all major ‘official’ information handling of the organisation
- Rule based and tends to bring about uniformity
- Misinterpretation of the formal system can be detrimental
- Computerisation of major information flow to bring about efficiencies and effectiveness is possible - but not enough
1.2 Informal System
Informal System其实指的是组织的亚文化层面,是Formal system的拓展。难点是统一人员的观点,目标和目的,手段是建立合适的企业文化,建立合适的符号体系(这个指的是在人员交流中,我们应该定义一些符号和词,然后所有人,看到这个符号和这个词,能够有对事态的比较统一和清晰的理解,这一块在国内的公司做的其实不是很好,大家大多都没有意识到语义的重要性,这在后面会详细地讲一下。举例:在电影《五十度灰》中,男女主角设置的“安全词”,就是这类东西,当说出“安全词”的时候,就知道应该停止或者进行其他的反应。)
- Represents organisation’s sub-culture where meanings are established, intentions are understood, beliefs are formed, commitments and responsibilities are made, altered and discharged
- A natural means to augment the formal systems
- Groups with overlapping memberships are possible as size of organisation grows
- Challenges of differences in opinions, goals, and objectives
1.3 Technical System
Technical System指的是组织运营的技术层面系统,即我们在公司内使用的信息系统,它的目的是为了让我们的公司运营管理更加的高效和有效,也是技术人员们最关注的领域。但如果要成为信息安全领域的专家,实际上只懂这个层面的技术是远远不够的,我们要知道,技术的目的是为了支持管理,所以想要成为信息安全的专家,在精通技术的基础上,还要深入理解组织运营的内在逻辑,这一部分,看以后有没有机会在管理学的领域拓展说一下。
技术系统层面值得是formal system的自动化部分,在组织内部扮演支持formal system的角色。所以,实际上,没有formal system的技术控制,是毫无意义的。
- Automated parts of the formal system
- Presupposes the existence of a formal system
- Could be problematic if no Formal system exists
- Plays supportive role to the formal system
2 三个层面的系统的不同控制方式
我们认为管理既是控制,对应不同层面的组织系统,因为他们的属性和范围都不太一样,我们要用不同的控制方式去管理。但是我们的目的是为了保持这三个系统的一致性。
2.1 Formal control
所以formal control之中主要包括了支持型的技术控制,组织架构的控制,战略方向的控制,还要为员工框定他们的责任和权利等。这一部分最重要的是人员的责任(responsibilities)和权限(authorities)的设计,这也是现代管理学中最重要的研究部分之一。一个好的管理结构,应该要权责平衡,不能出现有的人权利太大责任却太小(如很多的国企的领导,可以决定整个公司的资源分配和方向,却不需要为公司运营的成果付太多的责任,其中导致的结果必然是口号响亮,结果令人失望的形势),或者一个人责任太大却权利太小的情况(这个部分出现的情况会比较少。)
补:在formal system即公司运营中,在我个人看来,最重要的是企业战略(strategy)的定制,因为这个是企业的使命和核心价值,是企业的目标,是企业的至高价值。在战略之下,我们根据战略层面的需求分配具体实施计划(plan),按照计划分配资源,包括人员,在人力资源的分配中,分配责任(responsibilities)和权利(authorities)。最后通过技术手段(technical system)更加高效地实施plan,以实现strategic objectives。
- Support technological controls
- Approach at organisational level
- Implementing structured IS management
- Giving strategic direction
- Representation from a wide range of functional areas
- Hiring and termination standards
- Fair Practices and moral leadership
- Protect management from claims of negligent duty
- Compliance with the requirements of data protection legislation
2.2 Informal control
在informal control的层面,关于security management中,效率最高的是增强security awareness,因为我看到过很多企业的员工,几乎根本没有什么信息安全的意识,特别是一些对他个人不会有太大影响,不需要由自己个人负责的信息的安全,有时候就随便说出来了,这其实是一种对企业来说很危险的行为。比如,一个在高层会议中做记录的秘书,在和别的公司的成员聊天的时候,不小心透露了公司的最新战略走向和战略分配,这样会导致有风险被一起竞争的企业知道,从而定制可以专项克制的计划。本来可能是一个很好的战略计划,现在反而成为了负担。
informal control的核心就是security awareness的培养,用持续的教育和培训项目去实现,最好是构建一个完善合适的security culture,因为文化体系是可以自我增强的。
- Security awareness is a cost effective control
- Increased awareness should be supplemented with an ongoing education and training program
- Training and awareness are extremely important in developing ‘trusted’ core of members of the firm
- An environment of developing a common belief system
2.3 Technical control
技术层面的控制主要是验证(authentication)和通行(access)的控制。然后包括防火墙等控制手段。
- Authentication and access control
- Firewalls and De-Militarised Zones
- Network segmentation: 将大网络化为一个个小的网络区域。
- End-point security: 在用户终端进行控制,比如说需要下载app和软件才能连接进,在终端的软件上进行一些安全措施的设计。
- Malicious content control
信息安全技术的实施要考虑到成本和收益的平衡,毕竟对于大多数的公司来说,信息安全还是作为公司运营的支持性部分,对于它的实施,不应该太过影响到公司原本的收益。
Implementation of technological solutions is dependent upon cost justifying the controls. Effectiveness of Technical Controls: Technical controls alone are often not enough. consider constituting well thought baseline organisational controls3 组织结构整体框架
组织结构的整体框架,应该是以formal system作为核心,technical system作为formal system高效运营管理的自动化手段,然后以informal system的管理作为formal system在企业文化上的管理和支持。
3.1 信息系统安全的结构与标准 standards and frameworks
很多的standards和framework,在后面的博客中会比较详细地阐述。
3.2 信息安全设计的内容 Institutionalising Information Security
要设计一个好的高效的information security management structure,我们首先需要良好的组织结构,然后是policy和procedural framework,同时要将access control和组织的hierarchical结构结合起来,保持良好的一致性的交流,同时要培养职业道德标准和信任机制。
- Organisational structure
- Policy and Procedural framework
- Linking access rights to the hierarchical level
- For efficiency and effectiveness purposes
- The reality is more complex than formal or the technical aspects of the system
- Maintaining consistency in communication
- Ensuring proper interpretation of information
- Ethics and trust
4 信息安全专家的建议和要求 Information Security Specialist
想要成为一个信息安全的专家,光知道技术层面上的知识是远远不够的,在更加成体系的信息安全管理中,核心是管理的方式,技术是实现高效性和有效性的工具。
- Work towards getting the right certification (CISSP, CISM, SABSA, GIAS….)
- Increase your skills in risk management, disaster recovery, standards and compliance
- If so inclined…build a home lab.
- Get involved in a project working with strategic partners
- Consider an internship in IS
- Take a second look at government jobs
- Adopt a multidisciplinary approach
5 结(tu)语(cao)
其实我真的对信息安全管理没有什么兴趣。。。你们竟然还要我写博客给学弟学妹以后参考。。。真是。。。
不过这整个体系真的是一个很完善,很前沿的体系。主要应用在IT consultant中。参考文献:
- Principles of Information Security Systems – Texts and Cases –Gurpreet Dhillon-Chapter 1 : Information System Security: nature and scope