胡桂绵：印刷企业的信息安全管理初探

　　信息是对一个企业或实体而言具有重要价值并且可以通过多种媒体传递和存在的一种资源。当今的社会无疑已发展成一个信息社会，我们会因为信息的发达更快更准确地做出决策，同时，企业的很多有用的信息也会很快成为竞争对手可利用的资源，甚至还可能对我们自身产生威胁。同时，随着企业以计算机为主体的信息化建设的推进，企业对信息管理体系的依赖性非常大，而信息化体系本身的安全性却受到来自多方面的影响和威胁，因此，企业有价值的信息已成为一种不容忽视的资产，应当对它的安全状态进行有效的管理。
　　
　　随着市场竞争的日益激烈，印刷企业纷纷借助标准完善管理，同时得以顺利迈过招标项目的门槛。大型印刷企业已有超过半数通过了ISO9001质量管理体系认证，也有很多企业通过了ISO14001环境管理体系认证和OHSAS18000职业健康安全管理体系认证。近年来，信息安全管理系列标准迅速被接受和认可，成为世界各国各种类型、各种规模的组织解决信息安全问题的一个有效方法，也为摆在印刷企业面前的解决信息安全风险的难题提供了有力的帮助。
　　
　　一、标准ISO27001：2005信息安全管理体系要求
　　
　　ISO/IEC27000系列标准包括下列标准：ISO/IEC27001（信息技术安全技术信息安全管理体系-要求），ISO/IEC27002（信息技术安全技术信息安全管理实践用规则），ISO/IEC27003（信息安全管理体系实施指南），ISO/IEC27004（信息安全管理-测量），ISO/IEC27005（信息安全风险管理），ISO/IEC27006（信息安全管理体系审核认证机构要求）。目前正式发布的有三个，即ISO/IEC27001、ISO/IEC27002、ISO/IEC27006。
　　
　　ISO/IEC27000系列标准为我们提供了指导性建议，即基于PDCA（规划-执行-控制改进）模型的持续改进的过程模式，根据标准中提出的佳实践方法，可以形成一套动态、系统、制度化和以预防为主的信息安全管理体系（Information Security Management System,简称为ISMS）。ISMS是管理体系方法在信息安全领域的运用，它可以从组织整体的角度来识别安全风险，通过采取相应的安全控制措施（既包括安全技术措施，也包括安全管理措施），达到综合防范、保障信息安全的目标。
　　
　　国家标准GB/T22080-2008《信息技术安全技术信息安全管理体系要求》和国家标准GB/T22081-2008《信息技术安全技术信息安全管理实用规则》于2008年6月19日正式发布，并于2008年11月1日起实施。它们等同采用了标准ISO/IEC27001:2005和ISO/IEC27002:2005，为国内组织建立信息安全管理体系（ISMS）和认证机构从事ISMS认证提供了一致的标准依据。
　　
　　GB/T22080-2008《信息技术安全技术信息安全管理体系要求》《ISO/IEC27001信息安全管理体系-要求》是建立和维持信息安全管理体系的标准。它要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系。
　　
　　信息安全即信息的保密性、完整性、可用性以及其它属性的保持和维护。保密性指保证信息仅为那些被授权使用的人获取；完整性指保护信息及其处理方法的准确性和完整性；可用性是指保证被授权使用人需要时可以获取信息和使用相关的资产；其它属性包括真实性、可检查性、可靠性、防抵赖性等。而信息的范畴不仅涵盖了企业自身的所有信息，也包括客户、相关方由于业务关系而由企业来保存、使用和管理的信息。
　　
　　信息安全管理体系的建立可以强化员工的信息安全意识，提高企业对关键信息资产的防护能力；在信息系统受到侵袭时，确保业务持续开展，并将损失降到低程度；企业较高的信息安全管理会使业务伙伴和客户放心合作。特别是对于安全印务公司，“安全”是整个业务的关键点，是与其他印刷活动的本质区别，尤其是对于安全属性中的“保密性”应高度重视。企业从接单开始，到生产作业，到交付至客户，每一个环节都必须保障业务信息和客户信息以及产品的安全保密，因此，建立完备的信息安全管理体系是开展安全印务业务的基本前提。
　　
　　二、印刷企业信息安全管理的关键概念和关键要求
　　
　　（一）信息资产的分类：
　　
　　信息资产一般分为以下几大类：
　　
　　1.软件：应用软件（如数据库软件）、操作系统软件、硬件驱动程序、开发工具、软件防火墙等。
　　
　　2.硬件：主机、交换机、路由器、备份存储设备、备份磁带、移动计算设备（移动硬盘/U盘/光盘）硬件防火墙、网络布线等。
　　
　　3.电子数据：源代码、数据库数据，各种数据资料、系统文档、运行管理规程、计划、报告等。
　　
