電子商務環境下基于ISO27001的企業信息安全管理體系研究

[摘要]文章分析了電子商務環境下企業信息安全管理所面臨的問題，借鑒ISO27001標準基于風險管理的思想，為企業設計了一套系統化、程序化和文件化的信息安全管理體系(ISMS)，以期為企業信息安全實踐指明方向，為安全控制措施的有效落實打下堅實的基礎。

[關鍵詞]電子商務；ISO27001；信息安全管理體系；風險管理

[中圖分類號]G202 [文獻標識碼]A [文章編號]1008-0821(2011)02-0052-04

隨著信息技術的不斷發展和互聯網的普及，電子商務已經成為21世紀世界經濟的主流商務模式。電子商務的推行使得企業的競爭逐步建立在信息能力上，信息已成為企業保持競爭力和業務持續運營的重要資產，必須得到妥善的保護。然而，隨著信息技術的高速發展，許多信息安全的問題也紛紛涌現：系統癱瘓、病毒感染、黑客入侵、信息失真、數據丟失、客戶資料的流失及公司內部資料的泄露等等，這些都將給企業帶來嚴重的影響，可以說信息安全問題所帶來的損失遠大于交易的賬面損失。

據權威統計結果表明，企業信息受到的損失中，60％是由于內部員工的疏忽或者有意泄密造成的。所以，信息安全不僅僅是一個技術問題，在很大程度上已經表現為管理的問題，能不能對網絡和企業實現有效的管理與控制是信息安全的根本問題之一。但是長久以來，信息安全卻一直被人們視為單純的技術問題，歸于信息技術部門的獨立處理，所以，企業迫切需要一套符合國際標準的信息安全管理體系來保障企業信息的安全。本文針對電子商務環境下企業所面臨的信息安全問題，利用國際先進的信息安全管理標準，將其應用于企業信息安全管理的實踐中，可以有效的提高企業信息安全水平，保障企業的業務持續運行，提高企業的核心競爭力。

1. 信息安全管理標準

信息安全是依靠信息安全措施來保證的，安全措施則需要適當的安全標準來指導和管理。目前國際上公認的信息安全管理方面的標準有ISO／IEC27001、CoBiT、sys Trust、COSO等，這些標準從不同的角度給企業的實踐提供了安全控制目標。其中ISO／IEC27001是國際信息安全管理領域的重要標準，它來源于英國標準協會(British Standards Insti-tute，BSI)于1995年2月制定的信息安全管理標準BS7799。BS7799是應用最為廣泛的信息安全管理標準，至2005年全部被國際標準化組織吸納，形成了ISO／IEC27001：2005《信息技術安全技術信息安全管理體系要求》和IS0／IEC27002：2005《信息技術安全技術信息安全管理實施細則》兩個國際標準。

ISO／IEC27001信息安全管理體系由兩部分構成。第一部分是信息安全管理體系的實施指南，提供了一套綜合的由信息安全最佳慣例組成的實施規則，主要內容包括11個安全類別、39個控制目標、133項控制措施。第二部分是信息安全管理體系規范，詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應遵循的風險評估標準。

本文將ISO27001標準基于風險管理的思想應用于企業信息安全管理的實踐中，構建一套全面完整的信息安全管理體系(Informadon security Management System，ISMS)，從而有效控制信息系統的風險，確保在組織中建立充分和恰當的安全控制措施，通過有效的風險控制措施來保護組織的信息資產，增強包括客戶在內的利益相關方的信心，提高組織的聲譽。

2. 電子商務環境下企業信息安全管理問題

電子商務的發展為企業帶來快捷、方便和利益，但同時也使得企業在信息安全管理中面臨著更多、更嚴峻的問題，主要表現在以下幾個方面：

2.1 重技術，輕管理

多數電子商務企業，不管是在早期的加密技術、數據備份、防病毒，還是近期網絡環境下的防火墻、入侵檢測、身份認證、支付交易等安全技術上都作了大量投資，而對管理的重視卻一直不夠。具體表現在，機房重地可以隨意進出，計算機或工作站管理人員在開機狀態下擅離崗位，重要或敏感信息臨時存放在本地的磁盤上，這都會導致信息處于未保護狀態，都會為外部入侵和內部破壞埋下隱患。

