今天,IBM全球信息科技服务部推出"企业信息安全框架"(Enterprise Security Framework V5.0),旨在提供对中国企业的信息安全规划与建设最具可行性的指导性框架,树立了中国企业信息安全建设的新标竿。作为完全产品中立的框架,IBM企业信息安全框架将彻底改变当前事件驱动型的安全建设思维,变被动防御为未雨绸缪,从业务对信息安全的实际需求出发,通过行之有效的方法论和基于安全最佳实践与业界相关开放标准的安全模型,打造智慧的信息安全生态系统。
目前,绝大多数企业在信息安全建设过程中都面临着各种各样的挑战,从规划、管理,到技术、运作不一而足。例如,没有总体的信息安全规划,安全防御呈碎片化;安全意识不到位,经常在受到攻击甚至造成损失后才意识到问题,安全建设受具体事件驱动;企业应对经济不景气所采取的裁员策略有可能将部分风险由外部转化到内部;安全体系的法规遵从问题日益突出……
遵循IBM企业信息安全框架的方法论与实施原则,企业可以从根本上解决上述种种难题,因为企业信息安全框架正是用于指导企业或组织如何根据业务需要,明确风险状况与安全需求、确立企业信息安全架构蓝图及建设路线图,并选择相应的安全功能组件。所以,通过这一框架,企业可以全面理解,并从整体上对信息安全进行把控。
IBM企业信息安全框架从上到下由三个主要层次组成:安全治理风险管理及合规层、安全运维层、基础安全服务和架构层。其中安全治理风险管理及合规层是后两者的理论依据,安全运维层是对信息安全全生命周期的管理,而基础安全服务和架构层则是企业安全建设技术需求和功能的实现者。
•安全治理、风险管理和合规
处于企业信息安全框架的最顶层,是业务驱动安全的出发点。通过对企业业务和运营风险进行评估,确定其战略和治理框架、风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系。
•安全运维
安全运维是指在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。主要包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理、安全外包服务。安全运维与IT运维相辅相成、互为依托、共享资源与信息,它与安全组织紧密联系,融合在业务管理和IT管理体系中。
•基础安全服务和架构
基础安全服务和架构定义和包含了企业安全框架中的五个核心的基础技术架构和相关服务:物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全服务和架构是安全运维和管理的对象,其功能由各自子系统提供保证。
值得关注的是,IBM企业信息安全框架并不只是宏观的方法论,它所提供的是一个完全可实施、可集成的标准化框架,专门针对中国企业信息安全发展情况进行了整合和简化,具有极强的可操作性。企业藉此可以迅速了解其信息安全的现状和需求,为其信息安全平台的建设、设计、实施提供指导和参照。
与此同时,与其它绝大多数安全体系不同,IBM企业信息安全框架是完全产品中立的。IBM安全专家们从客户的角度出发,通过集结IBM的全球智慧、业界标准与最佳实践而最终形成了这一框架,企业和组织可以根据自身需求自由进行解决方案和产品的选取。
IBM全球信息科技服务部大中华区ISS销售总经理余磊表示:"IBM企业信息安全框架的推出,为企业的CEO、CFO和CIO提供了关于信息安全的共同语言,源于业务需求的信息安全建设才能实现真正意义上的整体安全,这将对企业信息安全体系的构建具有深远的指导意义。IBM希望通过这一框架,分享自身在信息安全领域的深刻洞察与丰富经验,协助中国企业实现更加智慧的信息安全管理,为其构筑起牢不可破的安全防线!"