淺談信息安全管理體系建設(shè)
2018年07月12日
信息安全管理體系(ISMS)是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)����,以及完成這些目標(biāo)所用的方法和體系���。它是直接管理活動(dòng)的結(jié)果,表示為方針���、原則��、目標(biāo)����、方法��、計(jì)劃�����、活動(dòng)����、程序、過程和資源的集合����。
雖談不上”一個(gè)人的安全部門”,但是“唯一”的安全管理崗在信息安全管理體系所承擔(dān)的職責(zé)完全不亞于那些孤軍奮戰(zhàn)的“一個(gè)人的安全部門”���,縱然知道前路漫漫遍地荊棘����,也要摸爬滾打著前進(jìn),頗有“天將降大任于斯人也……”的既視感�����,給那些奮戰(zhàn)前線的安全管理先驅(qū)者致以最崇高的敬意��。
公司只有在達(dá)到一定的規(guī)模后�,才會(huì)存在“安全管理崗”這個(gè)坑位。很多小型公司普遍還是“一個(gè)人的安全部門”�����,附屬于運(yùn)維部門底下��,一個(gè)人身兼安全運(yùn)維��、安全管理�、應(yīng)用安全(代碼審計(jì)�����、滲透測(cè)試)、安全開發(fā)�����,甚至還需要去承擔(dān)部分運(yùn)維的職責(zé)�。對(duì)于規(guī)模稍微大一點(diǎn),對(duì)信息安全比較重視的�����、較有前瞻性的企業(yè)�,亦或是合規(guī)性要求比較嚴(yán)格的企業(yè),方才會(huì)設(shè)定專門的安全管理崗����,甚至是成立獨(dú)立的安全部門。本人就自己的專業(yè)范疇�,工作職責(zé)淺談安全管理崗。
常說“三分靠技術(shù)��,七分靠管理”���,不去深究技術(shù)與管理具體的比例是否準(zhǔn)確�,但至少我們需要形成一個(gè)共識(shí)——信息安全問題不能單單僅僅作為技術(shù)問題來處理�����,安全管理的作用無可厚非。
作為承擔(dān)安全管理責(zé)任的安全管理崗�,核心工作是建立、實(shí)施��、保持和持續(xù)改進(jìn)信息安全管理體系���。通過合理的組織體系��、規(guī)章制度和管控措施�����,把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起�,以此確保整個(gè)組織達(dá)到預(yù)定程度的信息安全����。
不同企業(yè)對(duì)于信息安全管理體系的建設(shè)需求也不甚相同:
可能是從無到有�����,從0到1建立信息安全管理體系;
可能企業(yè)已有“信息安全管理體系”��,但僅僅是冷冰冰的制度規(guī)范,就躺在管理者的電腦之中���,直至面對(duì)監(jiān)管機(jī)構(gòu)檢查才開始發(fā)揮作用����,未發(fā)揮該有的約束力�����、管控力;
可能企業(yè)已有信息安全管理體系��,但是實(shí)時(shí)性無法滿足企業(yè)日益變化的安全需求��,待進(jìn)一步優(yōu)化改進(jìn);
……
體系建設(shè)之初���,我相信大家的初衷都是抱著建立建成可落地的信息安全管理體系����。但我們都清楚���,沒有絕對(duì)的安全�,也沒有絕對(duì)的可落地。ISO27001也沒有定義所謂的絕對(duì)安全可落地的信息安全管理體系�����,它推崇的是PDCA過程模式����,保證管理體系持續(xù)改進(jìn)的有效模式。PDCA循環(huán)將一個(gè)過程抽象為策劃����、實(shí)施、檢查����、措施四個(gè)階段,四個(gè)階段為一個(gè)循環(huán)�����,通過持續(xù)的循環(huán)���,使信息安全管理持續(xù)改進(jìn)。
信息安全管理體系的有效落地程度很大程度上決定了信息安全管理水平�。如何建立相對(duì)可落地的信息安全管理體系,是貫穿安全管理崗工作的核心問題。關(guān)于這個(gè)問題����,是本人在整個(gè)體系建設(shè)過程中一直思考反思的問題,本人還在探索摸索的路上��,無法給出完整精準(zhǔn)的答案�����。但基于個(gè)人在整個(gè)體系建設(shè)過程中所思所感所想���,總結(jié)了若干點(diǎn)�����。
一���、來自高層的明確支持,以及相關(guān)資源的保障
在一個(gè)組織內(nèi)建設(shè)信息安全管理體系必須得到高層管理人員的承諾與支持!為何?