2.2 信息安全風險評估標準體系還有待完善

信息安全的需求難以確定，要保護的對象和邊界難以確定，缺乏系統、全面的信息安全風險評估和評價體系以及全面、完善的信息安全保障體系。

2.3 企業對員工變動不夠重視

網絡的發展提供了更多的就業機會，電子商務企業員工跳槽現象非常普遍，而電腦易手問題沒有妥善解決。新員工可能會有這樣的經歷：到一家新公司工作，了解新公司最好的渠道就是從自己前任的電腦里搜集相關信息，有時甚至包括公司以往的客戶記錄、獎懲制度等。同樣，跳槽的員工也可以將客戶資料帶到競爭對手的公司。這都會導致企業客戶流失，甚至企業戰略丟失，給企業帶來威脅。

2.4 企業對員工信息安全意識的教育和培訓不夠，員工缺乏信息安全意識

比如，員工對自己的用戶名和密碼、記憶系統登錄口令等不注意保護，一旦泄密，就足以毀掉化費大量人力物力建立起來的信息安全系統。

2.5 對客戶資料的保密性管理不到位

電子商務依托于Internet網絡平臺進行交易，買賣雙方通過Intenet的信息流動來實現商品交換，這使得客戶的信息面臨著安全威脅。比如：用戶身份證明信息被攔截竊用；域名信息被監聽和擴散；一些企業的商務網站甚至將交易記錄和用戶的評價信息公開在網站上。這都可能使客戶的信息被泄露，導致企業丟失客戶甚至損害聲譽。

2.6 系統訪問權限設置不清，工作人員職責不明

企業內部人員了解內部的網絡、主機和應用系統的結構，利用一定的訪問權限，可以輕易地繞過許多訪問控制機制，在內部系統進行網絡刺探、嘗試登錄、破解密碼等都相對容易。

2.7 電子商務系統缺乏法制化的防范機制

政策法規難以適應電子商務發展的需要，電子商務信息安全立法還存在相當多的空白，電子商務法、數據庫保護法、數字媒體法、計算機犯罪法以及計算機安全監管法等電子商務正常運作所需的配套法規尚不健全。

3. 企業信息安全管理體系構建

結合電子商務環境下企業的特點，針對以上提出的企業面臨的信息安全管理問題，借鑒ISO27001標準基于風險管理的思想，建立一套系統化、程序化和文件化的信息安全管理體系。該體系以預防控制為主要思想，強調全過程和動態控制，本著控制費用與風險平衡的原則合理選擇安全控制方式保護組織所擁有的關鍵信息資產，使信息風險的發生概率和結果降低到可接受水平，確保信息的保密性、完整性和可用性，保持組織業務運作的持續性。ISMS具體構建步驟如圖1所示。

3.1 確定IBMS適用范圍

該步驟確定信息資產中需要保護的對象，明確保護信息資產的管理對策的范圍和邊界。如計算機軟硬件、網絡相關的信息、企業文件、專利、配方、報價、規章制度、財務數據、計劃、關鍵人員等等，這些資產都應該列入信息保護對象進行妥善保護。

3.2 制定ISMS相關文件

該步驟主要為了合理保護信息資產，制定適用于企業的文書體系，并確定與信息安全相關的IBMS方針，方針應包括：設定目標的框架和建設信息安全工作的總方向和原則；考慮業務的和法律法規的要求；在組織戰略分線管理的環境下，建立和保持ISMS；建立風險評價的準則和評價方法的選擇等內容。

3.3 風險評估

風險評估(Risk Assessment)是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的最重要過程。風險評估可以分為資產識別、資產分類、資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等階段。

3.3.1 資產識別與評價

資產識別是進行評估的基礎，是指在界定ISMS范圍的基礎之上，評估小組在進行風險計算前，要對各部門的重要信息資產進行識別。識別通常有兩種方法：一是根據資產的物理形態，將某個物理上獨立的對象確定為一個資產，如服務器、應用軟件等；二是將信息以及與之相關的處理或者更新的過程確定為一個資產，如人、軟件、硬件、數據、文檔和環境等各種信息資產。

