[摘要]文章分析了電子商務(wù)環(huán)境下企業(yè)信息安全管理所面臨的問題，借鑒ISO27001標(biāo)準(zhǔn)基于風(fēng)險管理的思想，為企業(yè)設(shè)計了一套系統(tǒng)化、程序化和文件化的信息安全管理體系(ISMS)，以期為企業(yè)信息安全實踐指明方向，為安全控制措施的有效落實打下堅實的基礎(chǔ)。

[關(guān)鍵詞]電子商務(wù)；ISO27001；信息安全管理體系；風(fēng)險管理

[中圖分類號]G202 [文獻(xiàn)標(biāo)識碼]A [文章編號]1008-0821(2011)02-0052-04

隨著信息技術(shù)的不斷發(fā)展和互聯(lián)網(wǎng)的普及，電子商務(wù)已經(jīng)成為21世紀(jì)世界經(jīng)濟(jì)的主流商務(wù)模式。電子商務(wù)的推行使得企業(yè)的競爭逐步建立在信息能力上，信息已成為企業(yè)保持競爭力和業(yè)務(wù)持續(xù)運營的重要資產(chǎn)，必須得到妥善的保護(hù)。然而，隨著信息技術(shù)的高速發(fā)展，許多信息安全的問題也紛紛涌現(xiàn)：系統(tǒng)癱瘓、病毒感染、黑客入侵、信息失真、數(shù)據(jù)丟失、客戶資料的流失及公司內(nèi)部資料的泄露等等，這些都將給企業(yè)帶來嚴(yán)重的影響，可以說信息安全問題所帶來的損失遠(yuǎn)大于交易的賬面損失。

據(jù)權(quán)威統(tǒng)計結(jié)果表明，企業(yè)信息受到的損失中，60％是由于內(nèi)部員工的疏忽或者有意泄密造成的。所以，信息安全不僅僅是一個技術(shù)問題，在很大程度上已經(jīng)表現(xiàn)為管理的問題，能不能對網(wǎng)絡(luò)和企業(yè)實現(xiàn)有效的管理與控制是信息安全的根本問題之一。但是長久以來，信息安全卻一直被人們視為單純的技術(shù)問題，歸于信息技術(shù)部門的獨立處理，所以，企業(yè)迫切需要一套符合國際標(biāo)準(zhǔn)的信息安全管理體系來保障企業(yè)信息的安全。本文針對電子商務(wù)環(huán)境下企業(yè)所面臨的信息安全問題，利用國際先進(jìn)的信息安全管理標(biāo)準(zhǔn)，將其應(yīng)用于企業(yè)信息安全管理的實踐中，可以有效的提高企業(yè)信息安全水平，保障企業(yè)的業(yè)務(wù)持續(xù)運行，提高企業(yè)的核心競爭力。

1. 信息安全管理標(biāo)準(zhǔn)

信息安全是依靠信息安全措施來保證的，安全措施則需要適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)來指導(dǎo)和管理。目前國際上公認(rèn)的信息安全管理方面的標(biāo)準(zhǔn)有ISO／IEC27001、CoBiT、sys Trust、COSO等，這些標(biāo)準(zhǔn)從不同的角度給企業(yè)的實踐提供了安全控制目標(biāo)。其中ISO／IEC27001是國際信息安全管理領(lǐng)域的重要標(biāo)準(zhǔn)，它來源于英國標(biāo)準(zhǔn)協(xié)會(British Standards Insti-tute，BSI)于1995年2月制定的信息安全管理標(biāo)準(zhǔn)BS7799。BS7799是應(yīng)用最為廣泛的信息安全管理標(biāo)準(zhǔn)，至2005年全部被國際標(biāo)準(zhǔn)化組織吸納，形成了ISO／IEC27001：2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》和IS0／IEC27002：2005《信息技術(shù)安全技術(shù)信息安全管理實施細(xì)則》兩個國際標(biāo)準(zhǔn)。

