Ne 。n
基于全生命周期的 IT项 目信息安全管理方法
口杜衡 中国移动 (深圳)有限公司
【摘要】 结合 ISO27000标准体系、国家信息安全标准以及萨班斯法案(SOX)的要求,通过在 lT项 目全生命周期的各个
阶段Inl ̄.安全管理 ,确保项 目满足规定的安全方案 :降低 lT项 目安全风险 的控制成本 ,提升项 目安全水平 。
【关键词】 信息安全管理 IT项目 全生命周期
一
、 前 言
业务 应用 的不断 拓展 ,信 息系 统 已全 面渗 透 到企 业
的运 营中 ,而随 着 网络 和通信 技 术 的快速 发展 ,网 络互 联
与 开 放 、信 息 共享 带来 了 日益 增 长 的安 全 威 胁 Ⅲ;病 毒 和
黑 客攻 击 越来 越 多 ,安 全 事 件 爆 发 越来 越 频 繁 ,直 接 影 响
企业 正常 业务运 作 。特 别是对 于移 动通 信运 营商而 言 ,信
息安 全尤 为重 要 ,为 了保 障客 户利 益 ,加强对 信息 系统 的
信 息 安 全 管 理 工 作 刻 不 容 缓 。
新 建 项 目 中容 易 忽 视 信 息安 全 问 题 ,如 果 安 全 管 理
工作 不 到位 ,安全 风 险就 得不 到 控制 ,而对安 全风 险进 行
控 制 所 需 的成 本 则 随 着 安 全 管 理 工作 介 入 项 目的 时 间 越
晚而 越高 (如 图 1所 示 );因 此 ,为 降本 增 效 ,在 IT项 目的
建设 过程 中 ,越 早 引 入信息 安全 管 理 ,安全 风险 控 制 的 成
本就 越低 ,达到的 安全 水平 也越 高 。对 IT项 目进 行全生命
周 期 的安 全 管 理 ,满 足 集 团安 全 管 理 “三 同 步 ”的要 求 ,即
在 系 统 的设 计 、建 设 和 运 行 过 程 中 ,做 到 同步 规 划 、同 步
建 设 、同步 运 行 【1J。
图 1 安 全 风 险 控 制成 本 图
二 、IT项 目全 生 命周 期 安全 管理 要求
对 IT项 目进 行安 全管理 ,一 方面是 要求项 目能应 达
到 与 其 承 载 业 务 相 符 的安 全 特 性 ,如 认 证 、账 户 管 理 、操
作审 计等 功 能 ;另一 方面 ,对 项 目进 行 全 生命周 期 的安 全
管理 ,在项 目的不 同 阶段进 行评 审 和验 证 ,确保 项 目满 足
规定 的 安全 方 案 。结 合 ISO27000标 准体 系 、国家 信息 安
全标 准 以及 萨 班斯法 案 (SOX)的 要求 ,制定 IT项 目建设
全生 命周 期的项 目安全 管理 工作 流程 。
在 项 目全 生 命 周期 各 阶段 加 入 安 全 管 控 点 (如 图 2
所示 ),制 定各 阶 段 安全 管控点 的 安全控 制 措 施 和人 员 职
责 ,充分 考虑 信息 安 全方 面 的要 求 ,确保 开 发 出来 的 系统
可 以满 足 公 司 的 安 全 方 针 、国家 法 律 法 规 及 萨 班 斯 法 案
图 2 IT项 目全生命周期 安全管控点
(SOX)的要 求 。
安 全 要 求 是 通 过 对 安 全 风 险 的 系统 评 估 予 以识 别 的
嚼
, 因所 承 载 的业 务 的差 异 ,每个 系统 的安 全 要 求 有 所 不
同 ,每个 系 统都 必 须根 据其业 务 流程 评 估安 全风险 ,确 定
其对 信息 完整性 、安全 性 、可用 性的要求 ,从而 采取适 当的
安全 控制 措施 。如涉及 客户资 料 、经营信 息 的系 统安全 级
别较 高 ,而用 于辅助 办公 的系 统安 全级IIII较低 ,需 要 采
取不 同 的安 全 控制 措施 ,才 能将 信 息安 全 落到 实处 ;不恰
当 的安 全 级 别 划 分 ,会 导 致 敏 感 数 据 的 访 问 控 制 不 严 ,甚
至 敏 感 数 据 在 防 护之 外 。
三 、IT项 目建 设 各 阶段 安 全 管 理 实 施 方 法
3.1 项 目规 划 阶段 安 全 管 理
项 目规划 阶段 ,定义 业务 需 求 ,并进 行可行 性 研究 ;在
定义 业务 需求 时 ,应 注重 对信 息安全 方面 的需 求制定 。在
业 务 需 求 书 中 ,应 明确 对 系统 安 全 的 详 细 要 求 ,并 由项 目
各相 关 方 (含信 息 安 全 人 员 )进行 评 审 ,评 审 通 过 才能 进
行 项 目立 项 。业 务 需 求 制 定 完 成 ,任 何对 系统 安 全 需 求 的
修 改 ,也 应 视 为 对 业 务 需 求 书 的 修 改 ,需 经 过 正 式 的 系 统
变 更 流 程 。
3.2 项 目设 计 阶段 安 全 管 理
通过 对业 务 流程 的分 析 ,对系 统进行 整体 设 计和 详细
设 计 ,考 虑 数 据 传 输 、处 理 、存 储 等 各 个 过 程 中 的 安 全 要
求 ,确保 实 现所 有 过程 中对数 据 的全 面保 护 ,特 别是 对 关
键 业 务 的敏感 数 据 的保 护 ,如 客 户 资 料 、经 营数 据 等 ,对 重
要数 据的存 储 和传 输设置 权 限和 校验 ,并进 行加 密 。
在 系 统应 用 安 全 层 面 应 至 少 进 行 以 下安 全 控 制设 计 :
63