ISO27在电子商务环境下的企业信息安全管理体系研究.docx

《ISO27在电子商务环境下的企业信息安全管理体系研究.docx》由会员分享，可在线阅读，更多相关《ISO27在电子商务环境下的企业信息安全管理体系研究.docx（15页珍藏版）》请在优知文库上搜索。

1、电子商务环境下基于IS027001区)企业信息安全管理体系研究摘要文章分析了电子商务环境下企业信息安全管理所面临的问题，借鉴IS027001原则基于风险管理的思想，为企业设计了一套系统化、程序化和文献化的信息安全管理体系(ISMS),以期为企业信息安全实践指明方向，为安全控制措施的有效贯彻打下坚实的基础。关键词电子商务；5027001；信息安全管理体系；风险管理中图分类号G202文献标识码A文章编1008-0821(2023)02-0052-04伴随信息技术的I不停发展和互联网的普及，电子商务已经成为二十一世纪世界经济的(主流商务模式。电子商务的推行使得企业的)竞争逐渐建立在信息能力上，信息已

2、成为企业保持竞争力和业务持续运行的!重要资产，必须得到妥善的保护。然而，伴随信息技术的高速发展，许多信息安全的问题也纷纷涌现：系统瘫痪、病毒感染、黑客入侵、信息失真、数据丢失、客户资料区J流失及企业内部资料的泄露等等，这些都将给企业带来严重的影响，可以说信息安全问题所带来时损失远不小于交易的账面损失。据权威记录成果表明，企业信息受到的损失中，60%是由于内部员工的疏忽或者故意泄密导致的。因此，信息安全不仅仅是一种技术问题，在很大程度上已经体现为管理的问题，能不能对网络和企业实既有效的管理与控制是信息安全的!主线问题之一。不过长期以来，信息安全却一直被人们视为单纯的!技术问题，归于信息技术部门的

3、独立处理，因此，企业迫切需要一套符合国际原则的信息安全管理体系来保障企业信息的I安全。本文针对电子商务环境下企业所面临的信息安全问题，运用国际先进的I信息安全管理原则，将其应用于企业信息安全管理的实践中，可以有效的提高企业信息安全水平，保障企业的业务持续运行，提高企业的关键竞争力。1 .信息安全管理原则信息安全是依托信息安全措施来保证的，安全措施则需要合适的!安全原则来指导和管理。目前国际上公认的信息安全管理方面的I原则有ISO/IEC27001、CoBiTsysTrustCOSO等，这些原则从不一样的角度给企业的实践提供了安全控制目的I。其中ISO/IEC27001是国际信息安全管理领域的J

4、重要原则，它来源于英国原则协会(BritiShStandardslnsti-tute,BSI)于1995年2月制定的)信息安全管理原则BS7799oBS7799是应用最为广泛的信息安全管理原则，至2023年所有被国际原则化组织吸纳，形成了ISO/IEC27001：2023信息技术安全技术信息安全管理体系规定和ISO/IEC27002：2023信息技术安全技术信息安全管理实行细则两个国际原则。ISO/IEC27001信息安全管理体系由两部分构成。第一部分是信息安全管理体系的实行指南，提供了一套综合的由信息安全最佳通例构成的实行规则，重要内容包括11个安全类别、39个控制目的)、133项控制措施。

5、第二部分是信息安全管理体系规范，详细阐明了建立、实行和维护信息安全管理体系的规定，指出实行机构应遵照的风险评估原则。本文将IS027001原则基于风险管理肚!思想应用于企业信息安全管理的实践中，构建一套全面完整的信息安全管理体系(InformadOnsecurityManagementSystem,ISMS),从而有效控制信息系统的风险，保证在组织中建立充足和恰当的安全控制措施，通过有效欧I风险控制措施来保护组织的!信息资产，增强包括客户在内的I利益有关方的I信心，提高组织的声誉。2 .电子商务环境下企业信息安全管理问题电子商务的发展为企业带来快捷、以便和利益，但同步也使得企业在信息安全管理中

