6.信息安全保障解决方案
信息安全保障解决方案是一个动态的风险管理过程,通过对信息系统生命周期内风险的控制,来解决在运行环境中信息系统安全建设所面临的各种问题,从而有效保障业务系统及应用的持续发展。
信息安全保障方案是以安全需求为依据设计的。在设计安全方案时,需要考虑方案是否贴合实际,是否具有可实施性,包括可接受的成本、合理的进度、技术可实现性,以及组织管理和文化的可接受性。在工作中,可以根据信息系统安全目标( ISST)来规范制定安全方案。ISST是根据信息系统保护轮廓(ISPP)编制、从信息系统安全保障的建设方(厂商)角度制定的信息系统安全保障方案。
根据信息系统安全目标(ISST)要求,信息系统安全方案的标准格式应包括如下八个部分:引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、信息系统概要规范、ISPP声明。以及符合性声明。
其中,引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求部分与信息系统保护轮廓( ISPP)-致。
信息系统概要规范包括信息系统安全功能满足哪一个特定的安全功能需求,其保证措施满足哪一个特定的安全保障要求,以及相应的解释、证明等支持材料。与信息系统保障轮廓( ISPP)类似,在编制这部分内容时,从国标GB/T 202741《信息系统安全保障评估保障评估框架》的第二部分选择技术组件,从该标准的第三选择具体管理组件,在该标准的第四部分选择具体的工程组件。
在具体实施信息安全保障方案时,需以方案为依据,覆盖方案所提出的建设目标和建设内容。另外,在实施过程中,需要注意以下几个方面:规范的实施过程;实施的质量、进度和成本必须受控;实施过程中出现的变更必须受控;充分考虑实施风险,如资源不足、组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等。