谋定而后动,在采取行动之前,先要理解什么是信息安全,怎样分析自己公司的信息安全问题。做到这一点并不容易,最大的挑战来自于如何排除干扰,立足需求。作出明智的选择,行动起来,而不是陷入所谓“专业、全面、系统、高级”的泥沼而不可自拔。
本文提供了一个“务实问题清单”的办法,希望能够简化你的分析工作。
1. 对小公司而言,信息安全是对一些问题的务实解答
看待问题的角度,决定了解决问题的难度。
1.1 众说纷纭的信息安全
什么是信息安全?
一般而言,有下面几种最常见的说法,可以与自己的情况对照一下。
- 信息安全,是一个管理问题。首先要解决的是人的问题,所以我们首先要加强安全意识培训和行为规范建设。
- 信息安全,就是网络安全。现在一切信息交换、传播和利用都离不开网络。面对危机四伏的网络,我们要在网络基础设施、部署架构、应用安全、云安全、端点安全、入侵检测、漏洞管理、信息态势、身份认证、灾难恢复、业务连续性、用户安全教育等各个方面展开安全治理。
- 信息安全,是一个攻防问题。黑客和安全事件总是以出乎意料的方式找上门来,只有在攻防演练中进化自己,才能抵御各种潜在的未知风险。
- 信息安全问题,是一系列待解决的漏洞和风险点。所以一方面注重漏洞管理,应急响应,补丁升级和持续改进;一方面从信息分类分级开始,梳理业务流程,定位风险,布局监控点。
- 信息安全是三分技术,七分管理。技术服务于管理,而管理来自于法律、行业和甲方的合规要求,来自公司决策层的管理预期。
- 信息安全是为公司主营业务保驾护航的,需求来自于合规和竞争两个方面。所以信息安全涉及公司经营的各个方面,包括组织、生产、销售、法务、人事、文化、公关等等,是一个综合性的系统问题。
迈不开步
1.2 无所适从的小公司
这些说法各有千般好,但对于很多小公司,它们并不能转变为解决问题的思路,甚至还有些“劝退”的意味。
- 公司小,意识培训要足够简单明了才行,行为规范就算了。
- 网络安全包含这么多内容?!公司一共也没有几个业务,那么,重点是什么呢?
- 攻防?这是银行和国家机关才要干的事情吧?
- 补丁升级是应该的。但应急响应,风险点梳理是什么?
- 合规是应该的,如果甲方或政府部门提出明确要求,我们去执行就好了。至于管理预期,我要的就是安全啊。
- 保驾护航是我们想要的,但综合性的系统问题,还是迟点儿再考虑吧。
小公司,一方面麻雀虽小,五脏俱全,同样生存在这个网络的世界里,面对的安全问题可不比大公司少。
而另一方面,小公司在资源、人力、安全意识、IT水平、业务成熟度上通常准备不足,上面的各种说法就显得过于高大上了。而且,小公司往往处在快速发展之中,业务流程、人事、竞争焦点都频繁变动,过于系统的办法就难免让人担心不够灵活。
做就好了
1.3 务实问题清单
针对上面的困惑,可以使用如下的务实问题清单来帮助自己拨开概念的迷雾,回到需求的原点。
- 通过信息安全建设,可以帮公司解决哪些问题?
- 公司要解决哪些具体的信息安全问题?
- 在解决安全问题时,公司的条件局限,及由局限带来的要求是什么?
- 可以采取的行动,及其预期效果是什么?
- 可用于宣贯的原则是什么?