1. 從上之下高效推動(dòng)
我相信絕大多數(shù)安全管理崗都有著相同的經(jīng)歷與感受:我們竭力去推廣某個(gè)流程規(guī)范��,期望能在某些方面上從流程規(guī)范上改善企業(yè)的信息安全問題���,但是我們同各個(gè)部門溝通過程中卻四處碰壁�。其他部門不一定愿意采納流程規(guī)范,或是出于工作效率的考慮���,或是出于對(duì)新事情的排斥����。往更直白的說�,每個(gè)部門都有各自部門的KPI,對(duì)于信息安全部門而言�,信息安全管理體系的建設(shè)落地確實(shí)是一項(xiàng)重要的KPI考核指標(biāo),但是對(duì)于業(yè)務(wù)部門�����,他們更看重的可能更多地是業(yè)務(wù)穩(wěn)定運(yùn)行����,而信息安全管理體系只是輔助業(yè)務(wù)安全穩(wěn)定運(yùn)行的工具。如果高層管理人員能夠出面處理跨部門之間的協(xié)調(diào)問題�,相應(yīng)的安全方針政策、控制措施方可在組織的上上下下得到更有效的貫徹���,體系建設(shè)會(huì)事半功倍����。也正好體現(xiàn)了ISO27001中所提倡的“領(lǐng)導(dǎo)力”的概念,信息安全需要從上至下推動(dòng)���,需要從上而下全員參與。
2. 有效的資源保證
另外一個(gè)層面�����,引用一句俗語“巧婦難為無米之炊”���,信息安全管理體系建設(shè)過程中����,可能會(huì)涉及到外部咨詢機(jī)構(gòu)����、測(cè)評(píng)機(jī)構(gòu)的引入,可能會(huì)涉及安全設(shè)備的采購……錢!錢!錢!是任何項(xiàng)目開展的基礎(chǔ)�����,需要領(lǐng)導(dǎo)層在實(shí)施有效安全過程的必要的資金支持����。
我們確實(shí)見過有些企業(yè)可能不聘請(qǐng)任何外部第三方的咨詢機(jī)構(gòu)�,內(nèi)部人員自行建設(shè)信息安全管理體系;
我們也見過有些企業(yè)不購買實(shí)施有效安全過程所必要的安全設(shè)備(防病毒軟件�、WAF……),內(nèi)部人員自行開發(fā)或基于開源軟件二次開發(fā)以滿足安全需求;
以上做法可行嗎?只要企業(yè)內(nèi)部的人力資源能夠滿足現(xiàn)有需求��,當(dāng)然可行!歸根到底�,人力資源的投入與資金的投入的平衡,才是最可行的方案!
但人力資源的投入也好�,項(xiàng)目設(shè)備資金采購也罷,都離不開領(lǐng)導(dǎo)層的高度支持���。
二�、適合自己的����,才是最好的
為什么要建立信息安全管理體系?企業(yè)面臨哪些問題和風(fēng)險(xiǎn)?企業(yè)現(xiàn)在處于什么安全管理水平?每個(gè)企業(yè)信息安全工作的出發(fā)點(diǎn)和關(guān)注點(diǎn)不同,后續(xù)安全工作的重點(diǎn)自然也不同����。我們確實(shí)見識(shí)過很大大型企業(yè)擁有完善的安全管理體系,處于行業(yè)的前沿����,引領(lǐng)著安全的發(fā)展趨勢(shì),但出自以上公司的管理體系不一定適用于自己的公司�,我們可以參考他們的管理模式����,在我們內(nèi)部做一定的調(diào)整適用�����,但卻無法完全效仿大公司的管理模式����,去照搬���,去復(fù)制�����。管理50人與管理5000人適用不同的管理方式����?�;蛟S既然都有能力有效管理5000人��,那確實(shí)也能去管理50人��。但是某種程度上,殺雞焉用牛刀? 如果一個(gè)安全要求不是很高的企業(yè)���,效仿具備極其嚴(yán)格安全要求的公司��,發(fā)布各種安全制度政策�����,上各種安全流程控制�����,做各種安全審計(jì)和檢查���,理論上確實(shí)安全了,但搞得民怨沸騰���,往往效果也不好�����。投入與產(chǎn)出是亙古不變的話題���,是安全管理崗需要去衡量的��。安全終究是為業(yè)務(wù)服務(wù)的��,信息安全管理體系必須從業(yè)務(wù)目標(biāo)出發(fā)�,反映業(yè)務(wù)的安全需求�。只要能夠滿足業(yè)務(wù)的安全需求,哪怕管控程度不如其他行業(yè)����,也是一套好的管理體系���。適合自己的���,才是最好的!
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)��、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”�����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案�����,業(yè)務(wù)涵蓋咨詢���、評(píng)估�����、規(guī)劃��、管控��、建設(shè)�����、培訓(xùn)等�。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
