ISMS实施过程常见困惑和应对.docxVIP

ISMS实施过程常见困惑与应对 作者: 志军, 　出处:CIO时代,　责任编辑: 蔡舒飞　 　　一直以来，在实施信息安全管理体系的实践过程中，无论是企业的管理层人员还是具体实施人员，无论是通过认证 企业还是未认证企业，对ISMS实施过程都不同程度的存在着一些困惑和误区。 　　国内从1999年，厦门人保获得第一张ISMS认证证书至今，通过该项认证的企业为180多家，包括华为、中兴、深 交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东公司)、中国网通(天津、北京公司)、 中国电信(上海、北京、广东公司)等企业，主要集中在电信、金融、软件外包开发等行业。与目前国际通过该项认证的企业数量5200家相比，中国通过认证的企业数量并不多，但国内按照或参考ISO27001或ISO27002国际标准，建立健全本企业信息安全管理体系的企业却越来越多，一直以来，在实施信息安全管理体系的实践过程中，无论是企业的管理层人员还是具体实施人员，无论是通过认证企业还是未认证企业，对ISMS实施过程都不同程度的存在着一些困惑和误区。 困惑一：想仅仅通过技术和产品，就解决所有的(或主要的)安全问题。 很多企业，甚至大型知名企业，上了很多技术和产品，有的企业甚至也建立了很多安全管理制度，甚至做了信息安全管理体系并通过了认证，投入了很多财力人力，但整体信息安全管理水平并没有明显提升，信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题：相关的管理跟不上，如设备上线了，运行很久了，还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决，即使有再好的产品、技术或标准，企业的信息安全管理水平也很难从根本上有所提高，上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面，一定要重视“三分管理，七分技术”这一原则，要向管理要安全。技术只是帮助实现管理的手段，就IS02700l而言，它的l1个控制区域中，只有3个区域是完全和技术相关，其它8个都是要求如何进行信息安全管理，比如物理安全、人力资源安全、业务连续性管理这些都无法纯粹依靠技术来实现，更多的是要靠管理来实现。 困惑二：信息安全与工作效率的关系，做信息安全会不会影响工作效率。 业务部门表面上都支持，但实际工作中并不配合。这是很多企业信息安全管理体系推行过程中，具体实施人员最常见的体会和抱怨。业务部门的支持是一个永远的问题。导致这个问题的原因很多，“工作很忙”，“出差刚回来，还要出去，根本没时间看那些什么安全策略”，“不要不相信我，我不会泄密”、“我们工作本来就很忙，拜托别再给我们增加工作了”等等。真的没有时间吗?明显不是，真正的原因是“业务才是最重要的，其它都是次要的”、“我干的这几年，运气不会这么差吧”，对安全风险的严重性认识不足，心存佼幸心理，不仅一般员工如此，有的管理层人员乃至核心管理层人员都不同程度有如此想法。 　　首先，信息安全负责人员在具体实施过程中，也要考虑统筹安排时间，毕竟企业是以赢利为目的的，业务是很重要的，在具体工作安排上，在不影响工作绩效的前提下，要尽可能以节约业务部门人员的时间的方式进行，比如安全意识的宣传，不要只是课堂培训一种方式，内部网站、经常性的提示性邮件、宣传小册子、打印机复印机旁的小贴士、台历上的安全小故事都是不错的选择，信息安全宣传方法要灵活，你理解业务部门，业务部门也会欢迎，也会理解你的工作。 　　其次，落实具体控制措施的好处，要向业务部门讲透。向业务部门推行的很多安全控制措施，如果能够得到良好的落实，对业务部门也是有好处的，有助于降低业务部门及相关人员的风险，业务部门不配合很大程度上是因为他们自己还没有看到这一层，我们的实施人员也没有向业务部门人员点透这一层。大部分情况，在业务部门人员明白这一层后，都会积极配合，也会接受因为控制措施实施导致的工作效率暂时性所受到的影响。 　　再次，单就实施具体的安全产品(如终端控制软件、使用CA证书)而言，在实施初期，由于业务部门人员操作不熟悉，会在一定程度上影响工作效率，但一旦人员操作熟练后，就不存在这个问题了，而且由于安全控制的提高，会降低业务部门的安全风险，减少业务部门人员用于终端或系统故障的时间，提高业务部 门的工作效率。 困惑三：安全管理是一阵风，风吹时很猛，但吹过了，也就完了，如何长久保持。 其实信息安全管理，特别是信息安全管理体系，要保持信息安全管理体系能够有效长久运行，最重要的是在企业中建立以下三个机制：持续改进机制、信息安全奖惩机制和内部信息安全审计机制。 　　要在企业文化中不断渗透持续改进的思想和意识，设置配置需要及时更新、安全制度和策略需要及时评审，缺