浅谈信息安全管理体系建设

信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

虽谈不上”一个人的安全部门”,但是“唯一”的安全管理岗在信息安全管理体系所承担的职责完全不亚于那些孤军奋战的“一个人的安全部门”,纵然知道前路漫漫遍地荆棘,也要摸爬滚打着前进,颇有“天将降大任于斯人也……”的既视感,给那些奋战前线的安全管理先驱者致以最崇高的敬意。

公司只有在达到一定的规模后,才会存在“安全管理岗”这个坑位。很多小型公司普遍还是“一个人的安全部门”,附属于运维部门底下,一个人身兼安全运维、安全管理、应用安全(代码审计、渗透测试)、安全开发,甚至还需要去承担部分运维的职责。对于规模稍微大一点,对信息安全比较重视的、较有前瞻性的企业,亦或是合规性要求比较严格的企业,方才会设定专门的安全管理岗,甚至是成立独立的安全部门。本人就自己的专业范畴,工作职责浅谈安全管理岗。

常说“三分靠技术,七分靠管理”,不去深究技术与管理具体的比例是否准确,但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理,安全管理的作用无可厚非。

作为承担安全管理责任的安全管理岗,核心工作是建立、实施、保持和持续改进信息安全管理体系。通过合理的组织体系、规章制度和管控措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。

不同企业对于信息安全管理体系的建设需求也不甚相同:

1. 可能是从无到有,从0到1建立信息安全管理体系; 2. 可能企业已有“信息安全管理体系”,但仅仅是冷冰冰的制度规范,就躺在管理者的电脑之中,直至面对监管机构检查才开始发挥作用,未发挥该有的约束力、管控力; 3. 可能企业已有信息安全管理体系,但是实时性无法满足企业日益变化的安全需求,待进一步优化改进; 4. ……

体系建设之初,我相信大家的初衷都是抱着建立建成可落地的信息安全管理体系。但我们都清楚,没有绝对的安全,也没有绝对的可落地。ISO27001也没有定义所谓的绝对安全可落地的信息安全管理体系,它推崇的是PDCA过程模式,保证管理体系持续改进的有效模式。PDCA循环将一个过程抽象为策划、实施、检查、措施四个阶段,四个阶段为一个循环,通过持续的循环,使信息安全管理持续改进。

信息安全管理体系的有效落地程度很大程度上决定了信息安全管理水平。如何建立相对**可落地**的信息安全管理体系,是贯穿安全管理岗工作的核心问题。关于这个问题,是本人在整个体系建设过程中一直思考反思的问题,本人还在探索摸索的路上,无法给出完整精准的答案。但基于个人在整个体系建设过程中所思所感所想,总结了若干点。

一、来自高层的明确支持,以及相关资源的保障

在一个组织内建设信息安全管理体系必须得到高层管理人员的承诺与支持!为何?

1. 从上之下高效推动

我相信绝大多数安全管理岗都有着相同的经历与感受:我们竭力去推广某个流程规范,期望能在某些方面上从流程规范上改善企业的信息安全问题,但是我们同各个部门沟通过程中却四处碰壁。其他部门不一定愿意采纳流程规范,或是出于工作效率的考虑,或是出于对新事情的排斥。往更直白的说,每个部门都有各自部门的KPI,对于信息安全部门而言,信息安全管理体系的建设落地确实是一项重要的KPI考核指标,但是对于业务部门,他们更看重的可能更多地是业务稳定运行,而信息安全管理体系只是辅助业务安全稳定运行的工具。如果高层管理人员能够出面处理跨部门之间的协调问题,相应的安全方针政策、控制措施方可在组织的上上下下得到更有效的贯彻,体系建设会事半功倍。也正好体现了ISO27001中所提倡的“领导力”的概念,信息安全需要从上至下推动,需要从上而下全员参与。

2. 有效的资源保证

另外一个层面,引用一句俗语“巧妇难为无米之炊”,信息安全管理体系建设过程中,可能会涉及到外部咨询机构、测评机构的引入,可能会涉及安全设备的采购……钱!钱!钱!是任何项目开展的基础,需要领导层在实施有效安全过程的必要的资金支持。

我们确实见过有些企业可能不聘请任何外部第三方的咨询机构,内部人员自行建设信息安全管理体系;

我们也见过有些企业不购买实施有效安全过程所必要的安全设备(防病毒软件、WAF……),内部人员自行开发或基于开源软件二次开发以满足安全需求;

以上做法可行吗?只要企业内部的人力资源能够满足现有需求,当然可行!归根到底,人力资源的投入与资金的投入的平衡,才是最可行的方案!

