研究创新


企业建立持续运转的信息安全管理体系,应该投入什么?

作者简介:黄震,谷安天下咨询经理,超过9IT服务管理与信息安全领域研究与从业经验,主要从事IT服务管理规划、IT服务管理体系建立和实施、信息安全风险评估、信息安全管理体系建立和实施等方面工作,具备丰富的IT服务管理和信息安全管理咨询实践经验,尤其在金融、运营商、政府行业有丰富的项目实施经经验。目前主要专业领域集中于IT服务管理、IT风险管理与控制、信息安全等方面,曾服务的主要客户有:建设银行、交通银行、中国金融电子化公司(人民银行下属)、中国电信、中国认监委、中国联通、天津移动等。长期从事CISA等信息安全培训工作。

文章正文:

根据官方统计数据显示,截止到20093月中国国内已经有180家企业通过ISO27001国际认证,获取证书。同时还有很多企业已经建立了信息安全管理体系(以下简称“ISMS”),尽管没有选择此项国际认证,对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,应该在未来投入哪些?

人员

人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。但是做ISMS的持续运转仅需要投入这么多人力么,这项建议属于专门的人员投入建议。但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。

体系

ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于是在标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。

工具

工具往往是企业在建立ISMS过程中投入大量资金的方面,工具其实是很大的一个泛指,例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具,即使没有实施ISMS,企业在工具方面的投入也是必不可少的,但往往缺乏整体的规划及与业务的结合,经常会出现如何将几种类似工具充分利用,如何在各工具间建立接口,使数据流通共用, 哪些工具应该替换更新,数据如何迁移,甚至出现新购买的工具无人使用或无法满足业务需求等问题,导致资金资源的浪费,因此在持续运转ISMS过程中,根据风险评估报告,及信息安全专员反映的各部门业务需求各种信息数据的收集,应对工具进行统一规划,尽量减少资源的浪费。同时在ISMS维护过程中,往往忽略体系维护所需工具,现有大部分企业对体系的维护并没有使用工具,很多记录都是采用纸质或简单的电子表格进行记录,甚至日常监控、账号定期检查也均采用人工检查记录的模式,对于业务规模不大、数据量较小企业此种模式仍可满足所需,但随着企业规模扩大,手工记录的模式将不能满足所需,记录和文件的版本控制及维护耗用信息安全专员大量的精力,选择一种合适的ISMS维护工具也是大势所趋并且至关重要的,目前市面上的专门用于体系,尤其是信息安全体系维护的工具还是较少的,各企业一方面可将ISMS的维护工作整合到正在使用的各类工具,例如IT服务管理工具,通过IT服务台记录跟踪信息安全事件;通过文件管理服务器维护ISMS体系文件;通过内部办公的OA系统进行账号申请、变更审批等日常工作的记录等,但这种维护方式往往导致数据分散,统计困难,或数据重复记录,给信息安全审核和ISMS维护带来很大困难和不便。在此方面,谷安天下自行研发出此种工具:IT风险管控系列软件,集合谷安天下多名资深顾问自身信息安全经验建立了满足各行业特点的强大知识库,包括风险评估管理、风险控制管理、风险运营管理、风险审计管理、风险知识管理5大知识模块。

    

关于企业的投入简单的从上述三个方面提出,同时在企业文化建设、市场宣传、媒体网站等各个角度均可考虑将信息安全要素纳入其中,结合企业自身业务特点,给客户及合作伙伴一系列的安全体验。此外,在年度管理评审中,建议企业能认真仔细的对一年的信息安全工作进行回顾,无论从文件、记录、工具、人员还是信息资产、资源等各个角度,回顾信息安全工作给企业所带来的变化,以及哪些方面存在问题仍需改进,认真进行下一年度工作的规划和资源合理分配,只有这样才能保证ISMS与企业的业务共同发展,且ISMS能真正在企业中落地,为业务发展创造安全的基础。


  • 附件:企业建立持续运转的信息安全管理体系应该投入什么.rar


  • E-mail:market@gooann.com

    Fax:010-51626887-816