隆峰　謝宗曉（南開大學(xué)商學(xué)院）

?

信息安全規(guī)劃思路初探

隆峰謝宗曉
（南開大學(xué)商學(xué)院）

摘要：信息安全規(guī)劃是信息安全建設(shè)整個過程中的重要一環(huán)，相當(dāng)于信息系統(tǒng)建設(shè)或軟件開發(fā)全生命周期的總體設(shè)計階段，是為整個信息安全工作“理思路、定框架”。本文從信息安全規(guī)劃的概念、建設(shè)思路、一般方法等進(jìn)行初步探討。關(guān)鍵詞： 信息安全信息安全規(guī)劃流程信息安全架構(gòu)

謝宗曉　博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文38篇，出版專著12本。

信息安全管理系列之十二

目前大多數(shù)企業(yè)的信息安全建設(shè)屬于“事件觸發(fā)型”或“項目建設(shè)型”，在發(fā)生信息安全事件時才想起來進(jìn)行信息安全的投入和建設(shè)，在建設(shè)時也沒有進(jìn)行體系化和有針對性的考慮和設(shè)計，僅僅以單個信息安全產(chǎn)品、服務(wù)進(jìn)行堆疊，頭痛醫(yī)頭，腳痛醫(yī)腳，而最終效果卻不理想，信息安全部門成為救火隊疲于奔命。為構(gòu)建信息安全縱深防御體系和全面防護(hù)能力，應(yīng)當(dāng)對信息安全工作進(jìn)行頂層設(shè)計和全面規(guī)劃布局，明確總體工作思路、任務(wù)和重點，才能最終建立科學(xué)、合理、有效的信息安全管控體系。本文對信息安全規(guī)劃及其相關(guān)問題進(jìn)行初步探討。

謝宗曉（特約編輯）

1　信息安全規(guī)劃概述

規(guī)劃是個人或組織根據(jù)自身發(fā)展需要，對戰(zhàn)略、需求、目標(biāo)進(jìn)行分析，從戰(zhàn)略性、長遠(yuǎn)性、全局性、方向性上考量，進(jìn)而形成指導(dǎo)一定時期內(nèi)企業(yè)生存與發(fā)展的可執(zhí)行方案。

不同于“計劃”側(cè)重于短期性和偏戰(zhàn)術(shù)、執(zhí)行層面，規(guī)劃更多考慮的是戰(zhàn)略層面的布局，是在“可預(yù)見的未來”條件下的行動路線（而不是行動指南）。信息安全規(guī)劃作為企業(yè)戰(zhàn)略在信息安全方面的落實和擴(kuò)展，是以企業(yè)整體發(fā)展戰(zhàn)略、信息化規(guī)劃為基礎(chǔ)，考慮外部合規(guī)、內(nèi)部管控需要，診斷、分析、評估企業(yè)信息安全差距和需求，并結(jié)合信息安全最佳實踐以及發(fā)展趨勢，總結(jié)和提出企業(yè)信息安全建設(shè)的遠(yuǎn)景、目標(biāo)、框架、任務(wù)和行動路線的過程。

信息安全規(guī)劃按照一般方法主要分為幾個階段（見圖1）。

圖1　信息安全規(guī)劃幾個階段

2　需求理解：從業(yè)務(wù)、信息化到信息安全

支撐企業(yè)信息化，保障企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)安全、可靠，是信息安全的首要、直接目的，而信息化又是以支撐企業(yè)業(yè)務(wù)為主要目的的，企業(yè)業(yè)務(wù)服務(wù)于企業(yè)發(fā)展戰(zhàn)略，因此，要找準(zhǔn)信息安全的定位，就應(yīng)在規(guī)劃時自上而下考慮企業(yè)發(fā)展戰(zhàn)略、業(yè)務(wù)目標(biāo)、信息化建設(shè)規(guī)劃、外部監(jiān)管合規(guī)、內(nèi)部管控對信息安全的需求，具體如表1所示。

表1　需求理解

3　概要設(shè)計：設(shè)計信息安全的整體架構(gòu)

信息安全在規(guī)劃時應(yīng)首先考慮框架性設(shè)計，在總結(jié)信息安全現(xiàn)狀、需求、工作環(huán)境、工作指導(dǎo)思想等影響因素之上，參考成熟信息安全模型、最佳實踐框架、技術(shù)標(biāo)準(zhǔn)架構(gòu)，來構(gòu)建信息安全的總體邊界、內(nèi)容框架、思路方法。概要設(shè)計中應(yīng)制定信息安全的愿景和使命、總體目標(biāo)、方針、總體框架。