但人力资源的投入也好,项目设备资金采购也罢,都离不开领导层的高度支持。

二、适合自己的,才是最好的

为什么要建立信息安全管理体系?企业面临哪些问题和风险?企业现在处于什么安全管理水平?每个企业信息安全工作的出发点和关注点不同,后续安全工作的重点自然也不同。我们确实见识过很大大型企业拥有完善的安全管理体系,处于行业的前沿,引领着安全的发展趋势,但出自以上公司的管理体系不一定适用于自己的公司,我们可以参考他们的管理模式,在我们内部做一定的调整适用,但却无法完全效仿大公司的管理模式,去照搬,去复制。管理50人与管理5000人适用不同的管理方式。或许既然都有能力有效管理5000人,那确实也能去管理50人。但是某种程度上,杀鸡焉用牛刀? 如果一个安全要求不是很高的企业,效仿具备极其严格安全要求的公司,发布各种安全制度政策,上各种安全流程控制,做各种安全审计和检查,理论上确实安全了,但搞得民怨沸腾,往往效果也不好。投入与产出是亘古不变的话题,是安全管理岗需要去衡量的。安全终究是为业务服务的,信息安全管理体系必须从业务目标出发,反映业务的安全需求。只要能够满足业务的安全需求,哪怕管控程度不如其他行业,也是一套好的管理体系。适合自己的,才是最好的!

* 本文作者:oumeixi2,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

彼得·泰尔:机器人是人类的救星,而非敌人

16950
来自专栏科技向令说

响铃:个体网咖翻牌网鱼成潮 网咖老大凭何率众突围行业寒冬

1月28日,在上海举办的“2018年网鱼战略启动会”上,作为中国乃至世界网咖行业的开创者与领导者,网鱼网咖宣布2017年服务超过3000万人次,会员数量突破11...

8940
来自专栏镁客网

VR或成为比手机更厚的屏障,VR+的世界或是你一个人的荒岛

18340
来自专栏BestSDK

一周简报|涂图SDK上线艺术滤镜云服务,助力开发者轻松实现Prisma效果

Face++入榜2017全球最具突破性品牌,人脸识别领域力压Facebook人脸团队;国资委与图灵机器人签订意向合作协议,打造人工智能卡通大使小新;捷通华声助力...

43060
来自专栏孟永辉

今日头条和腾讯互撕,背后的原因究竟是什么?

24350
来自专栏量子位

颠覆零售?风口上的无人商店其实还在过渡阶段

李根 唐旭 发自 凹非寺 量子位报道 | 公众号 QbitAI 万万没想到,工作不见了。 人工智能概念护体的无人商店——新零售运动的先锋,不单要消灭线上线下的界...

43860
来自专栏VRPinea

3.2 VR扫描:微软与Cigna合作,HoloLens进军健康检查领域

349100
来自专栏PPV课数据科学社区

【资讯】彼得·泰尔:机器人是人类的救星,而非敌人

硅谷投资家彼得·泰尔为英国《金融时报》撰写的文章,题为《Robots are our saviours, not the enemy》,由FT中文网翻译。彼得·...

36570
来自专栏数据派THU

清华“法律数据科研平台”向校内师生开放试运行

为进一步响应学校“跨学科建设”的号召,清华大学社会科学学院刘涛雄教授在清华大学第一届全国计算社会科学高端论坛首次对外透露,作为计算社会科学学科平台的子平台,“法...

13620
来自专栏人工智能快报

欧盟力图借助机器人提高农业生产力

2016年5月6日,机器人研究者网站 http://robohub.org/ 发表文章,介绍了欧盟力图借助机器人提高农业生产力的举措。 随着人口的增长,需要养活...

29540

扫码关注云+社区

领取腾讯云代金券