信息化觀察網(wǎng)

隨著近年來信息安全話題的持續(xù)熱議，越來越多的企業(yè)管理人員開始關(guān)注這一領(lǐng)域，針對(duì)黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施，開始構(gòu)筑企業(yè)的信息安全防護(hù)屏障。然而在給企業(yè)做咨詢項(xiàng)目的時(shí)候，還是經(jīng)常會(huì)聽到這樣的話：“我們已經(jīng)部署了防火墻、入侵檢測(cè)設(shè)備防范外部黑客入侵，采購了專用的數(shù)據(jù)防泄密軟件進(jìn)行內(nèi)部信息資源管理，為什么還是會(huì)出現(xiàn)企業(yè)敏感信息外泄的問題？”“我們的IT運(yùn)營部門建立了系統(tǒng)的運(yùn)行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實(shí)？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣。”“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進(jìn)行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認(rèn)證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運(yùn)行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護(hù)能力。其實(shí)，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標(biāo)不治本，指的就是采取分片分析的發(fā)現(xiàn)問題—分析問題—解決問題的思路處理安全威脅，通過技術(shù)手段的積累雖然可以解決很多問題，但總會(huì)產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個(gè)互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過動(dòng)態(tài)的維護(hù)機(jī)制形成完善的防護(hù)體系。

信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對(duì)ISMS的建立，我們可以從中醫(yī)“望聞問切對(duì)癥下藥治病于未病”的三個(gè)角度來進(jìn)行分析和討論：

第一，“望聞問切”，全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險(xiǎn)評(píng)估是ISMS建設(shè)的基礎(chǔ)；

第二，“對(duì)癥下藥”，可落實(shí)、可操作、可驗(yàn)證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設(shè)，就必然需要對(duì)企業(yè)當(dāng)前信息資源現(xiàn)狀進(jìn)行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進(jìn)行ISMS建設(shè)。首先，自然是對(duì)企業(yè)現(xiàn)有資源的梳理，重點(diǎn)可以從以下幾個(gè)方面入手：

業(yè)務(wù)主體（設(shè)備、人員、軟件等）。業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺(tái)服務(wù)器、多少臺(tái)網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價(jià)值進(jìn)行一個(gè)估值，也是進(jìn)行整個(gè)信息系統(tǒng)資源價(jià)值評(píng)估的基礎(chǔ)評(píng)估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時(shí)價(jià)值最昂貴的設(shè)備未必最后對(duì)企業(yè)的價(jià)值也最大。在建立體系的過程中，對(duì)業(yè)務(wù)設(shè)備的盤點(diǎn)和清理是很重要的，也是進(jìn)行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個(gè)重要數(shù)據(jù)。

業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對(duì)業(yè)務(wù)和企業(yè)的重要性?，F(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運(yùn)行的平臺(tái)和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點(diǎn)分析的方面之一。

業(yè)務(wù)流程。企業(yè)所有的信息資源都是通過業(yè)務(wù)流程實(shí)現(xiàn)其價(jià)值的，如果沒有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對(duì)業(yè)務(wù)流程的了解和分析也是很重要的一個(gè)方面。

以上三個(gè)方面是企業(yè)信息資源的三個(gè)核心方面，孤立地看待任何一個(gè)方面都是毫無意義的。

其次，當(dāng)我們對(duì)企業(yè)的當(dāng)前信息資產(chǎn)進(jìn)行分析以后需要對(duì)其價(jià)值進(jìn)行評(píng)估。評(píng)估的過程就是對(duì)當(dāng)前的信息資產(chǎn)進(jìn)行量化的數(shù)據(jù)分析，進(jìn)行安全賦值，我們將信息資產(chǎn)的安全等級(jí)劃分為 5 級(jí)，數(shù)值越大，安全性要求越高，5 級(jí)的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失。1 級(jí)的信息資產(chǎn)定義為不重要，其被損害不會(huì)對(duì)企業(yè)造成過大影響，甚至可以忽略不計(jì)。對(duì)信息資產(chǎn)的評(píng)估在自身價(jià)值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個(gè)方面進(jìn)行評(píng)估賦值，最后信息資產(chǎn)的賦值取 5 個(gè)屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€(gè)基本要素之間的安全值是相互疊加的，比如需要運(yùn)行核心流程的交換機(jī)的賦值，是要高于需要運(yùn)行核心流程的交換機(jī)的賦值的。很多企業(yè)由于歷史原因，運(yùn)行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風(fēng)險(xiǎn)增加，也是需要重點(diǎn)注意的一點(diǎn)。

