一、信息安全管理體系簡介
為了便于了解信息安全管理體系是什么,我們先采用拆文解字的方式逐一對信息安全、管理和體系三個詞進(jìn)行詳細(xì)解釋,這主要便于IT安全技術(shù)人員從技術(shù)的泥沼中逃離出來,重新梳理思路,將技術(shù)優(yōu)勢發(fā)揮到最大。
首先說信息安全,在接觸的很多信息技術(shù)人員意識中,信息安全就是信息技術(shù)安全,其實不然,信息作為現(xiàn)代生活中不可或缺的一部分,雖然大多數(shù)情況下存在于信息技術(shù)產(chǎn)品如平板電腦、手機(jī)、個人電腦中,但是有些情況下它也游離于信息技術(shù)產(chǎn)品之外,如雜志、報刊、人的大腦、墻上、樹干上等等,在這種情況下,信息一旦脫離信息技術(shù)這一載體,便失去了信息技術(shù)的控制了,因此信息安全不能等同于信息技術(shù)安全。
其次說說管理,很多信息技術(shù)人員對管理者總是嗤之以鼻,總認(rèn)為技術(shù)為王,其實管理在很多領(lǐng)域都會出現(xiàn),如考勤管理、行政管理、財務(wù)管理等等,它就像空氣一樣存在于各行各業(yè)。對于信息安全也一樣,也有對信息安全的管理。管理過程其實就是一個規(guī)則的制定和調(diào)整的過程。
最后談?wù)勼w系,一聽到體系,很多人會覺得比較龐大,其實不然。明確的組織結(jié)構(gòu)、清晰的職責(zé)權(quán)限、有條不紊的做事規(guī)則就形成了體系。而且這一體系不是越龐大越好,而是適合就好。
二、信息安全管理體系實施過程中問題分析
信息安全管理體系的建設(shè)首先依賴于企業(yè)的建設(shè)目的,一般情況下存在兩種類型的企業(yè),一種是想通過信息安全管理體系標(biāo)新立異,獲取與眾不同的感受,比如獲得ISO27001的認(rèn)證。另外一種是想通過信息安全管理體系實實在在提高自身信息安全管理水平的。二者的區(qū)別是后者目的單純,前者是別有用心。下面我針對于后者在建設(shè)信息安全管理體系的過程中存在的問題做一簡要分析。
1.準(zhǔn)備時存在的問題
a.認(rèn)識上的問題
在開始實施信息安全管理體系之前,首先要想好想清楚為什么要做信息安全管理體系,以企業(yè)現(xiàn)有的認(rèn)知水平,是否達(dá)到或者具備實施信息安全管理的條件,這點主要體現(xiàn)在信息技術(shù)人員、信息技術(shù)管理者、CIO以及公司管理層是否對信息安全管理體系的認(rèn)識達(dá)到一致的程度。
另外也有企業(yè)領(lǐng)導(dǎo)認(rèn)為只要把某個公司的一套管理體系拿過來就可以,別人能做到,我們也能做到,其實不然,不同的認(rèn)知水平、不同的知識背景、不同的企業(yè)文化都影響信息安全管理體系的最終結(jié)果。
b.期望方面的問題
信息安全管理體系的成功與失敗,在一定程度上取決于實施者對此的期望,管理從來都是一個不斷演變和進(jìn)化的過程,也從來沒有立即見效的。因此認(rèn)為實施信息安全管理之后,公司上上下下立刻都視信息安全管理為企業(yè)生命,并嚴(yán)格遵守信息安全管理制度的期望是不現(xiàn)實的。
c.計劃問題
信息安全管理體系不同于信息安全技術(shù),信息安全技術(shù)可以立刻見效,比如部署一套防病毒系統(tǒng),那么公司的病毒情況會立刻減少或者得到控制,但是信息安全管理不一樣,它是潛移默化的一項公司,必須要有計劃有步驟地實施。
d.資金問題
花小錢辦大事,這是每個公司或個人都期望的,但是花小錢要在合理的市場價值體系下,一旦違背了價值體系,那么勢必出現(xiàn)花小錢辦壞事的情況。如果企業(yè)花費了巨大的金額就會把信息安全管理體系做好么?也不一定,因為信息安全管理體系的落地是由很多因素影響的,不光是資金的因素。適當(dāng)?shù)哪繕?biāo)、適當(dāng)?shù)钠髽I(yè)水平和適當(dāng)?shù)馁M用才能推動信息安全管理體系適當(dāng)?shù)穆涞亍?/p>