ISO／IEC27001信息安全管理體系由兩部分構(gòu)成。第一部分是信息安全管理體系的實施指南，提供了一套綜合的由信息安全最佳慣例組成的實施規(guī)則，主要內(nèi)容包括11個安全類別、39個控制目標(biāo)、133項控制措施。第二部分是信息安全管理體系規(guī)范，詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求，指出實施機構(gòu)應(yīng)遵循的風(fēng)險評估標(biāo)準(zhǔn)。

本文將ISO27001標(biāo)準(zhǔn)基于風(fēng)險管理的思想應(yīng)用于企業(yè)信息安全管理的實踐中，構(gòu)建一套全面完整的信息安全管理體系(Informadon security Management System，ISMS)，從而有效控制信息系統(tǒng)的風(fēng)險，確保在組織中建立充分和恰當(dāng)?shù)陌踩刂拼胧?，通過有效的風(fēng)險控制措施來保護(hù)組織的信息資產(chǎn)，增強包括客戶在內(nèi)的利益相關(guān)方的信心，提高組織的聲譽。

2. 電子商務(wù)環(huán)境下企業(yè)信息安全管理問題

電子商務(wù)的發(fā)展為企業(yè)帶來快捷、方便和利益，但同時也使得企業(yè)在信息安全管理中面臨著更多、更嚴(yán)峻的問題，主要表現(xiàn)在以下幾個方面：

2.1 重技術(shù)，輕管理

多數(shù)電子商務(wù)企業(yè)，不管是在早期的加密技術(shù)、數(shù)據(jù)備份、防病毒，還是近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認(rèn)證、支付交易等安全技術(shù)上都作了大量投資，而對管理的重視卻一直不夠。具體表現(xiàn)在，機房重地可以隨意進(jìn)出，計算機或工作站管理人員在開機狀態(tài)下擅離崗位，重要或敏感信息臨時存放在本地的磁盤上，這都會導(dǎo)致信息處于未保護(hù)狀態(tài)，都會為外部入侵和內(nèi)部破壞埋下隱患。

2.2 信息安全風(fēng)險評估標(biāo)準(zhǔn)體系還有待完善

信息安全的需求難以確定，要保護(hù)的對象和邊界難以確定，缺乏系統(tǒng)、全面的信息安全風(fēng)險評估和評價體系以及全面、完善的信息安全保障體系。

2.3 企業(yè)對員工變動不夠重視

網(wǎng)絡(luò)的發(fā)展提供了更多的就業(yè)機會，電子商務(wù)企業(yè)員工跳槽現(xiàn)象非常普遍，而電腦易手問題沒有妥善解決。新員工可能會有這樣的經(jīng)歷：到一家新公司工作，了解新公司最好的渠道就是從自己前任的電腦里搜集相關(guān)信息，有時甚至包括公司以往的客戶記錄、獎懲制度等。同樣，跳槽的員工也可以將客戶資料帶到競爭對手的公司。這都會導(dǎo)致企業(yè)客戶流失，甚至企業(yè)戰(zhàn)略丟失，給企業(yè)帶來威脅。

2.4 企業(yè)對員工信息安全意識的教育和培訓(xùn)不夠，員工缺乏信息安全意識

比如，員工對自己的用戶名和密碼、記憶系統(tǒng)登錄口令等不注意保護(hù)，一旦泄密，就足以毀掉化費大量人力物力建立起來的信息安全系統(tǒng)。

2.5 對客戶資料的保密性管理不到位

電子商務(wù)依托于Internet網(wǎng)絡(luò)平臺進(jìn)行交易，買賣雙方通過Intenet的信息流動來實現(xiàn)商品交換，這使得客戶的信息面臨著安全威脅。比如：用戶身份證明信息被攔截竊用；域名信息被監(jiān)聽和擴散；一些企業(yè)的商務(wù)網(wǎng)站甚至將交易記錄和用戶的評價信息公開在網(wǎng)站上。這都可能使客戶的信息被泄露，導(dǎo)致企業(yè)丟失客戶甚至損害聲譽。

