企业信息安全管理建设（2）

完成了一个工作
进了一个项目
没什么特别的

前言

上一篇文章中讲了一些我对信息安全的理解，以及对信息安全容易产生的误解，然后说了一些关于信息安全管理体系建立的初始化内容。

今天这篇文章，我们可以来讨论一下关于信息安全管理的文档建设工作，这些文档都是逐层派生的，也就是说上面的文档是下面的文档的依据，下面的文档是上面的文档的支撑，这样就形成了体系。

每个公司由于业务和体量不一样，所以文档体系也会有很大的区别，那么这篇文章中主要会讲一些最通用，也是每个企业都应该要有的文档。

创建文档体系有一种方法就是参照ISO27001的要求来创建，只要能够坚持不断地循环完善，文档和信息安全体系就能完成建设，但这需要一些经验和对ISO27001的深度理解，这个我以后会专门有文章讨论。

先把文档体系的大概轮廓弄清楚，再依照ISO27001来做完善会更加得心应手，并且能有的放矢。

信息安全管理制度

上一篇文章中我们说了，企业要有企业白皮书，白皮书中要对三个方面进行责任声明，分别是员工，合作伙伴，社会（根据企业实际情况自行修正）。为了保证企业不会损害员工，合作伙伴，和社会秩序，企业要防止自己的信息系统遭到滥用，为了防止信息系统遭到滥用，所以要实行信息安全管理制度。

既然是制度，那就是没有商议余地，必须遵守的。

所以制度一定要从企业做高层来颁布，也就是自上而下。

信息安全管理制度作为信息安全管理体系中最顶层的文档依据，不需要具体到细节，可以是很顶层的描述，这种描述应当清晰的说明企业想让自己的信息系统是一个什么样子的系统，企业员工，合作伙伴应当如何使用企业的信息系统和数据。

举个例子：

制度声明：
为了保证xxxx公司的信息系统不会遭到滥用，而对xxxx公司的员工、合作伙伴、社会秩序造成伤害，xxxx公司实行信息安全管理制度。等等描述
适用范围：
信息安全管理制度适用于xxxx公司所有员工及合作伙伴。等等描述
责任声明：
描述违反信息安全管理制度的员工将怎么处理，合作伙伴将怎么处理；发现滥用行为，应当及时向管理团队报告，等等责任与义务方面的事情。
法律法规：
如果有需要遵守的法律法规，在这里列出名字

信息安全管理通用要求

通用要求是指信息安全体系建设中可以用于很多场景的要求，主要有下面几个部分。

信息安全管理团队

• 团队的职责
• 团队的成员
• 团队联系方式

这个声明可以让员工能够在发现信息安全事件时，第一时间知道通知谁以及如何通知，对应了制度中“如果发现滥用行为，应当及时向管理团队报告”

密码管理规范

声明密码的声明周期，强度要求。可以针对不同的应用场景来分别定制，普通账号密码强度要求稍微弱一些，重要账号，例如财务，人事，IT管理员等特权账号，密码强度要高一些。

但其实实际操作中并没有区分对待，都是统一要求的。

这里需要注意一个尺度和组合方案的问题，如果要求过高，比如要求特殊字符+数字+字母大小写+乱序+最少17位。这种密码强度很大，但很有可能造成不便记忆，导致员工把密码写在了便签纸上贴在显示器旁边。。。。那么针对这种情况，应当考虑MFA，并且考虑SSO，否则每次进入到其他系统就要来一遍密码会引起员工极大的反抗情绪。

另外，过长的密码可能会导致某些系统登陆不上了，比如有些交换机，最多支持16位密码，公司强制要求使用17位密码，这样就冲突了，如果使用了SSO的话还会发生登陆不到控制界面的情况。

所以密码当然是越强越好，但也要契合实际。在有好的解决方案的情况下可以使用强密码，但当前预算或技术不足以支撑好的解决方案，应当适当放宽密码策略，并加强纵深防御来进行缓解。