6、面临着更多、更严峻的问题，重要表目前如下几种方面：2.1 重技术，轻管理多数电子商务企业，不管是在初期的加密技术、数据备份、防病毒，还是近期网络环境下的防火墙、入侵检测、身份认证、支付交易等安全技术上都作了大量投资，而对管理的!重视却一直不够。详细表目前，机房重地可以随意进出，计算机或工作站管理人员在开机状态下擅离岗位，重要或敏感信息临时寄存在当地的磁盘上，这都会导致信息处在未保护状态，都会为外部入侵和内部破坏埋下隐患。2.2 信息安全风险评估原则体系尚有待完善信息安全的!需求难以确定，要保护的!对象和边界难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。2

7、.3 企业对员工变动不够重视网络的发展提供了更多的就业机会，电子商务企业员工跳槽现象非常普遍，而电脑易手问题没有妥善处理。新员工也许会有这样的I经历：到一家新企业工作，理解新企业最佳的）渠道就是从自己前任的电脑里搜集有关信息，有时甚至包括企业以往的!客户记录、奖惩制度等。同样，跳槽的员工也可以将客户资料带到竞争对手的企业。这都会导致企业客户流失，甚至企业战略丢失，给企业带来威胁。2.4 企业对员工信息安全意识的教育和培训不够，员工缺乏信息安全意识例如，员工对自己的顾客名和密码、记忆系统登录口令等不注意保护，一旦泄密，就足以毁掉化费大量人力物力建立起来的!信息安全系统。2.5 对客户资料的保密性

8、管理不到位电子商务依托于Internet网络平台进行交易，买卖双方通过Intenet的信息流动来实现商品互换,这使得客户的!信息面临着安全威胁。例如：顾客身份证明信息被拦截窃用；域名信息被监听和扩散；某些企业的商务网站甚至将交易记录和顾客的评价信息公开在网站上。这都也许使客户的信息被泄露，导致企业丢失客户甚至损害声誉。2.6 系统访问权限设置不清，工作人员职责不明企业内部人员理解内部欧I网络、主机和应用系统的构造，运用一定的访问权限，可以轻易地绕过许多访问控制机制，在内部系统进行网络刺探、尝试登录、破解密码等都相对轻易。2.7 电子商务系统缺乏法制化的防备机制政策法规难以适应电子商务发展的需要

9、，电子商务信息安全立法还存在相称多的空白，电子商务法、数据库保护法、数字媒体法、计算机犯罪法以及计算机安全监管法等电子商务正常运作所需的配套法规尚不健全。3 .企业信息安全管理体系构建结合电子商务环境下企业的特点，针对以上提出的企业面临时信息安全管理问题，借鉴IS027001原则基于风险管理的思想，建立一套系统化、程序化和文献化的信息安全管理体系。该体系以防止控制为重要思想，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使信息风险的!发生概率和成果减少到可接受水平，保证信息的保密性、完整性和可用性，保持组织业务运作的持续性。ISMS详细构建

10、环节如图1所示。3.1 确定IBMS合用范围该环节确定信息资产中需要保护的对象，明保证护信息资产的管理对策的范围和边界。如计算机软硬件、网络有关欧I信息、企业文献、专利、配方、报价、规章制度、财务数据、计划、关键人员等等，这些资产都应当列入信息保护对象进行妥善保护。3.2 制定ISMS有关文献该环节重要为了合理保护信息资产，制定合用于企业的文书体系，并确定与信息安全有关的HBMS方针，方针应包括：设定目的的I框架和建设信息安全工作的!总方向和原则；考虑业务的和法律法规的规定；在组织战略分线管理日勺环境下，建立和保持ISMS；建立风险评价的准则和评价措施的!选择等内容。3.3 风险评估风险评估(

11、RiSkASSeSSment)是组织确定信息安全需求的J一种重要途径，属于组织信息安全管理体系筹划时最重要过程。风险评估可以分为资产识别、资产分类、资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等阶段。3.3.1 资产识别与评价资产识别是进行评估的基础，是指在界定ISMS范围的I基础之上，评估小组在进行风险计算前，要对各部门的重要信息资产进行识别。识别一般有两种措施：一是根据资产的物理形态，将某个物理上独立的!对象确定为一种资产，如服务器、应用软件等；二是将信息以及与之有关的)处理或者更新的过程确定为一种资产，如人、软件、硬件、数据、文档和环境等多种信息资产。企业内部的I资产识别后