2.6 系統(tǒng)訪問權(quán)限設(shè)置不清，工作人員職責(zé)不明

企業(yè)內(nèi)部人員了解內(nèi)部的網(wǎng)絡(luò)、主機和應(yīng)用系統(tǒng)的結(jié)構(gòu)，利用一定的訪問權(quán)限，可以輕易地繞過許多訪問控制機制，在內(nèi)部系統(tǒng)進(jìn)行網(wǎng)絡(luò)刺探、嘗試登錄、破解密碼等都相對容易。

2.7 電子商務(wù)系統(tǒng)缺乏法制化的防范機制

政策法規(guī)難以適應(yīng)電子商務(wù)發(fā)展的需要，電子商務(wù)信息安全立法還存在相當(dāng)多的空白，電子商務(wù)法、數(shù)據(jù)庫保護(hù)法、數(shù)字媒體法、計算機犯罪法以及計算機安全監(jiān)管法等電子商務(wù)正常運作所需的配套法規(guī)尚不健全。

3. 企業(yè)信息安全管理體系構(gòu)建

結(jié)合電子商務(wù)環(huán)境下企業(yè)的特點，針對以上提出的企業(yè)面臨的信息安全管理問題，借鑒ISO27001標(biāo)準(zhǔn)基于風(fēng)險管理的思想，建立一套系統(tǒng)化、程序化和文件化的信息安全管理體系。該體系以預(yù)防控制為主要思想，強調(diào)全過程和動態(tài)控制，本著控制費用與風(fēng)險平衡的原則合理選擇安全控制方式保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn)，使信息風(fēng)險的發(fā)生概率和結(jié)果降低到可接受水平，確保信息的保密性、完整性和可用性，保持組織業(yè)務(wù)運作的持續(xù)性。ISMS具體構(gòu)建步驟如圖1所示。

3.1 確定IBMS適用范圍

該步驟確定信息資產(chǎn)中需要保護(hù)的對象，明確保護(hù)信息資產(chǎn)的管理對策的范圍和邊界。如計算機軟硬件、網(wǎng)絡(luò)相關(guān)的信息、企業(yè)文件、專利、配方、報價、規(guī)章制度、財務(wù)數(shù)據(jù)、計劃、關(guān)鍵人員等等，這些資產(chǎn)都應(yīng)該列入信息保護(hù)對象進(jìn)行妥善保護(hù)。

3.2 制定ISMS相關(guān)文件

該步驟主要為了合理保護(hù)信息資產(chǎn)，制定適用于企業(yè)的文書體系，并確定與信息安全相關(guān)的IBMS方針，方針應(yīng)包括：設(shè)定目標(biāo)的框架和建設(shè)信息安全工作的總方向和原則；考慮業(yè)務(wù)的和法律法規(guī)的要求；在組織戰(zhàn)略分線管理的環(huán)境下，建立和保持ISMS；建立風(fēng)險評價的準(zhǔn)則和評價方法的選擇等內(nèi)容。

3.3 風(fēng)險評估

風(fēng)險評估(Risk Assessment)是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的最重要過程。風(fēng)險評估可以分為資產(chǎn)識別、資產(chǎn)分類、資產(chǎn)賦值、威脅分析、脆弱性識別、風(fēng)險計算、風(fēng)險控制措施提出等階段。

