牛志軍：ISMS實施過程常見困惑與應(yīng)對

申請免費試用、咨詢電話：400-8352-114

國內(nèi)從1999年，廈門人保獲得第一張ISMS認(rèn)證證書至今，通過該項認(rèn)證的企業(yè)為180多家，包括華為、中興、深交所、深圳地鐵、平安保險、上海中芯國際、大連華信、上海銀行、比亞迪汽車、中國移動（北京、遼寧、天津公司、廣東公司）、中國網(wǎng)通（天津、北京公司）、中國電信（上海、北京、廣東公司）等企業(yè)，主要集中在電信、金融、軟件外包開發(fā)等行業(yè)。與目前國際通過該項認(rèn)證的企業(yè)數(shù)量5200家相比，中國通過認(rèn)證的企業(yè)數(shù)量并不多，但國內(nèi)按照或參考ISO27001或ISO27002國際標(biāo)準(zhǔn)，建立健全本企業(yè)信息安全管理體系的企業(yè)卻越來越多，一直以來，在實施信息安全管理體系的實踐過程中，無論是企業(yè)的管理層人員還是具體實施人員，無論是通過認(rèn)證企業(yè)還是未認(rèn)證企業(yè)，對ISMS實施過程都不同程度的存在著一些困惑和誤區(qū)。

困惑一：想僅僅通過技術(shù)和產(chǎn)品，就解決所有的（或主要的）安全問題。很多企業(yè)，甚至大型知名企業(yè)，上了很多技術(shù)和產(chǎn)品，有的企業(yè)甚至也建立了很多安全管理制度，甚至做了信息安全管理體系并通過了認(rèn)證，投入了很多財力人力，但整體信息安全管理水平并沒有明顯提升，信息安全問題還是層出不窮。根源在于這些企業(yè)都存在著一個普遍的問題：相關(guān)的管理跟不上，如設(shè)備上線了，運行很久了，還存在著很多默認(rèn)配置、設(shè)備的相關(guān)策略不完備、長時間不評審不更新、離職人員帳戶仍然存在、制度不執(zhí)行或執(zhí)行不到位、不徹底。這些問題不能很好地解決，即使有再好的產(chǎn)品、技術(shù)或標(biāo)準(zhǔn)，企業(yè)的信息安全管理水平也很難從根本上有所提高，上再好的產(chǎn)品、技術(shù)和標(biāo)準(zhǔn)最多是升級一下IT救火隊的裝備水平。在信息安全方面，一定要重視“三分管理，七分技術(shù)”這一原則，要向管理要安全。技術(shù)只是幫助實現(xiàn)管理的手段，就IS02700l而言，它的l1個控制區(qū)域中，只有3個區(qū)域是完全和技術(shù)相關(guān)，其它8個都是要求如何進(jìn)行信息安全管理，比如物理安全、人力資源安全、業(yè)務(wù)連續(xù)性管理這些都無法純粹依靠技術(shù)來實現(xiàn)，更多的是要靠管理來實現(xiàn)。

困惑二：信息安全與工作效率的關(guān)系，做信息安全會不會影響工作效率。業(yè)務(wù)部門表面上都支持，但實際工作中并不配合。這是很多企業(yè)信息安全管理體系推行過程中，具體實施人員最常見的體會和抱怨。業(yè)務(wù)部門的支持是一個永遠(yuǎn)的問題。導(dǎo)致這個問題的原因很多，“工作很忙”，“出差剛回來，還要出去，根本沒時間看那些什么安全策略”，“不要不相信我，我不會泄密”、“我們工作本來就很忙，拜托別再給我們增加工作了”等等。真的沒有時間嗎？明顯不是，真正的原因是“業(yè)務(wù)才是最重要的，其它都是次要的”、“我干的這幾年，運氣不會這么差吧”，對安全風(fēng)險的嚴(yán)重性認(rèn)識不足，心存佼幸心理，不僅一般員工如此，有的管理層人員乃至核心管理層人員都不同程度有如此想法。

首先，信息安全負(fù)責(zé)人員在具體實施過程中，也要考慮統(tǒng)籌安排時間，畢竟企業(yè)是以贏利為目的的，業(yè)務(wù)是很重要的，在具體工作安排上，在不影響工作績效的前提下，要盡可能以節(jié)約業(yè)務(wù)部門人員的時間的方式進(jìn)行，比如安全意識的宣傳，不要只是課堂培訓(xùn)一種方式，內(nèi)部網(wǎng)站、經(jīng)常性的提示性郵件、宣傳小冊子、打印機(jī)復(fù)印機(jī)旁的小貼士、臺歷上的安全小故事都是不錯的選擇，信息安全宣傳方法要靈活，你理解業(yè)務(wù)部門，業(yè)務(wù)部門也會歡迎，也會理解你的工作。

