企業(yè)信息安全管理體系應(yīng)投入什么？

　　根據(jù)官方統(tǒng)計(jì)數(shù)據(jù)顯示，截止到2009年3月中國(guó)國(guó)內(nèi)已經(jīng)有180家企業(yè)通過ISO27001國(guó)際認(rèn)證，獲取證書。同時(shí)還有很多企業(yè)已經(jīng)建立了信息安全管理體系（以下簡(jiǎn)稱“ISMS”），盡管沒有選擇此項(xiàng)國(guó)際認(rèn)證，對(duì)于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運(yùn)轉(zhuǎn)ISMS，應(yīng)該在未來投入哪些？ iso9000認(rèn)證

　　人員

　　人員對(duì)于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會(huì)建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施，且此名專員日后要持續(xù)保留，負(fù)責(zé)維護(hù)各自部門的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。但是做ISMS的持續(xù)運(yùn)轉(zhuǎn)僅需要投入這么多人力么，這項(xiàng)建議屬于專門的人員投入建議。但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識(shí)培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對(duì)于企業(yè)來講，除了必要的體系維護(hù)人員，在ISMS持續(xù)運(yùn)轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責(zé)”的企業(yè)氛圍，則會(huì)為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項(xiàng)活動(dòng)的同時(shí)，還會(huì)納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對(duì)外也樹立起自身對(duì)重視信息安全的形象，大力降低外界給企業(yè)帶來的風(fēng)險(xiǎn)。

　　體系

　　ISMS自身的持續(xù)維護(hù)，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧，這項(xiàng)活動(dòng)由于是在標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會(huì)忽略；但日常對(duì)于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時(shí)，都最好對(duì)ISMS進(jìn)行重新的評(píng)審，必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn)，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的，在更新維護(hù)信息資產(chǎn)清單的同時(shí)，對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的，而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

　　工具

　　工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實(shí)是很大的一個(gè)泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類工具，即使沒有實(shí)施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會(huì)出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用， 哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購(gòu)買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費(fèi)，因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過程中，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃，盡量減少資源的浪費(fèi)。同時(shí)在ISMS維護(hù)過程中，往往忽略體系維護(hù)所需工具，現(xiàn)有大部分企業(yè)對(duì)體系的維護(hù)并沒有使用工具，很多記錄都是采用紙質(zhì)或簡(jiǎn)單的電子表格進(jìn)行記錄，甚至日常監(jiān)控、賬號(hào)定期檢查也均采用人工檢查記錄的模式，對(duì)于業(yè)務(wù)規(guī)模不大、數(shù)據(jù)量較小企業(yè)此種模式仍可滿足所需，但隨著企業(yè)規(guī)模擴(kuò)大，手工記錄的模式將不能滿足所需，記錄和文件的版本控制及維護(hù)耗用信息安全專員大量的精力，選擇一種合適的ISMS維護(hù)工具也是大勢(shì)所趨并且至關(guān)重要的，目前市面上的專門用于體系，尤其是信息安全體系維護(hù)的工具還是較少的，各企業(yè)一方面可將ISMS的維護(hù)工作整合到正在使用的各類工具，例如IT服務(wù)管理工具，通過IT服務(wù)臺(tái)記錄跟蹤信息安全事件；通過文件管理服務(wù)器維護(hù)ISMS體系文件；通過內(nèi)部辦公的OA系統(tǒng)進(jìn)行賬號(hào)申請(qǐng)、變更審批等日常工作的記錄等，但這種維護(hù)方式往往導(dǎo)致數(shù)據(jù)分散，統(tǒng)計(jì)困難，或數(shù)據(jù)重復(fù)記錄，給信息安全審核和ISMS維護(hù)帶來很大困難和不便。在此方面，谷安天下自行研發(fā)出此種工具：IT風(fēng)險(xiǎn)管控系列軟件，集合谷安天下多名資深顧問自身信息安全經(jīng)驗(yàn)建立了滿足各行業(yè)特點(diǎn)的強(qiáng)大知識(shí)庫(kù)，包括風(fēng)險(xiǎn)評(píng)估管理、風(fēng)險(xiǎn)控制管理、風(fēng)險(xiǎn)運(yùn)營(yíng)管理、風(fēng)險(xiǎn)審計(jì)管理、風(fēng)險(xiǎn)知識(shí)管理5大知識(shí)模塊。

　　

　　關(guān)于企業(yè)的投入簡(jiǎn)單的從上述三個(gè)方面提出，同時(shí)在企業(yè)文化建設(shè)、市場(chǎng)宣傳、媒體網(wǎng)站等各個(gè)角度均可考慮將信息安全要素納入其中，結(jié)合企業(yè)自身業(yè)務(wù)特點(diǎn)，給客戶及合作伙伴一系列的安全體驗(yàn)。此外，在年度管理評(píng)審中，建議企業(yè)能認(rèn)真仔細(xì)的對(duì)一年的信息安全工作進(jìn)行回顧，無論從文件、記錄、工具、人員還是信息資產(chǎn)、資源等各個(gè)角度，回顧信息安全工作給企業(yè)所帶來的變化，以及哪些方面存在問題仍需改進(jìn)，認(rèn)真進(jìn)行下一年度工作的規(guī)劃和資源合理分配，只有這樣才能保證ISMS與企業(yè)的業(yè)務(wù)共同發(fā)展，且ISMS能真正在企業(yè)中落地，為業(yè)務(wù)發(fā)展創(chuàng)造安全的基礎(chǔ)。



　　作者簡(jiǎn)介：
黃震，谷安天下高級(jí)咨詢顧問，一直致力于IT服務(wù)管理、信息安全領(lǐng)域的研究，現(xiàn)專注在ISO20000/ITIL、ISO27001等管理體系的建立、整合及過程優(yōu)化；對(duì)金融業(yè)、制造業(yè)、BPO等行業(yè)的IT服務(wù)管理和信息安全管理體系建立和維護(hù)有著豐富的實(shí)踐經(jīng)驗(yàn)。

本頁(yè)關(guān)鍵詞：企業(yè)信息安全管理體系應(yīng)投入什么？