博主依照自己的经验，在条件有限的情况下，密码强度应当：

• 至少要保证8位（数字+字母+特殊字符）
• 每90天必须修改一次

有条件的话：

• 至少要保证14位（数字+字母+特殊字符）
• 每60天必须修改一次
• 24小时内只能修改一次（防止用户使用xxxxxxxx作为密码，到期后修改为yyyyyyyy，然后马上又修改回xxxxxxxx）
• 不能有连续字母（不能abcde这样的顺序连，最好能实现不能qazwsxedc这样的键盘顺序连）
• 不能使用历史记录中的前24次密码
• 密码与上次密码至少有3位不同（防止xxxxxx1，下次xxxxxxx2这样的情况）
  尽可能上MFA和SSO，密码强度可以适当加强。

无论怎样，abc123这样的弱密码是绝对不能接受的。

账号及权限管理规范

应当对账号进行分类，不同用途的账号有不同的命名规范，有不同的策略来控制。例如生产账号，这种账号一般都不会log off（强密码），也不需要连接外网（防火墙禁掉外网访问），也不需要太多权限（最小化权限）。而员工账号则需要外网权限，经常log in 和 log off，权限也根据自己角色的不同而不同；管理员账号则需要更强大的保护。
权限设置应当保证最小化权限原则，有条件的可以采用RBAC（基于角色的访问控制）
权限这里需要注意一点，有的员工在企业中有转岗的情况，转岗导致旧岗位权限没有移除，新岗位权限又加到了账号上。这种情况应当设置定期的审核机制，找出不需要的权限并移除。

风险管理规范

风险管理规范中规定了企业的

• 风险定级
• 风险管理流程
• 风险列表
• 风险处置方式
  等等
  其中风险定级应当结合风险评估结果和企业能够承受的损失来定，有些行业会有相关的要求。
  关于风险管理，博主会在风险评估的部分讨论。

合规管理规范

合规管理规范是指符合相关的法律法规，包括等级保护，GDPR，ISO等，有一些行业可能制定了本行业的一些行业规范
有一些则是行业管理部门制定好了保护要求。比如广电行业，广电总局要求所有地方电视台的媒资系统必须通过等保二级，播控系统必须通过等保三级

信息安全管理扩展要求

扩展要求是指针对不同的领域而需要做的一些安全措施

基础设施安全规范

基础设施是指信息系统硬件环境的管理，比如机房，网络设备，主机，服务器，操作系统等。
机房主要是物理上的防护，比如防水防尘，电源冗余，机柜，承重，门禁等等。
网络设备，操作系统的管理中可以使用安全基线，比如CIS发布的安全基线。

应用系统安全规范

如果企业有自己开发的应用，那么需要制定需求分析流程，设计流程，开发流程，测试流程，上线流程等。确保安全设计在应用开发的每个阶段中都有体现。

数据保护安全规范

在2021年9月1日，我们正式实施了数据安全保护法，明确规定了数据安全保护应尽义务和职责。
数据安全保护应当涵盖数据整个生命周期，包括采集，使用，传输，存储，销毁等。
在2021年11月1日，个人隐私保护法也将实施，对个人隐私数据的保护提出了更高的要求。
规范可以参照这两个法律来编写

人员安全管理规范

人员安全主要是指人员的聘用前的背景调查，聘用中的行为准则，离职时的离职流程，例如权限撤销，账号销毁等。
同时还要制定来宾来访流程，以及来宾设备联网流程。

安全事件管理规范

事件管理包括事件的发现，记录，响应，处置，分析，总结，定责等方面。
事件可以是来自内部的事件，例如员工不遵守规章制度，有滥用信息系统的行为，应当如何汇报，如何处置；事件也可以来自企业外部，例如发现攻击行为，如何汇报，如何恢复，如何留存证据等

业务连续性和灾难恢复

业务连续性是指在企业业务遭到破坏的时候，如何保证业务的继续，不至于中断，或者中断后能够快速的恢复。
灾难恢复是指企业业务遭到重创，已经不可能继续下去，必须在另起炉灶重新开张的情况下该如何做。
业务连续性和灾难恢复都属于流程类的东西，其目的在于保证业务遭受伤害时，每个人都知道自己应该干什么。