其次，落實具體控制措施的好處，要向業(yè)務(wù)部門講透。向業(yè)務(wù)部門推行的很多安全控制措施，如果能夠得到良好的落實，對業(yè)務(wù)部門也是有好處的，有助于降低業(yè)務(wù)部門及相關(guān)人員的風(fēng)險，業(yè)務(wù)部門不配合很大程度上是因為他們自己還沒有看到這一層，我們的實施人員也沒有向業(yè)務(wù)部門人員點透這一層。大部分情況，在業(yè)務(wù)部門人員明白這一層后，都會積極配合，也會接受因為控制措施實施導(dǎo)致的工作效率暫時性所受到的影響。

再次，單就實施具體的安全產(chǎn)品（如終端控制軟件、使用CA證書）而言，在實施初期，由于業(yè)務(wù)部門人員操作不熟悉，會在一定程度上影響工作效率，但一旦人員操作熟練后，就不存在這個問題了，而且由于安全控制的提高，會降低業(yè)務(wù)部門的安全風(fēng)險，減少業(yè)務(wù)部門人員用于終端或系統(tǒng)故障的時間，提高業(yè)務(wù)部門的工作效率。

困惑三：安全管理是一陣風(fēng)，風(fēng)吹時很猛，但吹過了，也就完了，如何長久保持。其實信息安全管理，特別是信息安全管理體系，要保持信息安全管理體系能夠有效長久運行，最重要的是在企業(yè)中建立以下三個機(jī)制：持續(xù)改進(jìn)機(jī)制、信息安全獎懲機(jī)制和內(nèi)部信息安全審計機(jī)制。

要在企業(yè)文化中不斷滲透持續(xù)改進(jìn)的思想和意識，設(shè)置配置需要及時更新、安全制度和策略需要及時評審，缺少持續(xù)改善機(jī)制和文化企業(yè)的信息安全管理，無法逃脫“搞運動”的宿命-體系建立時，人人熱血沸騰，文檔制度一大堆，大家都認(rèn)真執(zhí)行，但過了幾個月就基本上束之高閣，一切又回到舊軌道上。

“推行管理體系本身就是一件很有難度的事情，再加上獎懲，更不好做了，獎好辦，但懲時，該罰誰呢，罰誰誰都會不高興，會影響到同事關(guān)系，信息安全就是得罪人的事，沒人愿意做，不好做”，具體實施人員經(jīng)常有這樣的抱怨。其實這個問題很容易解決，第一，明確和高層領(lǐng)導(dǎo)講，如果想安全管理能夠長久化、持續(xù)化，必須要有配套的獎懲（不能只獎不罰或只罰不獎）;第二，獎懲的問題本來就不應(yīng)該是信息安全實施人員的職責(zé)，是人力資源部門的事情，不建議信息安全實施人員不要借機(jī)“奪權(quán)”，在本職工作外，做自己原本不擅長的工作，信息安全實施人員要做的就是把控制措施執(zhí)行情況的數(shù)據(jù)交給人力資源部門（很多是和技術(shù)相關(guān)的，需要實施人員提供）。

定期的信息安全內(nèi)部審計機(jī)制非常重要，只有進(jìn)行檢查（CHECK），并對檢查中發(fā)現(xiàn)的問題進(jìn)行的整改（ACTION），整個信息安全管理體系才會形成完整的PDCA循環(huán)，形成一個閉環(huán)。如果因內(nèi)部人員能力限制，也可以將內(nèi)部安全審計外包給有資質(zhì)的安全公司或會計師事務(wù)所進(jìn)行。沒有檢查機(jī)制的安全管理是不可能有績效的。

困惑四：只是下面的人在忙，老板只是口頭上重視。這種現(xiàn)象在一些企業(yè)中很明顯的存在，結(jié)果是具體實施人員也想了很多辦法，費了很多力氣，但實施效果并不理想。造成這種現(xiàn)象的原因就是缺乏高層真正的支持，包括財務(wù)、人力的投入，安全是自上而下的過程，自下而上的進(jìn)行很難成功，信息安全管理體系的推行需要企業(yè)最高管理層的絕對支持和身為表率并持之以恒，最高管理層可能沒有時間去一一詳細(xì)了解每一項安全策略的內(nèi)容，沒有時間去參與具體的每一項實施工作，實踐中這也是不可能的也不必要的，但最高管理層必須要很清楚他們的相關(guān)言行必須與企業(yè)信息安全的終級要求相一致，如果相背離，極有可能會事倍功半、事與愿違。在一個高層管理層人員都為貪圖便利在使用弱口令的企業(yè)，卻建立起一套良好的信息安全管理機(jī)制是不可想象的。