企業內部的資產識別后，需要進行逐一分類編號，可以將不同的信息資產分別用A1、A2、A3、……表示，然后再對分類好的資產進行賦值。評估小組的成員要按照各部門業務的特點，分別從資產的保密性、完整性、可用性3個方面評分。針對每一方面根據資產相對價值重要性劃分為五級，用0、1、2、3、4五個數字表示，得到企業資產識別與評價表。

3.3.2 威脅分析與評價

一項信息資產可能面臨多個威脅，一個威脅可能對不同的資產造成影響，威脅識別應確認威脅由誰或什么事物引發，威脅可能來源于意外的或者有預謀的事件。比如，通過電子郵件傳遞的客戶需求預測報告，就面臨由內部人員故意或無意的非授權訪問或操作導致的完整性和機密性損失的威脅。對企業內每一項可能的信息安全威脅都進行編號，分別用B1、B2、B3、……表示，并將威脅發生的可能性從低到高劃分為三級，分別用0、1、2表示，得到企業內部的威脅識別與評價表。

3.3.3 薄弱點識別

薄弱點可能來自軟件、硬件、人員、環境、管理及通信設備等等，某個威脅可能利用多個薄弱點，一個弱點也可能被多個威脅利用，弱點一旦被威脅利用就可能產生風險，從而影響到組織的業務持續性。在電子商務企業中，比如：購物平臺系統存在漏洞、訪問權限設置不當、管理或者研發人員的弱口令、員工缺乏安全意識等，都是薄弱點。通過對每個信息安全薄弱點進行編號，分別用C1、C2、C3、……表示，并將其被利用的可能性從低到高劃分為三級，分別用0、1、2表示，從而可以得到企業內部薄弱點的識別與評價表。

3.4 風險測量

使用風險矩陣表(又稱為預先價值矩陣)進行測量，該方法是利用威脅發生的可能性、薄弱點被威脅利用的可能性及資產的相對價值的三維矩陣來確定風險的大小，用上述風險識別中所劃分的等級來測量。分別將企業內部的資產識別與評價表、威脅識別與評價表、薄弱點識別與評價表中各項編號和等級值代入矩陣表，就得到下述形式的風險價值矩陣表1：

通過上述風險價值矩陣表的建立，就可以根據矩陣中的取值，采用區間劃分方法確定不同的風險優先級別，以便因地制宜，選取適當的控制措施。當風險值為6、7、8時，為高危風險，須立即處理；當風險值為3、4、5時，為一般風險，須采取一定措施降低風險；當風險值為0、1、2時，為低風險，代表可以暫不采取措施或者可以忽略。

4. 企業信息安全控制措施

通過確定信息安全管理體系范圍所涉及的風險以及信息資產的風險值，結合企業采取的風險控制策略和業務需求，處理組織面臨的風險，對電子商務環境下企業信息安全管理提出如下幾條管理方法：

4.1 建設組織管理機構

該機構應由企業管理層和相關安全技術管理人員組成，主要負責定期召開會議分析當前安全形勢，不時對現有的方案進行改進，根據實際情況，及時調整部門及人員的責任，督促企業信息安全的管理工作的實施。

4.2 明確要保護的信息資產并分類

根據企業資產和業務的特點，我們將企業內部的信息資產分為以下幾類：

數據：業務數據，數據庫數據，客戶資料，生產報告，銷售數據，客戶反饋信息等。

軟件：業務信息系統，數據庫系統，工具軟件、網站，電子郵件系統等。

硬件：工作站，打印機，傳真機，臺式計算機，移動筆記本，郵件收發服務器，文件服務器，防火墻，路由器，交換機，移動存儲設備等。

人員：企業所有人員。

服務：辦公服務，網絡服務，第三方服務等。

4.3 管理分類資產

將企業中的各項資產分類后，對每一項新增加的信息資產需要及時登記在資產清單上，并把資產分給每個工作人員進行安全保護，每個員工將自己所分到的保護資產的每天使用情況必須進行詳細記錄，如發現異常，須及時向管理層或相關部門反映。

