淺談信息安全管理體系建設(shè)
2018年07月12日
信息安全管理體系(ISMS)是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標��,以及完成這些目標所用的方法和體系��。它是直接管理活動的結(jié)果�,表示為方針��、原則�����、目標、方法�����、計劃�、活動、程序�����、過程和資源的集合����。
雖談不上”一個人的安全部門”,但是“唯一”的安全管理崗在信息安全管理體系所承擔的職責完全不亞于那些孤軍奮戰(zhàn)的“一個人的安全部門”�,縱然知道前路漫漫遍地荊棘,也要摸爬滾打著前進�,頗有“天將降大任于斯人也……”的既視感,給那些奮戰(zhàn)前線的安全管理先驅(qū)者致以最崇高的敬意����。
公司只有在達到一定的規(guī)模后,才會存在“安全管理崗”這個坑位���。很多小型公司普遍還是“一個人的安全部門”��,附屬于運維部門底下���,一個人身兼安全運維��、安全管理���、應(yīng)用安全(代碼審計、滲透測試)����、安全開發(fā),甚至還需要去承擔部分運維的職責�。對于規(guī)模稍微大一點,對信息安全比較重視的����、較有前瞻性的企業(yè),亦或是合規(guī)性要求比較嚴格的企業(yè)��,方才會設(shè)定專門的安全管理崗����,甚至是成立獨立的安全部門。本人就自己的專業(yè)范疇����,工作職責淺談安全管理崗。
常說“三分靠技術(shù)����,七分靠管理”,不去深究技術(shù)與管理具體的比例是否準確���,但至少我們需要形成一個共識——信息安全問題不能單單僅僅作為技術(shù)問題來處理���,安全管理的作用無可厚非。
作為承擔安全管理責任的安全管理崗�,核心工作是建立、實施��、保持和持續(xù)改進信息安全管理體系����。通過合理的組織體系、規(guī)章制度和管控措施����,把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起�,以此確保整個組織達到預(yù)定程度的信息安全��。
不同企業(yè)對于信息安全管理體系的建設(shè)需求也不甚相同:
體系建設(shè)之初,我相信大家的初衷都是抱著建立建成可落地的信息安全管理體系����。但我們都清楚,沒有絕對的安全���,也沒有絕對的可落地�����。ISO27001也沒有定義所謂的絕對安全可落地的信息安全管理體系��,它推崇的是PDCA過程模式���,保證管理體系持續(xù)改進的有效模式。PDCA循環(huán)將一個過程抽象為策劃���、實施����、檢查��、措施四個階段���,四個階段為一個循環(huán)��,通過持續(xù)的循環(huán)��,使信息安全管理持續(xù)改進�。
信息安全管理體系的有效落地程度很大程度上決定了信息安全管理水平。如何建立相對可落地的信息安全管理體系��,是貫穿安全管理崗工作的核心問題��。關(guān)于這個問題���,是本人在整個體系建設(shè)過程中一直思考反思的問題���,本人還在探索摸索的路上,無法給出完整精準的答案��。但基于個人在整個體系建設(shè)過程中所思所感所想����,總結(jié)了若干點。
一���、來自高層的明確支持����,以及相關(guān)資源的保障
在一個組織內(nèi)建設(shè)信息安全管理體系必須得到高層管理人員的承諾與支持!為何?
1. 從上之下高效推動
我相信絕大多數(shù)安全管理崗都有著相同的經(jīng)歷與感受:我們竭力去推廣某個流程規(guī)范���,期望能在某些方面上從流程規(guī)范上改善企業(yè)的信息安全問題�����,但是我們同各個部門溝通過程中卻四處碰壁��。其他部門不一定愿意采納流程規(guī)范�����,或是出于工作效率的考慮�,或是出于對新事情的排斥���。往更直白的說�����,每個部門都有各自部門的KPI�����,對于信息安全部門而言�,信息安全管理體系的建設(shè)落地確實是一項重要的KPI考核指標���,但是對于業(yè)務(wù)部門�����,他們更看重的可能更多地是業(yè)務(wù)穩(wěn)定運行���,而信息安全管理體系只是輔助業(yè)務(wù)安全穩(wěn)定運行的工具��。如果高層管理人員能夠出面處理跨部門之間的協(xié)調(diào)問題�����,相應(yīng)的安全方針政策�、控制措施方可在組織的上上下下得到更有效的貫徹����,體系建設(shè)會事半功倍。也正好體現(xiàn)了ISO27001中所提倡的“領(lǐng)導(dǎo)力”的概念�����,信息安全需要從上至下推動����,需要從上而下全員參與。
2. 有效的資源保證
另外一個層面�,引用一句俗語“巧婦難為無米之炊”����,信息安全管理體系建設(shè)過程中�,可能會涉及到外部咨詢機構(gòu)、測評機構(gòu)的引入�����,可能會涉及安全設(shè)備的采購……錢!錢!錢!是任何項目開展的基礎(chǔ)�����,需要領(lǐng)導(dǎo)層在實施有效安全過程的必要的資金支持���。
我們確實見過有些企業(yè)可能不聘請任何外部第三方的咨詢機構(gòu),內(nèi)部人員自行建設(shè)信息安全管理體系;
我們也見過有些企業(yè)不購買實施有效安全過程所必要的安全設(shè)備(防病毒軟件�����、WAF……)��,內(nèi)部人員自行開發(fā)或基于開源軟件二次開發(fā)以滿足安全需求;
以上做法可行嗎?只要企業(yè)內(nèi)部的人力資源能夠滿足現(xiàn)有需求���,當然可行!歸根到底���,人力資源的投入與資金的投入的平衡����,才是最可行的方案!
但人力資源的投入也好��,項目設(shè)備資金采購也罷���,都離不開領(lǐng)導(dǎo)層的高度支持��。
二�����、適合自己的��,才是最好的
為什么要建立信息安全管理體系?企業(yè)面臨哪些問題和風險?企業(yè)現(xiàn)在處于什么安全管理水平?每個企業(yè)信息安全工作的出發(fā)點和關(guān)注點不同�,后續(xù)安全工作的重點自然也不同����。我們確實見識過很大大型企業(yè)擁有完善的安全管理體系,處于行業(yè)的前沿�����,引領(lǐng)著安全的發(fā)展趨勢,但出自以上公司的管理體系不一定適用于自己的公司���,我們可以參考他們的管理模式�,在我們內(nèi)部做一定的調(diào)整適用�,但卻無法完全效仿大公司的管理模式,去照搬��,去復(fù)制���。管理50人與管理5000人適用不同的管理方式����?�;蛟S既然都有能力有效管理5000人����,那確實也能去管理50人�����。但是某種程度上����,殺雞焉用牛刀? 如果一個安全要求不是很高的企業(yè)���,效仿具備極其嚴格安全要求的公司,發(fā)布各種安全制度政策�����,上各種安全流程控制����,做各種安全審計和檢查,理論上確實安全了�,但搞得民怨沸騰,往往效果也不好��。投入與產(chǎn)出是亙古不變的話題�����,是安全管理崗需要去衡量的��。安全終究是為業(yè)務(wù)服務(wù)的�����,信息安全管理體系必須從業(yè)務(wù)目標出發(fā),反映業(yè)務(wù)的安全需求����。只要能夠滿足業(yè)務(wù)的安全需求,哪怕管控程度不如其他行業(yè)�����,也是一套好的管理體系�����。適合自己的�,才是最好的!
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)����、動漫設(shè)計、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評估����、規(guī)劃、管控�、建設(shè)、培訓(xùn)等�。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