这份务实问题清单是一个经过实操检验的信息安全建设指南。它能让人摆脱概念分辨,立足现实,直击重点问题,而同时又不失系统和严谨。结果可预期,质量可评估,可持续改进。
上述口语化的问题清单,为了方便,也可以分别称为:
- 业务问题清单
- 安全问题清单
- 约束清单
- 执行清单
- 原则清单
2. 业务问题 vs 安全问题
(这一章可以在阅读中跳过,不影响理解)
信息安全是一个很宽泛的词,如果不约定清楚,就会造成各种各样的误解。
通常我们讲到“信息安全问题”的时候有两个可能的所指:
业务问题:通过信息安全建设,要帮公司解决的问题,或帮公司达成的经营、业务(或生产)和管理方面的目标。业务问题是与信息安全相关,但不属于信息安全范畴之内的那些问题,是经营、业务(或生产)、管理之中存在的问题。业务问题的解决,必须以安全问题的解决为基础。解决安全问题是解决业务问题的必要而非充分条件。
安全问题:是信息安全建设中,要具体解决的,当前信息安全管理中存在的问题与不足,或当前安全管理措施、制度、功能中还存在的脆弱性。简单说,安全问题就是脆弱性问题,是信息安全工作中当前存在的不足。
举几个例子体会一下,还是挺容易搞混的。
| “ 七分管理,三分技术,所以说信息安全问题首先是一个管理问题。 |
这似乎在谈业务问题,是说如果要搞好信息安全,要用“管理的思想和方法”才行;
也可以在谈安全问题,是说你要处理的安全问题(现有不足)之中,七成都是与管理相关的。也就是说不足和改进空间主要存在于“安全管理”,而非“安全技术”之中。
这就是所谓“量子化的信息安全”的一个典型示例。
| “ 合规,是我们要解决的首要的信息安全问题。 |
这是业务问题。合规是经营和管理的目标,而非信息安全工作中存在的问题。
| “ 人事管理中还有很多信息安全问题需要重视,比如保密协议、入职协议中的保密条款等。 |
这是安全问题。虽然看起来“人事管理”是管理,但这里的问题却在信息安全职能范围之内。不解决,直接后果就是信息安全的脆弱性。
3. 业务问题清单
列出公司所有与信息安全相关的业务问题,评估并记录业务问题对信息安全工作的要求,或信息安全工作对业务问题改善的帮助和支撑作用,或预期改善效果等。
如果不知道怎么操作,可以简单的参考如下的表格。不要过多纠结概念是否准确,记录是否全面。
示例:业务问题清单
一份如上面示例的业务问题清单可以是一个公司信息安全管理工作的起点,为后面的工作提供了要求、方向和评价标准。
4. 安全问题清单
安全问题是信息安全工作中依然存在的不足,或脆弱性,或等待改善的基础设施、功能、和/或管理制度等。
如果你的公司已经采取了一些信息安全管理的措施,那么你可能比较清楚问题在哪儿,但同时担心还有大量未被发现的问题;如果你的公司是第一次考虑信息安全管理,那么你可能会一方面写不出任何一条确定的问题描述,一方面又觉得处处都是问题。
这些担心都是正常的,毕竟安全问题的描述需要一定的专业基础,而且随便一篇关于信息安全的介绍文章都会列出动辄十几类需要关注的领域。
| “ | 比如此前已经列出的:网络基础设施、网络架构、应用安全、云安全、端点安全、入侵检测、漏洞管理、信息态势、身份认证、灾难恢复、业务连续性、用户安全教育等等。 一个再小的公司,其信息利用场景都能关系到这其中的大部分。 |
把担心和这些参考知识放在一边,莫不如来一次群策群力和头脑风暴,或干脆凭直觉,列出大家认为最急迫,最明显(摆在大家眼前)的安全问题。
不要担心这个列举不够全面。第一,参考知识已经告诉你了,永远都做不到全面。第二,虽然不全面,但你挑选出来的已经是你自己关心的安全问题。一个不犯错误的“全面”永远都不如一个针对具体问题的但粗糙的解决方案来得有效。
也可以参考下面的示例,并补充上自己特别的考虑。
示例:安全问题清单
安全问题清单可能会很长,也可能会比较凌乱。尤其是在缺乏安全经验的情况下,解决办法部分可能会缺乏条理,甚至包含错误。这些都没关系,最重要的是写出来。在后面的使用过程中,可以咨询专家、借助供应商的帮助来逐步完善。
5. 小结
对小公司而言,信息安全究竟是什么?相比于太过抽象和专业的概括性解答,莫不如更务实地列出自己的业务问题清单和安全问题清单。当这两个清单以自己的方式被列出时,哪怕它不够专业和不够完善,问题也已经浮现,并且已经开始被解决。
下一步,你可以找一个供应商或更专业的人,说“这就是我们公司的信息安全问题,请你帮助我完善它,并且解释你做出的修改”。