困惑五：忘記安全是一個動態(tài)的過程?！靶畔踩诉@么多錢，為什么還出事”，在企業(yè)中，特別是發(fā)生重大的信息安全事件后，不時會聽到這種聲音。出現(xiàn)這種聲音，有兩種可能，一種是安全沒有落實到位，安全最重要的是落實，空中樓閣式的安全管理只是美麗的肥皂泡，結(jié)局只能是又獲得一次慘痛的教訓(xùn)。在實踐中，還有另外一種情況，企業(yè)執(zhí)行力也不錯，各項措施也有落實，但還是出現(xiàn)問題了。這時出現(xiàn)這種聲音，問題在于持這種說法的人，問題出在他的思維方式上。風(fēng)險是一個動態(tài)的過程，信息安全也是一個動態(tài)的過程，產(chǎn)品技術(shù)標(biāo)準(zhǔn)不斷發(fā)展和完善，信息安全威脅也是不斷地升級換代，隨著企業(yè)信息化程度的進(jìn)一步加深，企業(yè)核心業(yè)務(wù)對IT依賴度的進(jìn)一步加強(qiáng)，信息安全問題會相對越來越多，這是一個不可扭轉(zhuǎn)的趨勢和現(xiàn)實。現(xiàn)實的情況是上這些設(shè)備，建了這個體系，會減少很多安全問題和風(fēng)險，但不能完全避免，如果不上這些設(shè)備和體系，問題只會更多。這一點是信息安全管理部門和人員最希望得到管理層和業(yè)務(wù)部門理解的一點。

100%的安全是沒有的，也是不可能的，即使是與要時刻核算成本的企業(yè)相比，可以“不計成本”投入的安全部門和軍隊，也做不到100%的安全，美國的CIA、FBI和國防部不也不上一次發(fā)生過網(wǎng)頁被改，重要機(jī)密被泄露的事件嗎？美國SP800標(biāo)準(zhǔn)中不也是把“絕對安全”改為“相對安全”了嗎？

信息安全事件的發(fā)生具有一定的必然性，也有偶然性，不能單憑信息安全事件的影響程度和發(fā)生與否作為考慮安全管理人員績效考核的唯一標(biāo)準(zhǔn)。對于管理層而言，重要的是考慮在信息安全方面的投入和風(fēng)險接受級別間找到一個平衡點

困惑六：其它企業(yè)的成功的經(jīng)驗，為什么在我們這里卻不行。信息安全管理實施模式切忌生抄照搬，一定要結(jié)合自己企業(yè)的企業(yè)文化和實際情況進(jìn)行。在執(zhí)行力強(qiáng)的企業(yè)中，很多控制措施可以一步到位，但在執(zhí)行力稍差的企業(yè)中，就是考慮是不是要分步實施；在對大型企業(yè)或金融行業(yè)，每年有固定的IT預(yù)算，IT投入較充裕，一些安全控制手段可能考慮通過技術(shù)實現(xiàn)，但在一些小型企業(yè)或IT投入較小的企業(yè)，就要考慮通過管理實現(xiàn)。除此之外，還要考慮企業(yè)文化的其它方面，如企業(yè)的不同性質(zhì)、企業(yè)領(lǐng)導(dǎo)人的不同風(fēng)格、企業(yè)內(nèi)部溝通機(jī)制、信息安全主導(dǎo)部門和人員在企業(yè)中的地位諸多等因素。

另外，在信息安全管理過程中需要以人為本，尊重人性。在企業(yè)的信息安全管理中，除了產(chǎn)品和技術(shù)外，人員的因素非常重要，人員的無意泄密還可以通過培訓(xùn)提高安全意識來改善；可以通過郵件審計、打印復(fù)印控制、USB控制、硬盤或文件加密等方法，減少泄密的渠道；但對人腦記憶的信息的傳播是無法通過技術(shù)來控制的，至少目前的技術(shù)手段是實現(xiàn)不了的。而且技術(shù)手段實現(xiàn)的諸多的監(jiān)控，更多是為安全事件的留下證據(jù)，與之相比，事前預(yù)防是最重要的，加強(qiáng)事前預(yù)防的最可行和有效的手段就是從管理方面通過包括人性化管理、信息安全獎懲等方法綜合運用不斷增強(qiáng)員工對企業(yè)的認(rèn)同感、歸宿感和忠誠度。

作者：牛志軍，某咨詢公司資深顧問。金融證券期貨行業(yè)資深信息安全專家，BS7799LA，國家注冊審核員，國內(nèi)第一批ISMS實施咨詢專家；對于信息安全咨詢有豐富的理論基礎(chǔ)和實施經(jīng)驗，擅長于行業(yè)風(fēng)險評估、IT審計、ISMS建設(shè)、企業(yè)內(nèi)部控制等領(lǐng)域，曾成功主導(dǎo)多家知名企業(yè)信息安全項目的實施工作，發(fā)表信息安全論文多篇；對營銷管理、戰(zhàn)略管理、人力資源管理等有廣泛涉獵。（CIO時代網(wǎng)）