企業(yè)信息安全管理體系應投入什么？

　　根據官方統(tǒng)計數據顯示，截止到2009年3月中國國內已經有180家企業(yè)通過ISO27001國際認證，獲取證書。同時還有很多企業(yè)已經建立了信息安全管理體系（以下簡稱“ISMS”），盡管沒有選擇此項國際認證，對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運轉ISMS，應該在未來投入哪些？ iso9000認證

　　人員

　　人員對于企業(yè)來講是至關重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉過程中，人員都應該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續(xù)保留，負責維護各自部門的信息資產、安全事件跟蹤匯報、配合內審與外審、安全相關記錄收集維護等信息安全相關工作。但是做ISMS的持續(xù)運轉僅需要投入這么多人力么，這項建議屬于專門的人員投入建議。但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓，面向專業(yè)人員的信息安全技術培訓等，因此對于企業(yè)來講，除了必要的體系維護人員，在ISMS持續(xù)運轉過程中，若能將企業(yè)內的每名員工都納入到信息安全管理范圍內，培養(yǎng)出“信息安全，人人有責”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風險。

　　體系

　　ISMS自身的持續(xù)維護，往往是企業(yè)建立后容易被忽視的內容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于是在標準中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產發(fā)生重大變更，組織業(yè)務、部門發(fā)生重大調整時，都最好對ISMS進行重新的評審，必要時重新進行風險評估，有助于發(fā)現新出現的重大風險，并且可以將資源合理調配，將有限的資源使用到企業(yè)信息安全的“短板”位置。唯一不變的就是變化，企業(yè)每天所面臨的風險同樣也不是一成不變的，在更新維護信息資產清單的同時，對風險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內容。持續(xù)的維護才能保證ISMS的運轉，有效控制企業(yè)所面臨的各種風險。

　　工具

　　工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網絡安全設備、備份所需設備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具，即使沒有實施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務的結合，經常會出現如何將幾種類似工具充分利用，如何在各工具間建立接口，使數據流通共用， 哪些工具應該替換更新，數據如何遷移，甚至出現新購買的工具無人使用或無法滿足業(yè)務需求等問題，導致資金資源的浪費，因此在持續(xù)運轉ISMS過程中，根據風險評估報告，及信息安全專員反映的各部門業(yè)務需求各種信息數據的收集，應對工具進行統(tǒng)一規(guī)劃，盡量減少資源的浪費。同時在ISMS維護過程中，往往忽略體系維護所需工具，現有大部分企業(yè)對體系的維護并沒有使用工具，很多記錄都是采用紙質或簡單的電子表格進行記錄，甚至日常監(jiān)控、賬號定期檢查也均采用人工檢查記錄的模式，對于業(yè)務規(guī)模不大、數據量較小企業(yè)此種模式仍可滿足所需，但隨著企業(yè)規(guī)模擴大，手工記錄的模式將不能滿足所需，記錄和文件的版本控制及維護耗用信息安全專員大量的精力，選擇一種合適的ISMS維護工具也是大勢所趨并且至關重要的，目前市面上的專門用于體系，尤其是信息安全體系維護的工具還是較少的，各企業(yè)一方面可將ISMS的維護工作整合到正在使用的各類工具，例如IT服務管理工具，通過IT服務臺記錄跟蹤信息安全事件；通過文件管理服務器維護ISMS體系文件；通過內部辦公的OA系統(tǒng)進行賬號申請、變更審批等日常工作的記錄等，但這種維護方式往往導致數據分散，統(tǒng)計困難，或數據重復記錄，給信息安全審核和ISMS維護帶來很大困難和不便。在此方面，谷安天下自行研發(fā)出此種工具：IT風險管控系列軟件，集合谷安天下多名資深顧問自身信息安全經驗建立了滿足各行業(yè)特點的強大知識庫，包括風險評估管理、風險控制管理、風險運營管理、風險審計管理、風險知識管理5大知識模塊。

　　

　　關于企業(yè)的投入簡單的從上述三個方面提出，同時在企業(yè)文化建設、市場宣傳、媒體網站等各個角度均可考慮將信息安全要素納入其中，結合企業(yè)自身業(yè)務特點，給客戶及合作伙伴一系列的安全體驗。此外，在年度管理評審中，建議企業(yè)能認真仔細的對一年的信息安全工作進行回顧，無論從文件、記錄、工具、人員還是信息資產、資源等各個角度，回顧信息安全工作給企業(yè)所帶來的變化，以及哪些方面存在問題仍需改進，認真進行下一年度工作的規(guī)劃和資源合理分配，只有這樣才能保證ISMS與企業(yè)的業(yè)務共同發(fā)展，且ISMS能真正在企業(yè)中落地，為業(yè)務發(fā)展創(chuàng)造安全的基礎。



　　作者簡介：
黃震，谷安天下高級咨詢顧問，一直致力于IT服務管理、信息安全領域的研究，現專注在ISO20000/ITIL、ISO27001等管理體系的建立、整合及過程優(yōu)化；對金融業(yè)、制造業(yè)、BPO等行業(yè)的IT服務管理和信息安全管理體系建立和維護有著豐富的實踐經驗。

本頁關鍵詞：企業(yè)信息安全管理體系應投入什么？