企业信息的日常“武器”安全的审计

申请免费试用、咨询电话：400-8352-114

在艾默生网络能源公司位于深圳南山区科技园的大楼里，信息安全部经理杨世斌正指导同事做电影剪辑。他面前的电脑屏幕上，尼古拉斯·凯奇刚刚通过再现密码锁上的指纹和对几个数字排列组合的计算，破解了美国国家档案馆的密码，闪身进入机密档案室，寻找隐藏着国家宝藏秘密的那份《独立宣言》。

郭云凌: 我们要从整条供应链上，保证信息安全体系的完整

这是美国大片《国家宝藏》中的经典片断，杨世斌小心地把这段剪下来，开始制作艾默生的信息安全宣传录像。自从2004年艾默生网络能源公司建立信息安全审计制度和信息安全体系以来，他已制作了不少类似Flash、小电影，以加深员工对信息系统安全的认识。

“保护神”

如今，IT系统几乎普及应用于企业运营的所有关键部分，因此一旦IT出现风险将会带来重创。于是，那些对IT系统依赖度强、组织结构复杂的大型企业开始引进信息安全审计制度，不断“审视”自身的信息安全。

2006年底，毕博信息技术（上海）公司通过了ISO27001的认证，成为中国第11个取得该认证的企业。这是一项针对企业整体信息安全体系的认证，通过它意味着企业的信息系统安全性得到了权威机构的认可。不过，通过认证并不意味着一劳永逸，毕博以后不但需要每年两次要“应对”相关机构的审计，它的IT部门还需要不断根据业务与市场发展，更新IT系统安全标准，以保证持续取得认证。据负责该项目的毕博信息技术公司高级IT经理江玮介绍，他们为了取得认证，“耗资巨大，单是硬件投资就有数十万美元，另外还有数十万美元用于改进软件系统”。此外，他们还做了多项重大流程修改。

对毕博信息技术公司而言，通过ISO27001认证的好处显而易见。毕博信息技术公司是毕博管理咨询公司的全球研发中心，负责咨询项目的IT系统研发部分，其承担的很多项目都涉及客户的核心流程与信息数据。2004年，毕博信息技术公司开始接到客户对其IT系统进行信息安全审计的要求；之后，有这种需求的客户越来越多，在2007年的前5个月，已有10家客户向它提出了信息安全审计的要求。

“过去，客户请来外审机构，要求我们改哪里就改哪里。”江玮说。然而随着有类似需求的客户逐年增加，“头疼医头”的做法使得毕博信息技术公司不得不付出巨大成本。于是，它急需建立一套完备的日常信息安全审计制度，以覆盖企业信息安全的方方面面，且得到市场认可。参照国际通行的ISO27001改进企业流程，建立相应的信息安全保障制度，无疑可以给客户吃下一颗定心丸——他们外包给毕博开发的信息系统与相关数据，都能得到“国际水平”的保护。

通过推进ISO27001安全标准，江玮将毕博信息技术公司相对松散的IT管理流程转化为集中管理模式，通过IT部门的统一控制来降低信息安全风险。他在客户端的管理上，采用了“瘦客户端”理念——员工对自己的电脑只有使用权，没有管理权，电脑中的所有信息都由IT部门进行统一管理和部署；用户禁止用U盘，也不能在电脑上安装、使用即时通信工具。

毕博信息技术公司借助引入ISO27001，还对管理流程进行了重新梳理，在原有流程中加入了很多为保证信息安全而设立的环节，并建立了相应的评估机制。以前，毕博信息技术公司基本没有规范的IT故障报送流程，遇到IT故障的员工会直接给IT部门打电话，而IT部门也会随便派一个IT人员处理故障。现在，他们增加了对IT故障的潜在风险进行评估和相应处理的流程，故障从报送入口就被统一起来，事故有相应人负责处理和记录；报送记录同时会被提交到IT工程师和系统分析团队，前者负责处理事故，后者负责评估风险。

为了保证信息安全管理流程能落到实处，江玮建立了相应的制度。他将企业的硬件、软件和数据、流程、人定义为4大信息资产，分别指定了明确的责任人，用白纸黑字的制度文件固定下来，并制定了评估标准与周期，确定了可量化的考核指标，“这些都是为了避免问题发生时，出现互相扯皮的现象”。

信息安全一定无法离开IT技术的保障。在技术应用上，江玮同样遵循了统一管理的思路。他在与总部进行深入探讨后，准备在新加坡设立统一的亚太区管理中心，将辖区内所有项目组的服务器都放在新加坡进行统一管理与备份。“项目组要用服务器必须向管理中心申请，由它批相应的CPU空间。”以前，毕博信息技术公司各项目组通常是用自己的项目预算购买服务器、自己进行管理，“这样信息资产非常容易被拷贝或遭到破坏”。如果江玮建议的这项流程变革能够实现，他觉得“全公司的信息安全才真正有了保障”。