3.3.1 資產(chǎn)識別與評價

資產(chǎn)識別是進(jìn)行評估的基礎(chǔ)，是指在界定ISMS范圍的基礎(chǔ)之上，評估小組在進(jìn)行風(fēng)險計算前，要對各部門的重要信息資產(chǎn)進(jìn)行識別。識別通常有兩種方法：一是根據(jù)資產(chǎn)的物理形態(tài)，將某個物理上獨立的對象確定為一個資產(chǎn)，如服務(wù)器、應(yīng)用軟件等；二是將信息以及與之相關(guān)的處理或者更新的過程確定為一個資產(chǎn)，如人、軟件、硬件、數(shù)據(jù)、文檔和環(huán)境等各種信息資產(chǎn)。

企業(yè)內(nèi)部的資產(chǎn)識別后，需要進(jìn)行逐一分類編號，可以將不同的信息資產(chǎn)分別用A1、A2、A3、……表示，然后再對分類好的資產(chǎn)進(jìn)行賦值。評估小組的成員要按照各部門業(yè)務(wù)的特點，分別從資產(chǎn)的保密性、完整性、可用性3個方面評分。針對每一方面根據(jù)資產(chǎn)相對價值重要性劃分為五級，用0、1、2、3、4五個數(shù)字表示，得到企業(yè)資產(chǎn)識別與評價表。

3.3.2 威脅分析與評價

一項信息資產(chǎn)可能面臨多個威脅，一個威脅可能對不同的資產(chǎn)造成影響，威脅識別應(yīng)確認(rèn)威脅由誰或什么事物引發(fā)，威脅可能來源于意外的或者有預(yù)謀的事件。比如，通過電子郵件傳遞的客戶需求預(yù)測報告，就面臨由內(nèi)部人員故意或無意的非授權(quán)訪問或操作導(dǎo)致的完整性和機密性損失的威脅。對企業(yè)內(nèi)每一項可能的信息安全威脅都進(jìn)行編號，分別用B1、B2、B3、……表示，并將威脅發(fā)生的可能性從低到高劃分為三級，分別用0、1、2表示，得到企業(yè)內(nèi)部的威脅識別與評價表。

3.3.3 薄弱點識別

薄弱點可能來自軟件、硬件、人員、環(huán)境、管理及通信設(shè)備等等，某個威脅可能利用多個薄弱點，一個弱點也可能被多個威脅利用，弱點一旦被威脅利用就可能產(chǎn)生風(fēng)險，從而影響到組織的業(yè)務(wù)持續(xù)性。在電子商務(wù)企業(yè)中，比如：購物平臺系統(tǒng)存在漏洞、訪問權(quán)限設(shè)置不當(dāng)、管理或者研發(fā)人員的弱口令、員工缺乏安全意識等，都是薄弱點。通過對每個信息安全薄弱點進(jìn)行編號，分別用C1、C2、C3、……表示，并將其被利用的可能性從低到高劃分為三級，分別用0、1、2表示，從而可以得到企業(yè)內(nèi)部薄弱點的識別與評價表。

3.4 風(fēng)險測量

使用風(fēng)險矩陣表(又稱為預(yù)先價值矩陣)進(jìn)行測量，該方法是利用威脅發(fā)生的可能性、薄弱點被威脅利用的可能性及資產(chǎn)的相對價值的三維矩陣來確定風(fēng)險的大小，用上述風(fēng)險識別中所劃分的等級來測量。分別將企業(yè)內(nèi)部的資產(chǎn)識別與評價表、威脅識別與評價表、薄弱點識別與評價表中各項編號和等級值代入矩陣表，就得到下述形式的風(fēng)險價值矩陣表1：

通過上述風(fēng)險價值矩陣表的建立，就可以根據(jù)矩陣中的取值，采用區(qū)間劃分方法確定不同的風(fēng)險優(yōu)先級別，以便因地制宜，選取適當(dāng)?shù)目刂拼胧?。?dāng)風(fēng)險值為6、7、8時，為高危風(fēng)險，須立即處理；當(dāng)風(fēng)險值為3、4、5時，為一般風(fēng)險，須采取一定措施降低風(fēng)險；當(dāng)風(fēng)險值為0、1、2時，為低風(fēng)險，代表可以暫不采取措施或者可以忽略。