2.建設(shè)中存在的問題
a.人員問題
信息安全管理體系中,人員的問題主要來自于兩方面,一方面是處于設(shè)計體系的人員,也即建設(shè)信息安全管理體系的人員,他們的認(rèn)知水平、推廣方式都影響建設(shè)的進(jìn)展和效果,如果能夠設(shè)身處地的為各部門員工考慮,考慮他們的難處,并隨著他們對這一體系的理解,不斷深入推廣將效果會更好。另外一方面即各部門員工的配合力度也對信息安全管理體系的落地也有很大的關(guān)系。
b.數(shù)據(jù)問題
信息安全管理體系追求可比性,與自身比、與同行業(yè)比、與同規(guī)模企業(yè)比,既然要比就要有數(shù)據(jù),而數(shù)據(jù)的積累就是我國信息安全管理體系最大的困難。信息安全管理體系來自于國外,而老外是非常注重數(shù)據(jù)的,因此我們需要從現(xiàn)在起積累自己單位的數(shù)據(jù)、積累同行的數(shù)據(jù),這樣才能為充分落地和實施好信息安全管理體系打好基礎(chǔ)。
c.實施方法問題
如前所述,信息安全管理體系本身是一項潛移默化的工作,因此急于求成的信息安全管理體系建設(shè)基本都是失敗的,因此信息安全管理體系的實施應(yīng)該是有步驟有計劃逐步的進(jìn)行實施。個人認(rèn)為,先提升意識,特別是管理的意識,因為本身信息安全管理體系是一套管理方法不是信息技術(shù)。其次梳理信息安全管理現(xiàn)有流程,現(xiàn)有流程即企業(yè)當(dāng)前所進(jìn)行的信息安全管理活動是如何進(jìn)行的。第三步,在現(xiàn)有流程的基礎(chǔ)上集合日常維護(hù)的記錄分析哪些地方存在風(fēng)險,哪里曾經(jīng)發(fā)生過事故,充分發(fā)現(xiàn)風(fēng)險的存在。第四步,根據(jù)所發(fā)現(xiàn)的風(fēng)險,討論如何優(yōu)化流程,可以針對所發(fā)現(xiàn)的風(fēng)險提出全部的控制方法和手段。最后形成以風(fēng)險優(yōu)化流程,以流程規(guī)避風(fēng)險的良好機(jī)制。
3.落地實施中的問題
a.思維惰性
首先我們要承認(rèn)每個人都具備思維的惰性,不愿意去嘗試接受新的事物,不愿意去改變自己的習(xí)慣。而信息安全管理體系既要提升執(zhí)行人員的認(rèn)識也會去改變其習(xí)慣。對于該惰性,我認(rèn)為首先要分析執(zhí)行人員的產(chǎn)生思維惰性的原因,比如可能某項工作的增加不影響其績效,也可能其在認(rèn)識上并不認(rèn)為那樣做會有效,等等。在充分認(rèn)識到利弊之后,大部分執(zhí)行者都是接受并主動配合控制措施的執(zhí)行的。
b.觀念待轉(zhuǎn)變
觀念的轉(zhuǎn)變主要體現(xiàn)在一下幾個方面,首先是對信息安全管理的認(rèn)識轉(zhuǎn)變,信息安全管理管理的是信息不是信息技術(shù),企業(yè)的各個層面人員都需要轉(zhuǎn)變這個認(rèn)識。其次是信息安全管理體系,是一套管理方法,不是某項技術(shù),技術(shù)可以幫助提升管理效率,但它始終是一項管理活動,這一層面主要是針對企業(yè)中層管理人員。第三,管理活動注重的是分析,如果沒有分析的管理,管理水平會停滯不前,只有充分的分析,依據(jù)數(shù)據(jù)的分析,才能發(fā)現(xiàn)管理的問題,發(fā)現(xiàn)技術(shù)的問題,不斷的提升對信息的管理,這一層面主要是針對高級管理層。
c.工具支持尚缺
