企業(yè)信息安全管理體系應(yīng)投入什么？

　　根據(jù)官方統(tǒng)計數(shù)據(jù)顯示，截止到2009年3月中國國內(nèi)已經(jīng)有180家企業(yè)通過ISO27001國際認(rèn)證，獲取證書。同時還有很多企業(yè)已經(jīng)建立了信息安全管理體系（以下簡稱“ISMS”），盡管沒有選擇此項(xiàng)國際認(rèn)證，對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運(yùn)轉(zhuǎn)ISMS，應(yīng)該在未來投入哪些？ iso9000認(rèn)證

　　人員

　　人員對于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施，且此名專員日后要持續(xù)保留，負(fù)責(zé)維護(hù)各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。但是做ISMS的持續(xù)運(yùn)轉(zhuǎn)僅需要投入這么多人力么，這項(xiàng)建議屬于專門的人員投入建議。但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對于企業(yè)來講，除了必要的體系維護(hù)人員，在ISMS持續(xù)運(yùn)轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責(zé)”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項(xiàng)活動的同時，還會納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風(fēng)險。

　　體系

　　ISMS自身的持續(xù)維護(hù)，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產(chǎn)清單、風(fēng)險清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評審回顧，這項(xiàng)活動由于是在標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時，都最好對ISMS進(jìn)行重新的評審，必要時重新進(jìn)行風(fēng)險評估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險同樣也不是一成不變的，在更新維護(hù)信息資產(chǎn)清單的同時，對風(fēng)險清單的回顧也是不可疏忽的，而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險。

　　工具

　　工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實(shí)是很大的一個泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具，即使沒有實(shí)施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用， 哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費(fèi)，因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過程中，根據(jù)風(fēng)險評估報告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對工具進(jìn)行統(tǒng)一規(guī)劃，盡量減少資源的浪費(fèi)。同時在ISMS維護(hù)過程中，往往忽略體系維護(hù)所需工具，現(xiàn)有大部分企業(yè)對體系的維護(hù)并沒有使用工具，很多記錄都是采用紙質(zhì)或簡單的電子表格進(jìn)行記錄，甚至日常監(jiān)控、賬號定期檢查也均采用人工檢查記錄的模式，對于業(yè)務(wù)規(guī)模不大、數(shù)據(jù)量較小企業(yè)此種模式仍可滿足所需，但隨著企業(yè)規(guī)模擴(kuò)大，手工記錄的模式將不能滿足所需，記錄和文件的版本控制及維護(hù)耗用信息安全專員大量的精力，選擇一種合適的ISMS維護(hù)工具也是大勢所趨并且至關(guān)重要的，目前市面上的專門用于體系，尤其是信息安全體系維護(hù)的工具還是較少的，各企業(yè)一方面可將ISMS的維護(hù)工作整合到正在使用的各類工具，例如IT服務(wù)管理工具，通過IT服務(wù)臺記錄跟蹤信息安全事件；通過文件管理服務(wù)器維護(hù)ISMS體系文件；通過內(nèi)部辦公的OA系統(tǒng)進(jìn)行賬號申請、變更審批等日常工作的記錄等，但這種維護(hù)方式往往導(dǎo)致數(shù)據(jù)分散，統(tǒng)計困難，或數(shù)據(jù)重復(fù)記錄，給信息安全審核和ISMS維護(hù)帶來很大困難和不便。在此方面，谷安天下自行研發(fā)出此種工具：IT風(fēng)險管控系列軟件，集合谷安天下多名資深顧問自身信息安全經(jīng)驗(yàn)建立了滿足各行業(yè)特點(diǎn)的強(qiáng)大知識庫，包括風(fēng)險評估管理、風(fēng)險控制管理、風(fēng)險運(yùn)營管理、風(fēng)險審計管理、風(fēng)險知識管理5大知識模塊。

　　

　　關(guān)于企業(yè)的投入簡單的從上述三個方面提出，同時在企業(yè)文化建設(shè)、市場宣傳、媒體網(wǎng)站等各個角度均可考慮將信息安全要素納入其中，結(jié)合企業(yè)自身業(yè)務(wù)特點(diǎn)，給客戶及合作伙伴一系列的安全體驗(yàn)。此外，在年度管理評審中，建議企業(yè)能認(rèn)真仔細(xì)的對一年的信息安全工作進(jìn)行回顧，無論從文件、記錄、工具、人員還是信息資產(chǎn)、資源等各個角度，回顧信息安全工作給企業(yè)所帶來的變化，以及哪些方面存在問題仍需改進(jìn)，認(rèn)真進(jìn)行下一年度工作的規(guī)劃和資源合理分配，只有這樣才能保證ISMS與企業(yè)的業(yè)務(wù)共同發(fā)展，且ISMS能真正在企業(yè)中落地，為業(yè)務(wù)發(fā)展創(chuàng)造安全的基礎(chǔ)。



　　作者簡介：
黃震，谷安天下高級咨詢顧問，一直致力于IT服務(wù)管理、信息安全領(lǐng)域的研究，現(xiàn)專注在ISO20000/ITIL、ISO27001等管理體系的建立、整合及過程優(yōu)化；對金融業(yè)、制造業(yè)、BPO等行業(yè)的IT服務(wù)管理和信息安全管理體系建立和維護(hù)有著豐富的實(shí)踐經(jīng)驗(yàn)。

本頁關(guān)鍵詞：企業(yè)信息安全管理體系應(yīng)投入什么？