4. 企業(yè)信息安全控制措施

通過確定信息安全管理體系范圍所涉及的風(fēng)險以及信息資產(chǎn)的風(fēng)險值，結(jié)合企業(yè)采取的風(fēng)險控制策略和業(yè)務(wù)需求，處理組織面臨的風(fēng)險，對電子商務(wù)環(huán)境下企業(yè)信息安全管理提出如下幾條管理方法：

4.1 建設(shè)組織管理機構(gòu)

該機構(gòu)應(yīng)由企業(yè)管理層和相關(guān)安全技術(shù)管理人員組成，主要負(fù)責(zé)定期召開會議分析當(dāng)前安全形勢，不時對現(xiàn)有的方案進(jìn)行改進(jìn)，根據(jù)實際情況，及時調(diào)整部門及人員的責(zé)任，督促企業(yè)信息安全的管理工作的實施。

4.2 明確要保護(hù)的信息資產(chǎn)并分類

根據(jù)企業(yè)資產(chǎn)和業(yè)務(wù)的特點，我們將企業(yè)內(nèi)部的信息資產(chǎn)分為以下幾類：

數(shù)據(jù)：業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)庫數(shù)據(jù)，客戶資料，生產(chǎn)報告，銷售數(shù)據(jù)，客戶反饋信息等。

軟件：業(yè)務(wù)信息系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，工具軟件、網(wǎng)站，電子郵件系統(tǒng)等。

硬件：工作站，打印機，傳真機，臺式計算機，移動筆記本，郵件收發(fā)服務(wù)器，文件服務(wù)器，防火墻，路由器，交換機，移動存儲設(shè)備等。

人員：企業(yè)所有人員。

服務(wù)：辦公服務(wù)，網(wǎng)絡(luò)服務(wù)，第三方服務(wù)等。

4.3 管理分類資產(chǎn)

將企業(yè)中的各項資產(chǎn)分類后，對每一項新增加的信息資產(chǎn)需要及時登記在資產(chǎn)清單上，并把資產(chǎn)分給每個工作人員進(jìn)行安全保護(hù)，每個員工將自己所分到的保護(hù)資產(chǎn)的每天使用情況必須進(jìn)行詳細(xì)記錄，如發(fā)現(xiàn)異常，須及時向管理層或相關(guān)部門反映。

4.4 控制訪問權(quán)限

對于企業(yè)信息的訪問，可以采用基于角色的控制訪問的思想，將訪問權(quán)限與角色關(guān)聯(lián)起來，通過指派和取消角色來完成用戶權(quán)限的授予和取消。角色一般可以按照參與者的職能或能力來劃分，如企業(yè)決策者、企業(yè)經(jīng)理或普通職員等。管理組織需要預(yù)先定義好角色，并將相應(yīng)的權(quán)限賦予角色，然后根據(jù)用戶的職責(zé)分配對應(yīng)的角色。這樣，就把角色作為用戶與權(quán)限的中介，實現(xiàn)了用戶與權(quán)限的邏輯分離，提高了權(quán)限管理的效率。例如，某個訪問者更改職位，只需改變他被賦予的角色就可以了。

4.5 簽訂保密合同

企業(yè)需要與客戶、員工以及第三方簽訂保密協(xié)議。與客戶簽訂保密合同，明確需要保密的數(shù)據(jù)和保密措施和責(zé)任劃分，例如，客戶以郵件、傳真或文本傳輸?shù)刃问絺鬟f定單等信息前，必須通知相關(guān)業(yè)務(wù)員，等確認(rèn)后再傳遞過來，盡量減少信息泄露的機會；與員工簽訂保密合同，明確規(guī)定員工對企業(yè)信息安全的責(zé)任，保密要求及違反約定的法律責(zé)任；在允許第三方使用或處理公司的信息設(shè)施之前，也必須要求他們簽訂相關(guān)保密合同。

