企业ISMS建设过程中关心的问题

本文  作者：陈岌  

现在从事信息安全管理方面的咨询工作，跟客户直接打交道的日子比较多，最近几个月还做了一些ISO27001咨询项目的一些售前的工作，了解了不同行业对信息安全管理体系建设的不同需求和特点，在同客户的沟通过程当中，他们普遍关心信息安全管理体系该如何建设，建起来之后又如何发挥体系的作用等等，在这里，我整理他们最关心一些问题并根据我的项目经验做出回答。

ISMS：Information Security Management System
1.         ISMS项目结束后，顾问也走了，如何避免只留下一堆文件？

答：目前国内通过IS027001认证的企业不多，企业内部做过ISMS的企业也不多，但是很多企业有实施ISMS的愿望和要求，这一方面是企业在信息安全建设时侧重于安全产品和技术的投入并没有带来预期的效果，另一方面安全管理体系（BS7799）已有国际标准，国家重视，媒体厂商的推动。他们担心的是ISMS项目如何避免不是一场“运动”，“运动”过后大家的热情也逐渐冷却，最后就留下一堆无人执行的安全管理体系文件，特别是那些已经做过ISO9001管理体系的企业。

实际上，这个问题的本质就是ISMS咨询项目有效性的问题，咨询是否有效，关键是由两个方面所决定，一是咨询顾问解决问题的能力，二是企业本身执行力的强弱。
n    顾问明确自己在项目中扮演的角色仅仅是传递ISMS建设和运作的知识和方法，并为企业的ISMS的建设指明方向。
n    培训在咨询项目中扮演重要的角色，培训材料的准备要具有针对性，同时特别要强调的是检查培训的效果。
n    企业员工理解公司的信息安全策略以及相关管理制度，最好的做法是执行者同时就是相关安全策略的编写者，这是解决策略的可操作性和合理性的关键。
n    必要的考核指标，让用户了解不执行安全策略可能造成的后果
n    控制措施的执行尽可能的辅以技术的手段来帮助实施，而不是要靠员工的思想意识来执行。（如密码策略要求密码的长度必须是 6位以上，这就可以通过技术手段来实施。）

2.         ISMS建设之后，领导层如何知晓日常发生的一些安全问题，以及做出相应的决策？
答：通过安全事件管理流程中的事件上报机制，使上下信息沟通顺畅。

3.         ISMS建设时，外部顾问进入公司之后，公司资源投入多少呢？
答：企业在实施ISMS建设时，项目实施方管理层关心的除了付给咨询方的费用以外，还特别关心在ISMS建设过程中实施团队还需要投入多少人天。总的来说，实施团队的人天投入随着项目的进行会逐渐增加，而顾问则恰恰相反。这也与咨询顾问作用保持一致。

4.         ISMS项目实施之后，企业决策层如何看到项目的实施成果，也就是投入与产出的问题?
答：企业领导对于信息安全的认识一般还是比较粗浅的也是宏观的，对他们而言，不关心安全管理体系是如何建设的，他们关心的是比如在信息安全方面投入100万，企业的安全状况相比安全建设投入以前是否好了，如果好的话，又到底好在哪里。那么数字的东西是领导感兴趣的，同时也是最能说明问题的。ISMS建立起来之后，安全事件的采集、记录和发布的渠道也相应运作。ISMS的建设的投入产出比较即可纵向比也可横向比，纵向比就是企业实施ISMS前后安全事故发生的多寡、事故造成损失的大小、服务器或网络持续运行时间的长短等等多方面的比较，横向比就是实施了和没有实施ISMS的企业以及ISMS运作水平高的企业和运作水平低的企业，在面对同一个外部的安全威胁（比如某个病毒大规模的爆发）时的应对能力以及损害的严重程度的对比。
所以呢，面对这个投入和产出的比较，关键ISMS的实施者要做好原始数据的采集和记录，以反映安全水平的提高，也为以后的安全建设争取管理层和决策层的支持和信任。

5.         管理层如何理解并确定风险的可接受度？
答：管理层确定企业的风险可接受度，其实也表管理层为企业安全负有最终责任。管理层对信息安全问题的不甚了解，如何帮助管理层来做相关决策呢，理想的做法是对风险进行量化，确定风险等级，然后作出某一风险等级以下的是可以接受的。但是目前国内相关基础数据的缺乏，风险的量化几乎很难准确可信，所以呢，目前只能在考虑企业已有的预算上，对高风险的地方优先处理，其它风险的处理量力而行。实际上当前风险的可接受度的问题还只能停留在企业对信息安全的预算的考虑上。


6.         ISMS的范围确定之后，如何来解决范围之外的一些信息安全问题呢?
答：企业或组织内部面临信息安全问题的时候，目前虽然不是以前上某种安全产品就解决一切问题的那种一劳永逸的想法，但是大多数的企业或组织都希望尽可能多解决一些问题，这种心情是可以理解的。
ISMS建设时，都会确定一个明确的实施范围，比如IT部或研发部或财务部，那么在实施ISMS的过程当中，范围之外的部门或组织一般都不会深入涉及，再次实施的重点明确在已定的范围之内，在咨询顾问的帮助下，建立合理的信息安全组织框架，培养出能够胜任安全管理体系运作的相关人员，比如掌握了风险评估方法的人员，内部审计人员等等，提高人员的安全技能以及安全意识，在范围内，提高信息安全的运作水平，降低相关安全风险。然后依此作为示范，一步一步的扩大ISMS的范围，并且按照PDCA模型使企业的信息安全水平不断提升，最后全公司范围内推广实施。实际上这也是企业在信息安全体系的建设过程当中，在一定的人财物的投入的条件下，按部就班，循序渐进，并秉承关键部门、以及高安全风险的地方优先控制的思想，切忌一步而蹴。

超赞的资料，学习中

超赞的资料，学习中