（1）應(yīng)確定信息安全頂層設(shè)計的指導(dǎo)思想，上級直管部門工作要求以及高層領(lǐng)導(dǎo)戰(zhàn)略決策都可能成為指導(dǎo)信息安全工作思路的重要參考；（2）應(yīng)清楚信息安全建設(shè)的愿景和使命，從發(fā)展、遠(yuǎn)景戰(zhàn)略角度闡述信息安全工作的重要意義以及應(yīng)產(chǎn)生的積極作用；（3）應(yīng)明確信息安全的總體目標(biāo)與方針，從服務(wù)企業(yè)業(yè)務(wù)與保障信息化的角度闡述信息安全要起的主要保障作用和建設(shè)效果；（4）應(yīng)設(shè)計信息安全的總體框架，總體框架應(yīng)有模型或理論支撐，與指導(dǎo)思想保持一致性，和信息安全工作重點、緊迫性需求、差距短板等進(jìn)行結(jié)合，逐步形成完善的思路和框架，保證其符合當(dāng)前現(xiàn)狀以及一定時期內(nèi)的期望，并與前文描述的需求相匹配，突出重點，有針對性，切忌大而全、“放之四海而皆準(zhǔn)”。

信息安全概要設(shè)計中至少應(yīng)包括表2中的內(nèi)容。

表2　概要設(shè)計

4　詳細(xì)設(shè)計：分解信息安全的主要任務(wù)

概要設(shè)計是明確了信息安全的主體思路和工作框架，如何將相關(guān)構(gòu)想落實到具體工作中，調(diào)動相關(guān)的人財物等資源進(jìn)行優(yōu)化配置，部署相關(guān)的技術(shù)措施和管理手段，建立起規(guī)范的工作流程以進(jìn)行實踐并有效運轉(zhuǎn)，還應(yīng)將信息安全框架進(jìn)行細(xì)粒度分解，形成詳細(xì)的工作任務(wù)以指導(dǎo)實施。工作任務(wù)的來源可以是標(biāo)準(zhǔn)規(guī)范、最佳實踐或者同行案例，也可以是信息安全差距分析結(jié)果或者來自于業(yè)務(wù)的需求。應(yīng)將工作任務(wù)分解成相互獨立的任務(wù)單元，為體現(xiàn)工作任務(wù)的可實施性，還應(yīng)明確工作任務(wù)的目的、內(nèi)容、組織實施方式、實施周期、投資預(yù)算、影響因素等，相關(guān)描述不應(yīng)過細(xì)，但是也不能太模糊太籠統(tǒng)，應(yīng)能指導(dǎo)項目具體實施。具體見表3。

表3　工作任務(wù)分解要素描述

5　方案落地：確定具體的行動路線與時間表

各工作任務(wù)導(dǎo)出后，要在規(guī)劃時間段內(nèi)將工作任務(wù)完成，還應(yīng)進(jìn)行優(yōu)先級排序，厘清各任務(wù)間關(guān)聯(lián)因素，考慮外部環(huán)境、資源調(diào)配、執(zhí)行風(fēng)險等各方面影響因素，將各項工作任務(wù)合理安排到規(guī)劃的工作時間段中，以逐步落實各項任務(wù)的高效、有序、階段性進(jìn)行。

對任務(wù)優(yōu)先級排序可能產(chǎn)生的影響因素見表4。

表4　工作任務(wù)優(yōu)先級影響因素

任務(wù)優(yōu)先級設(shè)定時可針對以上因素做定性分析或?qū)＜矣懻?，也可進(jìn)行定量分析，生成影響因素矩陣圖，對緊迫性高、實施難度低的任務(wù)優(yōu)先進(jìn)行，緊迫性低、實施難度高的延后進(jìn)行，并最終形成建設(shè)時間階段內(nèi)的任務(wù)實施藍(lán)圖。

6　其他要點：成本效益分析

在信息安全建設(shè)中，需要權(quán)衡安全、成本、效率三者的關(guān)系。實際上，信息安全是“相對的安全”，信息安全防御手段總是滯后于攻擊技術(shù)的，人力、物力、財力也是有限的，信息安全投入過高則會“過度保護(hù)”，造成資源上的浪費，投入不足則導(dǎo)致信息安全風(fēng)險不能有效管控，存在造成難以挽回的經(jīng)濟(jì)、聲譽損失的可能。因此，企業(yè)在對信息安全活動進(jìn)行資源分配時必須對成本和收益進(jìn)行分析比較，找到其中的平衡。

參考文獻(xiàn)

[1]辛玉紅. 企業(yè)信息化建設(shè)中的信息安全問題[J]. 現(xiàn)代情報，2004（11）：205-207.

[2]孫劍穎. 企業(yè)信息安全投資的經(jīng)濟(jì)學(xué)決策模型淺析[J]. 東北財經(jīng)大學(xué)學(xué)報，2005（03）.

[3]林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標(biāo)準(zhǔn)出版社，2015.

Discuss of Information Security Planning

Long Feng, Xie Zongxiao
（ Business School, Nankai University ）

Abstract:Information security planning is an important part of the whole process of information security construction. It is similar to the overall design phase of the whole life-cycle of information system construction or software development. It is used to comb ideas and make a framework for information security. This paper discussed concepts, principles and process of information security planning.

Key words:information security, process of information security planning, information security architecture