4.6 員工信息安全意識培訓(xùn)

企業(yè)員工缺乏信息安全意識已經(jīng)成為有效信息安全控制的頭號障礙，所以定期對員工進(jìn)行教育和培訓(xùn)，對于企業(yè)信息安全管理非常重要。通過教育和培訓(xùn)改變企業(yè)員工對信息安全的態(tài)度，使操作人員知曉信息安全對企業(yè)的重要性，企業(yè)安全規(guī)章制度的含義以及職責(zé)范圍內(nèi)需要注意的安全問題。

4.7 規(guī)定獎懲制度

在依從國家相關(guān)信息法律法規(guī)，不與刑法等相關(guān)法律相抵觸的前提下，制定企業(yè)信息安全獎懲制度，當(dāng)員工違反組織信息安全方針或程序時，應(yīng)該按照規(guī)定對其進(jìn)行懲戒。手段可以是行政和經(jīng)濟(jì)等方面的處罰。

5. 結(jié)論

電子商務(wù)環(huán)境下企業(yè)的信息安全是一個整體性很強的體系，包括技術(shù)、管理、人員等多個環(huán)節(jié)，不能孤立或者靜止地看待和解決問題，信息安全性的提高不僅僅依賴于不斷的技術(shù)進(jìn)步和應(yīng)用，更重要的是依賴于管理的不斷完善和人員素質(zhì)的全面提高。

本文將ISO27001標(biāo)準(zhǔn)基于風(fēng)險管理的思想應(yīng)用于企業(yè)信息安全管理系統(tǒng)的建設(shè)，可以有效提高信息安全的保密性、完整性和可用性，降低信息所面對的安全風(fēng)險，規(guī)范組織信息安全行為，使得企業(yè)在信息安全管理方面邁上一個新臺階。但同時我們應(yīng)該注意，ISMS是一套不限于IT技術(shù)的管理系統(tǒng)，它需要全公司員工身體力行方能奏效。在實施的過程中，需要經(jīng)營管理階層的認(rèn)知與全力支持，以及全體員工的共識和配合；需要對員工不斷實施培訓(xùn)和教育等活動；尤其需要定期審核和檢查，以確保系統(tǒng)可以持續(xù)不斷的執(zhí)行。

參考文獻(xiàn)

[1]余泰勇，信息安全風(fēng)險管理研究[J]，信息安全與通信保密，2006，(7)：103-104.

[2]孫強，陳偉，王東紅，信息安全管理：全球最佳實務(wù)與實施指南[M]，北京：清華大學(xué)出版社，2004，(1)：6-8.

[3]吳國慶，趙琳娣，基于ISO27001：2005的電網(wǎng)公司信息安全管理[J]，信息技術(shù)與標(biāo)準(zhǔn)化，2007，(9)：40.

[4]ISO/IEC 17799：2005 Information technology security techniques code of practice for information security management[R]，2005，(10).

[5]春增軍，基于ISO27001的企業(yè)信息安全保障體系的構(gòu)建設(shè)想[J]，情報雜志，2009，(5)：155-158.

[6]中華人民共和國國家標(biāo)準(zhǔn)GB/T22080-2008/ISO/IEC27001：2005信息安全管理體系要求[S]，國家質(zhì)量監(jiān)督檢驗檢疫總局，2008，(6)：1-20.

[7]張澤虹，基于評估流程的信息安全風(fēng)險的綜合評估[J]，計算機工程與應(yīng)用，2008，(10)：111-115.

[8]黃水清，程旭，Bs7799在圖書館中的應(yīng)用[J]，大學(xué)圖書館學(xué)報，2004，(1)：60-67.

[9]卞寶銀，王一莉，協(xié)同環(huán)境下擴展角色訪問控制模型設(shè)計與研究[J]，計算機工程與設(shè)計，2010，(4)：717-719.