最后，對(duì)企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是 ISMS 建立過程中非常重要的一個(gè)方面，我們對(duì)信息資產(chǎn)賦值的目的就是為了計(jì)算風(fēng)險(xiǎn)值，從而我們可以看出整個(gè)信息系統(tǒng)中風(fēng)險(xiǎn)最大的部分在哪里。對(duì)于風(fēng)險(xiǎn)值的計(jì)算有個(gè)簡單的參考公式：風(fēng)險(xiǎn)值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對(duì)性的經(jīng)驗(yàn)公式）。ISMS 建設(shè)的最終目標(biāo)是將整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)值控制在一定范圍之內(nèi)。

對(duì)癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對(duì)企業(yè)面臨的安全威脅和隱患有一個(gè)全面的認(rèn)識(shí)，本階段的ISMS建設(shè)重點(diǎn)根據(jù)需求完成“對(duì)癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃。在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進(jìn)行實(shí)施。管理體系的規(guī)范針對(duì)不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會(huì)是孤立的，對(duì)企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見圖1。

一級(jí)文件通過綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)、原則、要求和主要措施等頂層設(shè)計(jì)；二級(jí)文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護(hù)工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細(xì)分，將其細(xì)化為包括“任務(wù)輸入”、“任務(wù)活動(dòng)”、“任務(wù)實(shí)施指南”和“任務(wù)輸出”等細(xì)則，便于操作人員根據(jù)規(guī)范進(jìn)行實(shí)施和管理人員根據(jù)規(guī)范進(jìn)行工作審核；三級(jí)文件則主要提供各項(xiàng)工作和操作所使用的表單和模板，以便各級(jí)工作人員參考使用。同時(shí)，無論是制定新的信息管理規(guī)章制度還是進(jìn)行設(shè)備的更換，都要量力而行，依據(jù)自己實(shí)際的情況來完成。例如，很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級(jí)領(lǐng)導(dǎo)擔(dān)任組長的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計(jì)部門組成的信息安全辦公室，具體負(fù)責(zé)企業(yè)的信息安全管理工作，在各級(jí)信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，從管理結(jié)構(gòu)設(shè)計(jì)上保證人員權(quán)限互相監(jiān)督和制約。但是事實(shí)上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個(gè)信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實(shí)施和驗(yàn)證 實(shí)施過程是最復(fù)雜的，實(shí)施之后需要進(jìn)行驗(yàn)證。實(shí)施是根據(jù) ISMS 的設(shè)計(jì)和體系規(guī)劃來做的，是個(gè)全面的信息系統(tǒng)的改進(jìn)工作，不是單獨(dú)的設(shè)備更新，也不是單獨(dú)的管理規(guī)范的發(fā)布，需要企業(yè)從上至下，全面地遵照?qǐng)?zhí)行，要和現(xiàn)有系統(tǒng)有效融合。這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范，雖然切合國人中醫(yī)理論的整體思維方式，但在國內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進(jìn)行信息安全管理體系的建設(shè)是一個(gè)為企業(yè)長久發(fā)展必須進(jìn)行的工程。到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實(shí)施的工程人員一同討論決定適合企業(yè)自身的實(shí)施方案

最后，是企業(yè)信息安全管理體系的認(rèn)證和審核 針對(duì)我們周圍很多重認(rèn)證，輕實(shí)施的思想，這里有必要談一下這個(gè)問題，認(rèn)證僅代表認(rèn)證過程中的信息體系是符合 ISO27000（或者其他國家標(biāo)準(zhǔn)）的規(guī)范要求，而不是說企業(yè)通過認(rèn)證就是一個(gè)在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實(shí)施整個(gè)體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要?jiǎng)討B(tài)改進(jìn)和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對(duì)性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進(jìn)行不斷地改進(jìn)和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進(jìn)和跟蹤完善的手段，經(jīng)過測(cè)評(píng)的管理體系僅僅一年之后就失去了大部分作用。對(duì)于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運(yùn)轉(zhuǎn)ISMS，我們認(rèn)為可以主要從以下三個(gè)方面著手：

第一，人員。人員對(duì)于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會(huì)建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施，且此名專員日后要持續(xù)保留，負(fù)責(zé)維護(hù)各自部門的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。

第二，體系。ISMS自身的持續(xù)維護(hù)，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧，這項(xiàng)活動(dòng)由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會(huì)忽略；但日常對(duì)于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時(shí)，都最好對(duì)ISMS進(jìn)行重新的評(píng)審，必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn)，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的，在更新維護(hù)信息資產(chǎn)清單的同時(shí)，對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的，而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

第三，工具。工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實(shí)是很大的一個(gè)泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類工具，即使沒有實(shí)施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會(huì)出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費(fèi)，因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過程中，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃，盡量減少資源的浪費(fèi)。