电子商务信息安全管理体系优化方案

信息是组织的一种资产，像其他重要的业务资产一样，对组织业务来说是必不可少的，因此需要得到适当的保护。信息可以以许多形式存储，包括数字形式（如存储在电或光介质上的数据文件）、物理形式（如在纸上）以及以员工知识形式存在的未被表示的信息。信息可采用各种不同手段进行传输，包括信使、电子通信或口头交谈。不管信息采用什么形式存在或什么手段传输，它总是需要适当的保护。

组织的信息依赖信息和通信技术。这种技术是任何组织中的基本元素，并有助于创建、处理、存储、传输、保护和销毁信息。随着电子商务的发展，信息面临着各种各样的威胁，又由于其脆弱性，因此保护信息的需求就随之增加。

任何电子商务企业持有和处理的所有信息在使用中易受到攻击、错误、自然灾害（如洪水或火灾）等威胁和内在脆弱性的影响。信息安全是建立在作为有价值资产的信息基础之上，这些信息需要适当的保护，如防止可用性、保密性和完整性的丧失。准确和完整的信息为已授权的需要者及时可用，可提高业务效率。

通过有效地定义、实现、保持和改进信息安全来保护信息资产，对于企业实现其目标并保持和提高法律符合性及自身形象来说是必不可少的。用以指导适当控制措施的实施和处理不可接受的信息安全风险的协调活动，通常被认为是信息安全管理的要素。

由于信息安全风险和控制措施的有效性随着环境的变化而改变，企业需要监视和评价已实施的控制措施和规程的有效性，识别需要处理的新出现的风险，根据需要选择、实施和改进适当的控制措施。为了关联和协调这种信息安全活动，每个电子商务企业需要建立信息安全方针和目标，并通过使用管理体系来有效地达到这些目标。

1.信息安全管理体系

信息安全是通过实施一套适用的控制措施来实现的，包括方针策略、过程、规程、组织结构、软件和硬件。这套控制措施通过所选用的风险管理过程来选择并使用信息安全管理体系（ISMS）来管理，以保护已识别的信息资产。这些控制措施需要得到详细说明、实施、监视、评审和必要时的改进，以确保满足组织的特定安全和业务目标。相关的信息安全控制措施宜与组织的业务过程充分整合。

ISMS提供了一个建立、实施、运行、监视、评审、保持和改进保护信息资产的模型，以实现组织的业务目标，该目标是基于风险评估和组织为有效处置和管理风险而设定的风险可接受级别来确定的。分析信息资产的保护要求并按照要求应用适当的控制措施确保这些信息资产得到保护，有助于ISMS的成功实施。

在任何行业中，ISMS支持电子商务，并且对于风险管理活动是必不可少的。公共和专用网络的互连以及信息资产的共享，增加了信息访问控制和处理的难度。此外，含有信息资产的移动存储设备的分散可削弱传统控制措施的有效性。当组织采用了ISMS标准族后，可以向业务伙伴和其他相关方证明其应用一致的和互认的信息安全原则的能力。

在设计和开发信息系统时，信息安全经常被认为是一种技术解决方案。然而，通过技术手段实现的安全是有限的，并且在没有ISMS的适当管理和规程的支持下，可能是无效的。事后将安全集成到信息系统中可能是麻烦且昂贵的。ISMS包括识别哪些控制措施已经就位，且要求仔细规划和关注细节。举例来说，访问控制措施，可能是技术的（逻辑的）、物理的、行政的（管理的）或其组合，提供一种手段以确保对信息资产的访问是基于业务和安全要求进行授权和限制的。

按照中华人民共和国国家标准《信息技术安全技术信息安全管理体系概述和词汇》，组织在建立、监视、保持和改进其ISMS时，需要采取下列步骤：

1）识别信息资产及其相关的安全要求。

2）评估信息安全风险。

3）选择和实施相关控制措施以管理不可接受的风险。(www.xing528.com)

4）监视、保持和改进与组织信息资产相关的安全控制措施的有效性。

为确保在持续发展的基础上，ISMS能有效地保护组织的信息资产，有必要不断地重复执行以上4个步骤，以识别风险的变化，或者组织战略或业务目标的变化。

2.电子商务安全保障体系

由于错误和脆弱性等特点，IT系统易于失效和受到安全侵害。引起这些错误和脆弱性的主要原因是快速变化的技术、人为错误以及不良的需求规约和不良的开发过程，或低估威胁的结果。此外，由于系统的经常修改，出现新的缺陷和遭受新的攻击，导致脆弱性、失效和安全侵害等问题在整个IT系统生命周期内不断出现。

由于人为错误或疏忽，部件或设备失效，以及相对的安全机制不完善，在可接受的成本和在IT系统生命周期的该交付件的时间限制内，无错误、无失效和无风险的运行通常是不可达到的。这一情况就使得几乎不可能保证一个IT系统是无错误的、无风险的安全系统。

由上可见，错误、脆弱性和风险可能始终存在，并可能在软件系统的生命周期内发生变化。因此，在系统的生命周期中，在可接受的参数范围内，必须对错误、脆弱性和风险进行管理，否则该系统的保障就将发生变化。IT安全工程和管理的任务就是管理风险，即采用技术和组织上的安全措施，减少脆弱性和威胁，以使一个交付件具有可接受的保障。IT安全管理还有一个任务，即建立可接受的保障和风险目标。以这一方式，IT系统的利益攸关方就有理由相信，该系统在可接受的风险和预算内，将以预期的或所声称的方式执行。从安全的观点上来看，这就形成了该系统实施适用安全策略的信心。

因此，系统的每一个生命周期阶段都要求有合适的安全保障，保障方法也必须适合于特定的阶段。为达到最终的保障目的，每一个阶段所获得的保障必须带入下一个阶段，成为下一个阶段的保障因素。这种方法持续不断地把保障增加到生命周期最后阶段，如图10-2所示。

图10-2 保障方法与一个简化的典型的生命周期阶段的关系

在电子商务系统建设中，最初的安全首先是技术上的。目前有许多安全技术，如加密、身份认证、数字签名、入侵检测、防火墙和访问控制技术等，这些安全技术已经应用到电子商务中。同时需要指出的是，信息安全的基础是法律体制，是建立在人员、过程、策略和技术之上的，通过5种基本安全业务来实现，即保密性业务、完整性业务、认证业务、可用性业务和不可否认业务，如图10-3所示。从图10-3中可以看出，信息安全不仅是技术问题，也是管理问题。有的学者认为信息安全也是一种文化。

图10-3 电子商务的信息安全框架