近些年,国内企业以金融、电力、通讯、软件等行业为代表,在信息安全方面投入显著且发展很快,特别是参照ISO27001这样的国际权威标准,建立符合现代企业治理需要的信息安全管理体系,已经成为高度依赖IT且重视信息安全的企业一项必然的选择。 一般来说,建立信息安全管理体系并通过ISO27001认证,企业或者是基于法律合规的要求,或者是迫于外部客户的压力,而更多的,则是出于自身业务发展的需要。无论出发点是什么,从结果来看,一个信息安全管理体系建设的项目和持续改进过程,不仅仅只是获得一张证书,更重要的,是在包括策略制度、组织建设、风险管理、人员意识和支持保障等方面形成层次化整体性的信息安全管理框架。在此基础上,企业不再发愁信息安全无从下手,不再质疑管理和技术孰轻孰重,也不再担心制度不清责任不明,至少在风险管控的基本面上,企业解决了“有没有”的问题,初步形成信息安全规范化管理的格局。 不过,理想与现实往往存在差距,在实际工作中,常会有企业的信息安全负责人发出这样的疑问:“我们体系也建了,认证也过了,可一场运动后,一切又回到过去,信息安全难道就是走过场?”,“外部检查内部检查,大检查小检查,可谁心里都没底,信息安全到底还有没有问题?”,“一大堆制度文件,可说归说做归做,到最后谁都不把制度当回事”,“管理就是务虚,信息安全管理体系更是虚,27001跟9000有什么区别呢?” 种种迹象表明,即便企业建立了信息安全管理体系并通过了ISO27001认证,但无论在策略制度、组织建设、风险管控、人员意识还是保障措施上,企业都还可能存在管理性或技术性的缺失,最终给人的印象就是:信息安全工作无法衡量现在(已做到什么程度?做得好不好?),无法比较过去(有无改进?多大改进?),无法预期将来(能做到什么程度?怎样达成?),归根结底,就是我们常说的难以“落地”的问题。 其实,一个能够落实且良好运转的信息安全管理体系,至少要保证制度层面“有法能依”而不仅仅“有法可依”,组织层面能“责任到人”而不仅仅“虚设角色”,风险管控能“流程管理”而非“就事论事”,人员意识需“耳濡目染”而非“单一培训”,检查监督可以“量化评价”而不是“主观判断”。在信息安全管理体系建设之后很长一段时间内,这些应该是企业对体系持续优化并解决落地化问题的关键。 为此,安言咨询提出来一整套的信息安全管理体系优化落地解决方案,即“四化一融合”。所谓四化一融合,是信息安全管理体系落地的具体几项工作,是在以往工作成果的基础上的进一步加强和深化。这些工作相互独立,却彼此关联,需要合理部署以同步开展或有序进行。 制度文件场所化:在完整的IT风险库基础上,以现有制度文件体系为起点,通过模块化内容管理,建立针对业务流程和岗位角色的场所文件,并和检查度量的KPI结合起来,让制度文件真正可落地。 安全管理流程化:将以往散点式的信息安全控制,转换为靠流程驱动的日常性工作。这些安全管理流程,由特定IT业务流程或需求(风险源)触发,靠风险评估和风险处置核心流程来驱动,确保业务相关风险得到控制。 控制绩效可量化:借鉴传统管理学领域量化评价的理念,通过对信息安全管控对象的定量评估,客观分析并评价信息安全包括局部环节和整个体系在内的运行状况,以此为依据促进整改和完善,最终达到持续提升信息安全管理水平的目的。 意识推广多样化:在明确不同对象的需求基础上,需要从管理机制和实施方法两个方面同时考虑。一方面需要建立起持续性、日常性而不是项目式、运动式的管理机制,把信息安全意识提升作为信息安全管理日常性工作的一部分,通过合理规划有效部署予以落实。另一方面,也需要采取灵活而多样的落实方法,避免教条和生硬。 人员责任大融合:制度文件场所化、安全管理流程化、控制绩效可量化以及意识提升多样化,都离不开人员责任的明确和落实。通过建立信息安全责任描述书,把人员责任融合到信息安全管理各项具体工作当中,使得“信息安全人人有责”不至于只是一句口号,而是实实在在体现在“信息安全人人担责”上。 在四化一融合实现的基础上,企业可以进一步设计并部署软件平台,固化体系落地成果。就像基于ITIL的IT运维操作流程,往往通过支持IT服务管理的工具平台来落实一样,信息安全管理,特别是以风险管理为核心的各种管控流程,也需要有一套可靠、高效、稳定的运行支撑平台。这种以工作流系统为基础、流程化管理为驱动、为信息安全管理体系运行提供保障的平台化管理方式,将是未来几年企业信息安全发展的必然趋势。
|