12、，需要进行逐一分类编号，可以将不一样的信息资产分别用Al.A2、A3、表达，然后再对分类好的资产进行赋值。评估小组的组员要按照各部门业务的特点，分别从资产的!保密性、完整性、可用性3个方面评分。针对每首先根据资产相对价值重要性划分为五级，用0、1、2、3、4五个数字表达，得到企业资产识别与评价表。3.3.2 威胁分析与评价一项信息资产也许面临多种威胁，一种威胁也许对不一样的资产导致影响，威胁识别应确认威胁由谁或什么事物引起，威胁也许来源于意外的I或者有预谋的事件。例如，通过电子邮件传递的客户需求预测汇报，就面临由内部人员故意或无意的非授权访问或操作导致的完整性和机密性损失的威胁。对企业内每一项

13、也许的信息安全威胁都进行编号，分别用Bl.B2、B3、表达，并将威胁发生时也许性从低到高划分为三级，分别用0、1、2表达，得到企业内部的威胁识别与评价表。3.3.3 微弱点识别微弱点也许来自软件、硬件、人员、环境、管理及通信设备等等，某个威胁也许运用多种微弱点，一种弱点也也许被多种威胁运用，弱点一旦被威胁运用就也许产生风险，从而影响到组织欧I业务持续性。在电子商务企业中，例如：购物平台系统存在漏洞、访问权限设置不妥、管理或者研发人员的弱口令、员工缺乏安全意识等，都是微弱点。通过对每个信息安全微弱点进行编号，分别用Cl、C2、C3、表达,并将其被运用的也许性从低到高划分为三级，分别用0、1、2表

14、达，从而可以得到企业内部微弱点的识别与评价表。3.4 风险测量使用风险矩阵表（又称为预先价值矩阵）进行测量，该措施是运用威胁发生的也许性、微弱点被威胁运用的!也许性及资产的相对价值的三维矩阵来确定风险的大小，用上述风险识别中所划分的等级来测量。分别将企业内部的资产识别与评价表、威胁识别与评价表、微弱点识别与评价表中各项编号和等级值代入矩阵表，就得到下述形式的风险价值矩阵表1：通过上述风险价值矩阵表的建立，就可以根据矩阵中的取值，采用区间划分措施确定不一样的风险优先级别，以便因地制宜，选用合适的）控制措施。当风险值为6、7、8时，为高危风险，须立即处理；当风险值为3、4、5时，为一般风险，须采用

15、一定措施减少风险；当风险值为0、1、2时，为低风险，代表可以暂不采用措施或者可以忽视。4 .企业信息安全控制措施通过确定信息安全管理体系范围所波及的风险以及信息资产的风险值，结合企业采用区）风险控制方略和业务需求，处理组织面临的I风险，对电子商务环境下企业信息安全管理提出如下几条管理措施：4.1 建设组织管理机构该机构应由企业管理层和有关安全技术管理人员构成，重要负责定期召开会议分析目前安全形势，不时对既有的方案进行改善，根据实际状况，及时调整部门及人员的责任，督促企业信息安全的管理工作的实行。4.2 明确要保护的信息资产并分类根据企业资产和业务的特点，我们将企业内部的信息资产分为如下几类：数

16、据：业务数据，数据库数据，客户资料，生产汇报，销售数据，客户反馈信息等。软件：业务信息系统，数据库系统，工具软件、网站,电子邮件系统等。硬件：工作站，打印机，机，台式计算机，移动笔记本，邮件收发服务器，文献服务器，防火墙，路由器，互换机，移动存储设备等。人员：企业所有人员。服务：办公服务，网络服务，第三方服务等。4.3 管理分类资产将企业中的（各项资产分类后，对每一项新增长的信息资产需要及时登记在资产清单上，并把资产分给每个工作人员进行安全保护，每个员工将自己所分到的保护资产的每天使用状况必须进行详细记录，如发现异常，须及时向管理层或有关部门反应。4.4 控制访问权限对于企业信息的访问，可以采用基于角色的控制访问时思想，将访问权限与角色关联起来，通过指派和取消角色来完毕顾客权限欧I授予