　　4.实体信息：纸质的各种文件、合同、传真、财务报告、发展计划、证书，以及各类其它材质的证书奖牌等。
　　
　　5.办公设施：打印机、复印机、电源、空调、保险柜、文件柜、门禁、消防设施、照明系统等。
　　
　　6.人员：各级管理人员、安全人员、网管员、系统管理员、业务操作人员，第三方人员，临时雇佣人员等。
　　
　　7.无形资产：如组织的声誉和形象。
　　
　　（二）信息资产的等级和重要度
　　
　　信息资产的重要度一般分为三个等级，即高、中、低。其划定和判断的标准为：
　　
　　高：对这些资产的安全属性的影响将对公司造成灾难性的损失，通常其直接或间接的影响范围波及到整个公司。如网络服务器硬件及操作系统，安全印务重要产品的菲林、票样，废品，工艺流程卡，产品数据库等。
　　
　　中：对这些资产的保密性、完整性或可用性等安全属性的影响将对公司造成较重要的损失，通常其影响范围波及到公司的局部。如电脑客户端中的客户信息、产品信息，重要人员的台式电脑、施工单、移动介质等。
　　
　　低：对这些资产的安全属性的影响将对公司造成一定的损失，通常其影响范围仅波及到公司的很少部门。如不联外网的普通客户端、复印机、打印机等。
　　
　　（三）信息资产的识别和风险评估
　　
　　对信息资产的风险评估是对其进行管理的重要基础。风险评估前应先对信息资产进行识别，并形成资产清单，然而对这些资产进行风险分析和评价，即使用适当的风险评估工具，识别信息和信息处理设施的威胁、影响和脆弱点及其安全失效发生的可能性，由此评估和确认安全风险大小及等级，形成风险评估报告，风险评估报告应区别和判断可接受的风险和不可接受的风险。
　　
　　是否准确、正确地对信息资产进行识别、评估是信息安全管理的重要基础，它为信息安全管理的后续工作提供方向和依据，因为后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制措施的效果也必须通过对剩余风险的评估来衡量。
　　
　　（四）信息资产的风险处置
　　
　　通过风险评估识别出信息资产的风险大小后，即应通过制定信息安全方针，选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。风险等级高的，一定要采取有针对性的计划措施。风险等级中的，应当有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动。风险等级低的，管理层可以根据具体情况确定是否需要采取纠正行动，或者接受风险。根据风险评估报告，针对不可接受的风险，从ISO/IEC27001:2005附录A中选择适当的控制目标和控制措施，制定风险处理计划。
　　
　　（五）控制目标和控制措施
　　
　　ISO/IEC27001：2005标准附录A中列出的控制目标与控制措施直接引用了ISO/IEC27002:2005第5章到15章，它已包含了广泛通用的控制目标和控制措施列表，具体为A.5安全策略、A.6信息安全组织、A.7资产管理、A.8人力资源安全、A.9物理与环境安全、A.10通讯及操作管理、A.11访问控制、A.12信息系统的获取、开发和维护、A.13信息安全事故管理、A.14业务连续性管理、A.15符合性。其中16章每一章都有明确的控制目标，并细分为133小项，提出了控制措施。企业应按照133项控制项目和控制措施实施管理，使各项措施都处于有效控制状态。
　　
　　（六）适用性声明（SOA文件）
　　
　　适用性声明是ISO/IEC27001：2005中的重要概念和重要文件，是企业对经过风险评估和风险处置过程所识别的适用于自己的控制目标和控制措施的评述，相当于一个控制目标与控制方式清单，其中应阐述选择和不选择的理由，并标明涉及的文件，企业编写SOA文件时应直接选择但不限于附录A的全部列表内容。例如A.7.1.1资产清单，对应的控制措施为“应清楚识别所有的资产，编制并保持所有重要资产清单”，对应该就项要求，应当必需选择用并列出资产清单；再如A.10.9.1电子商务，一般印刷企业不使用电子商务，此项就可不必选择用。
　　
　　（七）ISO/IEC27001：2005与其它管理体系的兼容性
　　
　　ISO/IEC27001：2005附录C列示了几个体系要求的对应关系，从中可以看出，ISO/IEC27001：2005与ISO9001：2000质量管理体系、ISO14001：2004环境管理体系是协调一致的，它们相互支持，并可进行整合实施和运行。
　　
　　本文并未阐述建立一个信息安全管理体系的过程，而是介绍本了信息安全管理中的一些关键概念和关键要求，明确了这些关键要概念和要求，才可以科学地、主动地建立ISMS，系统有效地保护企业信息资产的安全。特别要说明的是，信息安全管理对于印刷企业是比较新的概念，实践经验也比较少，因此本文难免会有一些纰漏，敬请批示指正。