兼顾安全与效率

去年10月在美国纳斯达克上市的上海如家酒店管理公司为了满足塞班斯法案对信息系统安全的要求，正在企业内部“紧急”推广信息安全审计制度。如家的技术总监邓树洪希望，自己能在信息系统的可控性与灵活性之间找到一个最佳平衡点——“在不到半年的时间里，既要让我们的信息安全审计体系符合塞班斯法案，还要兼顾如家快速发展带来流程经常性变化。”于是，重新梳理流程、划分责权利不可避免。与众不同的是，邓树洪提出了“用IT来监控IT”的理念，将信息安全审计制度通过他们自己开发的IT总控系统落实下去。

塞班斯法案对于企业来说，只是一个用于控制财务风险的框架性标准。通常企业在合规准备阶段，都会聘请外审机构确定风险控制点。邓树洪在进行总控系统的设计之前，与外审机构有过几次开诚布公的详谈，明确提出了自己的“最低标准和关键控制点”。

最终，这些关键控制点被确定为如家关键应用系统中的5个控制层面——公司层面、开发/变更层面、日常操作层面、备份管理及安全控制层面。它们涵盖了IT战略规划、IT风险评估、组织机构/岗位职责、酒店管理系统、关键应用系统（数据采集系统、账户管理系统、后台的采购平台、CRS、CRM、财务管理系统、开发/变更）及IT系统的配置变更、重大故障等审批执行等流程。这些关键点的任何操作、更改和变化都要被信息系统记录下来，留待外审进行审计。如家自行开发的IT总控系统全部覆盖了这些关键控制点。

为了配合“监控IT的IT系统”，如家还将内部安全审计制度设计成一张大的流程控制表，把各个环节用流程号串起来。“这样，当一个新部门和一种新流程出现时，就相当于在这个大表里加入一个模块，只需把流程号重新排列一下，再串起来就是一个新流程；然后再根据流程定义相应的责任人。”邓树洪说。如今，如家的总控系统已可以做到一旦新流程确定后，几个小时之内就可以完成总控体系的更改，且完全能符合信息安全审计制度的要求。

安全链

艾默生网络能源公司是全球最大的生产通信电源与相关设备的公司。最初，它的信息安全审计压力来自摩托罗拉、爱立信、诺基亚等大客户，于是它开始逐渐在企业内部建立了信息安全管理与审计制度。在内部制度建立完毕后，艾默生开始把“安全压力”转移到供应链下游，它要求自己的供应商也要接受相应的安全审计。“我们要从整条供应链上，保证信息安全体系的完整。”艾默生网络能源公司信息工程部总监郭云凌说。

由于外包业务的不断发展和供应链上不同企业间协同的增强，建立并对整条安全链进行审计，可以保证自己的核心知识产权不被泄密。有关专业人士指出，这种针对“安全链”的信息安全审计将会在国内大型制造企业中流行起来。

当供应商确定后，艾默生就会对它有定期或不定期的安全审计，看看供应商承诺的信息安全保护措施是否真正落实了。从去年开始，对于新增的供应商，艾默生实行了信息安全否决制——只要不符合他们的信息安全审计标准，就不能成为其供应商。目前，艾默生已对两家供应商提出了基于网络安全、病毒防护、数据保护、灾备等的审计标准。

郭云凌强调：“我们的信息安全体系必须与业务发展战略相配合。”艾默生最新确立的业务发展目标是在全球每个有研发的地方，都可以进行产品设计；同时，这些产品还可以在各地的制造合作伙伴处生产出来。这就涉及到不同地理区域和公司之间的文档信息交流，所以它的信息安全链必须保证全球战略的实现，保证文档信息在沟通和交流中不能出现泄密风险。

艾默生在通信电源和相关设备上，有着非常强的自主研发能力，每年申请的专利达上百个，“这构成了公司最重要的信息资产”。这也决定了艾默生面临的最大的信息安全威胁不是来自病毒或黑客攻击，而是来自企业内部。为此，2004年前后，艾默生开始建立自身的信息安全管理制度，信息安全审计制度作为管理体系的组成部分也在那时开始形成。郭云凌通过推动信息安全委员会的建立，将保障信息安全提升到公司的战略高度。这个信息安全委员会由CEO、CFO和所有副总经理组成。在信息安全委员会的指导下，郭云凌领导的信息工程部下专设了信息安全部，由3个人全职负责一系列制度的执行。此外，她还在在供应链、研发、市场、客服和财务等各业务部门都设置了一个信息安全专员，他们由信息安全部统一管理。

信息安全审计

信息安全审计是一种针对信息系统安全和可信度，所提出的安全评估方法。它在身份鉴别、访问控制、信息流控制、加密技术等多种安全措施的基础上，通过对已获得的数据进行评估，以及对信息系统及环境连续性、完整性管理的考核，从而评估信息系统的安全性。

在上世纪70 年代，伴随着多用户、分时计算机系统的普及，信息安全审计作为保障信息系统安全的制度逐渐发展起来；后来，它在对信息系统依赖性最高的金融业开始普及。一般而言，信息安全审计的主要依据为相关标准，如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800 等。这些标准从不同角度提出信息安全控制体系，基于它们可以有效地控制信息安全风险。(ccw-CEOCIO)