信息安全管理無論如何都還算是新鮮事物,工具的支持會更有效地幫助其落地,但是市場上對于工具的研發(fā)力度還比較差。比如某公司的風(fēng)險評估軟件,需要各部門進(jìn)行大量的錄入,而并未與企業(yè)的防火墻、入侵檢測、網(wǎng)管軟件進(jìn)行結(jié)合,也沒有形成一套計算模型進(jìn)行計算。
三、信息安全管理體系改進(jìn)建議
1.IT基礎(chǔ)建設(shè)
國內(nèi)的很多企業(yè)雖然也不輸了IDS、IPS、網(wǎng)管系統(tǒng)、ITIL產(chǎn)品等,但大多處于使用其減少紙面工作,并未真正利用其最重要的分析功能,而且一些企業(yè)的日志審計功能竟然是關(guān)閉的,沒有日志如何進(jìn)行分析,如何發(fā)現(xiàn)潛在的可能發(fā)生的問題。
2.長期計劃
就像前面分析到的,信息安全管理從來不是短期見效的一項工作,短期只能紙面效果明顯。因此對于信息安全管理體系的推廣和落地,應(yīng)該做好長期規(guī)劃,將長期計劃分解成多個階段計劃、階段目標(biāo),逐步實現(xiàn)最終的目標(biāo)。
3.體系整合
在企業(yè)中,除了信息安全管理體系之外,還有生產(chǎn)安全管理體系、質(zhì)量管理體系、職業(yè)健康管理體系、環(huán)境保護(hù)體系等等,這些體系之間的方法和思路都是統(tǒng)一的,重要的是建立起PDCA的循環(huán),因此他們可以在邏輯上納入公司層面的管理體系,只是專業(yè)分工不同而已,就像一個公司下面有很多個專業(yè)部門一樣,有管行政的、有管財務(wù)的、有負(fù)責(zé)客服的等等。
四、信息安全管理體系發(fā)展展望
1.體系本身的發(fā)展
ISMS(信息安全管理體系)的國際化組織正在研究一系列的標(biāo)準(zhǔn)以支持信息安全管理體系在各行各業(yè)的落地,目前在很多行業(yè)有相應(yīng)的標(biāo)準(zhǔn)研究正在計劃當(dāng)中。技術(shù)方面的如ISO/IEC27033:網(wǎng)絡(luò)安全、ISO/IEC27034:應(yīng)用安全等,行業(yè)方面的如ISO/IEC 27012:電子政府服務(wù)、ISO27799醫(yī)療健康組織、ISO27011通信組織等。從規(guī)劃看未來的信息安全管理體系標(biāo)準(zhǔn)將比較詳細(xì)和龐大,如果這樣發(fā)展下去,本文所論述的落地難的幾面將會有很大的改善。
2.企業(yè)落地情況展望
信息安全管理體系自進(jìn)入中國以來,經(jīng)歷了2005年至2007年的起步和2008至2012年的蓬勃發(fā)展兩個階段,現(xiàn)在這個階段應(yīng)該正在步入成熟期,而成熟其也是其總結(jié)教訓(xùn)和失敗的階段,只有總結(jié)了失敗和教訓(xùn),才能真正的進(jìn)入成熟期。
3.工具開發(fā)情況展望
為了推動信息安全管理體系落地,市場上很多安全產(chǎn)品公司和咨詢公司也推出了支持ISMS的產(chǎn)品,從總體情況看,都比較單一,并未形成一套集成軟件能夠?qū)W⒎治龊驼硇畔踩芾眢w系的運行結(jié)果。但是從這幾年的發(fā)展來看,目前已經(jīng)意識到這個問題,但是由于缺乏標(biāo)準(zhǔn)和數(shù)據(jù)積累,尚未有更好的解決辦法。但是無論如何,方向已經(jīng)明確,需要繼續(xù)努力。
總的來說,企業(yè)在實施信息安全管理體系的過程是充滿疑惑與疑慮,但是從整體的發(fā)展方向看還是朝著好的方向發(fā)展,就像一輛新車一樣,在駕馭的過程中難免需要與人的熟悉過程有關(guān),隨著深入的熟悉和了解,慢慢的就能自由馳騁了。
作者簡介:鄒煜(1980—),男,湖南衡陽人,高級工程師,研究方向:計算機(jī)科學(xué)與技術(shù)。