淺談信息安全管理體系建設

  信息安全管理體系(ISMS)是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

雖談不上”一個人的安全部門”，但是“唯一”的安全管理崗在信息安全管理體系所承擔的職責完全不亞于那些孤軍奮戰的“一個人的安全部門”，縱然知道前路漫漫遍地荊棘，也要摸爬滾打著前進，頗有“天將降大任于斯人也……”的既視感，給那些奮戰前線的安全管理先驅者致以最崇高的敬意。 公司只有在達到一定的規模后，才會存在“安全管理崗”這個坑位。很多小型公司普遍還是“一個人的安全部門”，附屬于運維部門底下，一個人身兼安全運維、安全管理、應用安全(代碼審計、滲透測試)、安全開發，甚至還需要去承擔部分運維的職責。對于規模稍微大一點，對信息安全比較重視的、較有前瞻性的企業，亦或是合規性要求比較嚴格的企業，方才會設定專門的安全管理崗，甚至是成立獨立的安全部門。本人就自己的專業范疇，工作職責淺談安全管理崗。 常說“三分靠技術，七分靠管理”，不去深究技術與管理具體的比例是否準確，但至少我們需要形成一個共識——信息安全問題不能單單僅僅作為技術問題來處理，安全管理的作用無可厚非。 作為承擔安全管理責任的安全管理崗，核心工作是建立、實施、保持和持續改進信息安全管理體系。通過合理的組織體系、規章制度和管控措施，把具有信息安全保障功能的軟硬件設施和管理以及使用信息的人整合在一起，以此確保整個組織達到預定程度的信息安全。 不同企業對于信息安全管理體系的建設需求也不甚相同： ·可能是從無到有，從0到1建立信息安全管理體系; ·可能企業已有“信息安全管理體系”，但僅僅是冷冰冰的制度規范，就躺在管理者的電腦之中，直至面對監管機構檢查才開始發揮作用，未發揮該有的約束力、管控力; ·可能企業已有信息安全管理體系，但是實時性無法滿足企業日益變化的安全需求，待進一步優化改進; ·. …… 體系建設之初，我相信大家的初衷都是抱著建立建成可落地的信息安全管理體系。但我們都清楚，沒有絕對的安全，也沒有絕對的可落地。ISO27001也沒有定義所謂的絕對安全可落地的信息安全管理體系，它推崇的是PDCA過程模式，保證管理體系持續改進的有效模式。PDCA循環將一個過程抽象為策劃、實施、檢查、措施四個階段，四個階段為一個循環，通過持續的循環，使信息安全管理持續改進。 信息安全管理體系的有效落地程度很大程度上決定了信息安全管理水平。如何建立相對可落地的信息安全管理體系，是貫穿安全管理崗工作的核心問題。關于這個問題，是本人在整個體系建設過程中一直思考反思的問題，本人還在探索摸索的路上，無法給出完整精準的答案。但基于個人在整個體系建設過程中所思所感所想，總結了若干點。 一、來自高層的明確支持，以及相關資源的保障 在一個組織內建設信息安全管理體系必須得到高層管理人員的承諾與支持!為何? 1. 從上之下高效推動 我相信絕大多數安全管理崗都有著相同的經歷與感受：我們竭力去推廣某個流程規范，期望能在某些方面上從流程規范上改善企業的信息安全問題，但是我們同各個部門溝通過程中卻四處碰壁。其他部門不一定愿意采納流程規范，或是出于工作效率的考慮，或是出于對新事情的排斥。往更直白的說，每個部門都有各自部門的KPI，對于信息安全部門而言，信息安全管理體系的建設落地確實是一項重要的KPI考核指標，但是對于業務部門，他們更看重的可能更多地是業務穩定運行，而信息安全管理體系只是輔助業務安全穩定運行的工具。如果高層管理人員能夠出面處理跨部門之間的協調問題，相應的安全方針政策、控制措施方可在組織的上上下下得到更有效的貫徹，體系建設會事半功倍。也正好體現了ISO27001中所提倡的“領導力”的概念，信息安全需要從上至下推動，需要從上而下全員參與。 2. 有效的資源保證 另外一個層面，引用一句俗語“巧婦難為無米之炊”，信息安全管理體系建設過程中，可能會涉及到外部咨詢機構、測評機構的引入，可能會涉及安全設備的采購……錢!錢!錢!是任何項目開展的基礎，需要領導層在實施有效安全過程的必要的資金支持。 我們確實見過有些企業可能不聘請任何外部第三方的咨詢機構，內部人員自行建設信息安全管理體系; 我們也見過有些企業不購買實施有效安全過程所必要的安全設備(防病毒軟件、WAF……)，內部人員自行開發或基于開源軟件二次開發以滿足安全需求; 以上做法可行嗎?只要企業內部的人力資源能夠滿足現有需求，當然可行!歸根到底，人力資源的投入與資金的投入的平衡，才是最可行的方案! 但人力資源的投入也好，項目設備資金采購也罷，都離不開領導層的高度支持。 二、適合自己的，才是最好的 為什么要建立信息安全管理體系?企業面臨哪些問題和風險?企業現在處于什么安全管理水平?每個企業信息安全工作的出發點和關注點不同，后續安全工作的重點自然也不同。我們確實見識過很大大型企業擁有完善的安全管理體系，處于行業的前沿，引領著安全的發展趨勢，但出自以上公司的管理體系不一定適用于自己的公司，我們可以參考他們的管理模式，在我們內部做一定的調整適用，但卻無法完全效仿大公司的管理模式，去照搬，去復制。管理50人與管理5000人適用不同的管理方式。或許既然都有能力有效管理5000人，那確實也能去管理50人。但是某種程度上，殺雞焉用牛刀? 如果一個安全要求不是很高的企業，效仿具備極其嚴格安全要求的公司，發布各種安全制度政策，上各種安全流程控制，做各種安全審計和檢查，理論上確實安全了，但搞得民怨沸騰，往往效果也不好。投入與產出是亙古不變的話題，是安全管理崗需要去衡量的。安全終究是為業務服務的，信息安全管理體系必須從業務目標出發，反映業務的安全需求。只要能夠滿足業務的安全需求，哪怕管控程度不如其他行業，也是一套好的管理體系。適合自己的，才是最好的! 來源：FreeBuf