一直以来,在实施信息安全管理体系的实践过程中,无论是企业的管理层人员还是具体实施人员,无论是通过认证企业还是未认证企业,对ISMS实施过程都不同程度的存在着一些困惑和误区。
国内从1999年,厦门人保获得第一张ISMS认证证书至今,通过该项认证的企业为180多家,包括华为、中兴、深交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东公司)、中国网通(天津、北京公司)、中国电信(上海、北京、广东公司)等企业,主要集中在电信、金融、软件外包开发等行业。与目前国际通过该项认证的企业数量5200家相比,中国通过认证的企业数量并不多,但国内按照或参考ISO27001或ISO27002国际标准,建立健全本企业信息安全管理体系的企业却越来越多,一直以来,在实施信息安全管理体系的实践过程中,无论是企业的管理层人员还是具体实施人员,无论是通过认证企业还是未认证企业,对ISMS实施过程都不同程度的存在着一些困惑和误区。
困惑一:想仅仅通过技术和产品,就解决所有的(或主要的)安全问题。很多企业,甚至大型知名企业,上了很多技术和产品,有的企业甚至也建立了很多安全管理制度,甚至做了信息安全管理体系并通过了认证,投入了很多财力人力,但整体信息安全管理水平并没有明显提升,信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题:相关的管理跟不上,如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面,一定要重视“三分管理,七分技术”这一原则,要向管理要安全。技术只是帮助实现管理的手段,就IS02700l而言,它的l1个控制区域中,只有3个区域是完全和技术相关,其它8个都是要求如何进行信息安全管理,比如物理安全、人力资源安全、业务连续性管理这些都无法纯粹依靠技术来实现,更多的是要靠管理来实现。
困惑二:信息安全与工作效率的关系,做信息安全会不会影响工作效率。业务部门表面上都支持,但实际工作中并不配合。这是很多企业信息安全管理体系推行过程中,具体实施人员最常见的体会和抱怨。业务部门的支持是一个永远的问题。导致这个问题的原因很多,“工作很忙”,“出差刚回来,还要出去,根本没时间看那些什么安全策略”,“不要不相信我,我不会泄密”、“我们工作本来就很忙,拜托别再给我们增加工作了”等等。真的没有时间吗?明显不是,真正的原因是“业务才是最重要的,其它都是次要的”、“我干的这几年,运气不会这么差吧”,对安全风险的严重性认识不足,心存佼幸心理,不仅一般员工如此,有的管理层人员乃至核心管理层人员都不同程度有如此想法。
首先,信息安全负责人员在具体实施过程中,也要考虑统筹安排时间,毕竟企业是以赢利为目的的,业务是很重要的,在具体工作安排上,在不影响工作绩效的前提下,要尽可能以节约业务部门人员的时间的方式进行,比如安全意识的宣传,不要只是课堂培训一种方式,内部网站、经常性的提示性邮件、宣传小册子、打印机复印机旁的小贴士、台历上的安全小故事都是不错的选择,信息安全宣传方法要灵活,你理解业务部门,业务部门也会欢迎,也会理解你的工作。
其次,落实具体控制措施的好处,要向业务部门讲透。向业务部门推行的很多安全控制措施,如果能够得到良好的落实,对业务部门也是有好处的,有助于降低业务部门及相关人员的风险,业务部门不配合很大程度上是因为他们自己还没有看到这一层,我们的实施人员也没有向业务部门人员点透这一层。大部分情况,在业务部门人员明白这一层后,都会积极配合,也会接受因为控制措施实施导致的工作效率暂时性所受到的影响。
再次,单就实施具体的安全产品(如终端控制软件、使用CA证书)而言,在实施初期,由于业务部门人员操作不熟悉,会在一定程度上影响工作效率,但一旦人员操作熟练后,就不存在这个问题了,而且由于安全控制的提高,会降低业务部门的安全风险,减少业务部门人员用于终端或系统故障的时间,提高业务部门的工作效率。
困惑三:安全管理是一阵风,风吹时很猛,但吹过了,也就完了,如何长久保持。其实信息安全管理,特别是信息安全管理体系,要保持信息安全管理体系能够有效长久运行,最重要的是在企业中建立以下三个机制:持续改进机制、信息安全奖惩机制和内部信息安全审计机制。
要在企业文化中不断渗透持续改进的思想和意识,设置配置需要及时更新、安全制度和策略需要及时评审,缺少持续改善机制和文化企业的信息安全管理,无法逃脱“搞运动”的宿命-体系建立时,人人热血沸腾,文档制度一大堆,大家都认真执行,但过了几个月就基本上束之高阁,一切又回到旧轨道上。
“推行管理体系本身就是一件很有难度的事情,再加上奖惩,更不好做了,奖好办,但惩时,该罚谁呢,罚谁谁都会不高兴,会影响到同事关系,信息安全就是得罪人的事,没人愿意做,不好做”,具体实施人员经常有这样的抱怨。其实这个问题很容易解决,第一,明确和高层领导讲,如果想安全管理能够长久化、持续化,必须要有配套的奖惩(不能只奖不罚或只罚不奖);第二,奖惩的问题本来就不应该是信息安全实施人员的职责,是人力资源部门的事情,不建议信息安全实施人员不要借机“夺权”,在本职工作外,做自己原本不擅长的工作,信息安全实施人员要做的就是把控制措施执行情况的数据交给人力资源部门(很多是和技术相关的,需要实施人员提供)。
定期的信息安全内部审计机制非常重要,只有进行检查(CHECK),并对检查中发现的问题进行的整改(ACTION),整个信息安全管理体系才会形成完整的PDCA循环,形成一个闭环。如果因内部人员能力限制,也可以将内部安全审计外包给有资质的安全公司或会计师事务所进行。没有检查机制的安全管理是不可能有绩效的。
困惑四:只是下面的人在忙,老板只是口头上重视。这种现象在一些企业中很明显的存在,结果是具体实施人员也想了很多办法,费了很多力气,但实施效果并不理想。造成这种现象的原因就是缺乏高层真正的支持,包括财务、人力的投入,安全是自上而下的过程,自下而上的进行很难成功,信息安全管理体系的推行需要企业最高管理层的绝对支持和身为表率并持之以恒,最高管理层可能没有时间去一一详细了解每一项安全策略的内容,没有时间去参与具体的每一项实施工作,实践中这也是不可能的也不必要的,但最高管理层必须要很清楚他们的相关言行必须与企业信息安全的终级要求相一致,如果相背离,极有可能会事倍功半、事与愿违。在
Posted in安全
ISMS实施过程中常见的困惑与应对[转]