4.4 控制訪問權限

對于企業信息的訪問，可以采用基于角色的控制訪問的思想，將訪問權限與角色關聯起來，通過指派和取消角色來完成用戶權限的授予和取消。角色一般可以按照參與者的職能或能力來劃分，如企業決策者、企業經理或普通職員等。管理組織需要預先定義好角色，并將相應的權限賦予角色，然后根據用戶的職責分配對應的角色。這樣，就把角色作為用戶與權限的中介，實現了用戶與權限的邏輯分離，提高了權限管理的效率。例如，某個訪問者更改職位，只需改變他被賦予的角色就可以了。

4.5 簽訂保密合同

企業需要與客戶、員工以及第三方簽訂保密協議。與客戶簽訂保密合同，明確需要保密的數據和保密措施和責任劃分，例如，客戶以郵件、傳真或文本傳輸等形式傳遞定單等信息前，必須通知相關業務員，等確認后再傳遞過來，盡量減少信息泄露的機會；與員工簽訂保密合同，明確規定員工對企業信息安全的責任，保密要求及違反約定的法律責任；在允許第三方使用或處理公司的信息設施之前，也必須要求他們簽訂相關保密合同。

4.6 員工信息安全意識培訓

企業員工缺乏信息安全意識已經成為有效信息安全控制的頭號障礙，所以定期對員工進行教育和培訓，對于企業信息安全管理非常重要。通過教育和培訓改變企業員工對信息安全的態度，使操作人員知曉信息安全對企業的重要性，企業安全規章制度的含義以及職責范圍內需要注意的安全問題。

4.7 規定獎懲制度

在依從國家相關信息法律法規，不與刑法等相關法律相抵觸的前提下，制定企業信息安全獎懲制度，當員工違反組織信息安全方針或程序時，應該按照規定對其進行懲戒。手段可以是行政和經濟等方面的處罰。

5. 結論

電子商務環境下企業的信息安全是一個整體性很強的體系，包括技術、管理、人員等多個環節，不能孤立或者靜止地看待和解決問題，信息安全性的提高不僅僅依賴于不斷的技術進步和應用，更重要的是依賴于管理的不斷完善和人員素質的全面提高。

本文將ISO27001標準基于風險管理的思想應用于企業信息安全管理系統的建設，可以有效提高信息安全的保密性、完整性和可用性，降低信息所面對的安全風險，規范組織信息安全行為，使得企業在信息安全管理方面邁上一個新臺階。但同時我們應該注意，ISMS是一套不限于IT技術的管理系統，它需要全公司員工身體力行方能奏效。在實施的過程中，需要經營管理階層的認知與全力支持，以及全體員工的共識和配合；需要對員工不斷實施培訓和教育等活動；尤其需要定期審核和檢查，以確保系統可以持續不斷的執行。

參考文獻

[1]余泰勇，信息安全風險管理研究[J]，信息安全與通信保密，2006，(7)：103-104.

[2]孫強，陳偉，王東紅，信息安全管理：全球最佳實務與實施指南[M]，北京：清華大學出版社，2004，(1)：6-8.

[3]吳國慶，趙琳娣，基于ISO27001：2005的電網公司信息安全管理[J]，信息技術與標準化，2007，(9)：40.

[4]ISO/IEC 17799：2005 Information technology security techniques code of practice for information security management[R]，2005，(10).

[5]春增軍，基于ISO27001的企業信息安全保障體系的構建設想[J]，情報雜志，2009，(5)：155-158.

[6]中華人民共和國國家標準GB/T22080-2008/ISO/IEC27001：2005信息安全管理體系要求[S]，國家質量監督檢驗檢疫總局，2008，(6)：1-20.

[7]張澤虹，基于評估流程的信息安全風險的綜合評估[J]，計算機工程與應用，2008，(10)：111-115.

[8]黃水清，程旭，Bs7799在圖書館中的應用[J]，大學圖書館學報，2004，(1)：60-67.

[9]卞寶銀，王一莉，協同環境下擴展角色訪問控制模型設計與研究[J]，計算機工程與設計，2010，(4)：717-719.