牛志軍：ISMS實施過程常見困惑與應對

申請免費試用、咨詢電話：400-8352-114

國內從1999年，廈門人保獲得第一張ISMS認證證書至今，通過該項認證的企業(yè)為180多家，包括華為、中興、深交所、深圳地鐵、平安保險、上海中芯國際、大連華信、上海銀行、比亞迪汽車、中國移動（北京、遼寧、天津公司、廣東公司）、中國網通（天津、北京公司）、中國電信（上海、北京、廣東公司）等企業(yè)，主要集中在電信、金融、軟件外包開發(fā)等行業(yè)。與目前國際通過該項認證的企業(yè)數量5200家相比，中國通過認證的企業(yè)數量并不多，但國內按照或參考ISO27001或ISO27002國際標準，建立健全本企業(yè)信息安全管理體系的企業(yè)卻越來越多，一直以來，在實施信息安全管理體系的實踐過程中，無論是企業(yè)的管理層人員還是具體實施人員，無論是通過認證企業(yè)還是未認證企業(yè)，對ISMS實施過程都不同程度的存在著一些困惑和誤區(qū)。

困惑一：想僅僅通過技術和產品，就解決所有的（或主要的）安全問題。很多企業(yè)，甚至大型知名企業(yè)，上了很多技術和產品，有的企業(yè)甚至也建立了很多安全管理制度，甚至做了信息安全管理體系并通過了認證，投入了很多財力人力，但整體信息安全管理水平并沒有明顯提升，信息安全問題還是層出不窮。根源在于這些企業(yè)都存在著一個普遍的問題：相關的管理跟不上，如設備上線了，運行很久了，還存在著很多默認配置、設備的相關策略不完備、長時間不評審不更新、離職人員帳戶仍然存在、制度不執(zhí)行或執(zhí)行不到位、不徹底。這些問題不能很好地解決，即使有再好的產品、技術或標準，企業(yè)的信息安全管理水平也很難從根本上有所提高，上再好的產品、技術和標準最多是升級一下IT救火隊的裝備水平。在信息安全方面，一定要重視“三分管理，七分技術”這一原則，要向管理要安全。技術只是幫助實現(xiàn)管理的手段，就IS02700l而言，它的l1個控制區(qū)域中，只有3個區(qū)域是完全和技術相關，其它8個都是要求如何進行信息安全管理，比如物理安全、人力資源安全、業(yè)務連續(xù)性管理這些都無法純粹依靠技術來實現(xiàn)，更多的是要靠管理來實現(xiàn)。

困惑二：信息安全與工作效率的關系，做信息安全會不會影響工作效率。業(yè)務部門表面上都支持，但實際工作中并不配合。這是很多企業(yè)信息安全管理體系推行過程中，具體實施人員最常見的體會和抱怨。業(yè)務部門的支持是一個永遠的問題。導致這個問題的原因很多，“工作很忙”，“出差剛回來，還要出去，根本沒時間看那些什么安全策略”，“不要不相信我，我不會泄密”、“我們工作本來就很忙，拜托別再給我們增加工作了”等等。真的沒有時間嗎？明顯不是，真正的原因是“業(yè)務才是最重要的，其它都是次要的”、“我干的這幾年，運氣不會這么差吧”，對安全風險的嚴重性認識不足，心存佼幸心理，不僅一般員工如此，有的管理層人員乃至核心管理層人員都不同程度有如此想法。

首先，信息安全負責人員在具體實施過程中，也要考慮統(tǒng)籌安排時間，畢竟企業(yè)是以贏利為目的的，業(yè)務是很重要的，在具體工作安排上，在不影響工作績效的前提下，要盡可能以節(jié)約業(yè)務部門人員的時間的方式進行，比如安全意識的宣傳，不要只是課堂培訓一種方式，內部網站、經常性的提示性郵件、宣傳小冊子、打印機復印機旁的小貼士、臺歷上的安全小故事都是不錯的選擇，信息安全宣傳方法要靈活，你理解業(yè)務部門，業(yè)務部門也會歡迎，也會理解你的工作。

其次，落實具體控制措施的好處，要向業(yè)務部門講透。向業(yè)務部門推行的很多安全控制措施，如果能夠得到良好的落實，對業(yè)務部門也是有好處的，有助于降低業(yè)務部門及相關人員的風險，業(yè)務部門不配合很大程度上是因為他們自己還沒有看到這一層，我們的實施人員也沒有向業(yè)務部門人員點透這一層。大部分情況，在業(yè)務部門人員明白這一層后，都會積極配合，也會接受因為控制措施實施導致的工作效率暫時性所受到的影響。

再次，單就實施具體的安全產品（如終端控制軟件、使用CA證書）而言，在實施初期，由于業(yè)務部門人員操作不熟悉，會在一定程度上影響工作效率，但一旦人員操作熟練后，就不存在這個問題了，而且由于安全控制的提高，會降低業(yè)務部門的安全風險，減少業(yè)務部門人員用于終端或系統(tǒng)故障的時間，提高業(yè)務部門的工作效率。

困惑三：安全管理是一陣風，風吹時很猛，但吹過了，也就完了，如何長久保持。其實信息安全管理，特別是信息安全管理體系，要保持信息安全管理體系能夠有效長久運行，最重要的是在企業(yè)中建立以下三個機制：持續(xù)改進機制、信息安全獎懲機制和內部信息安全審計機制。

要在企業(yè)文化中不斷滲透持續(xù)改進的思想和意識，設置配置需要及時更新、安全制度和策略需要及時評審，缺少持續(xù)改善機制和文化企業(yè)的信息安全管理，無法逃脫“搞運動”的宿命-體系建立時，人人熱血沸騰，文檔制度一大堆，大家都認真執(zhí)行，但過了幾個月就基本上束之高閣，一切又回到舊軌道上。

“推行管理體系本身就是一件很有難度的事情，再加上獎懲，更不好做了，獎好辦，但懲時，該罰誰呢，罰誰誰都會不高興，會影響到同事關系，信息安全就是得罪人的事，沒人愿意做，不好做”，具體實施人員經常有這樣的抱怨。其實這個問題很容易解決，第一，明確和高層領導講，如果想安全管理能夠長久化、持續(xù)化，必須要有配套的獎懲（不能只獎不罰或只罰不獎）;第二，獎懲的問題本來就不應該是信息安全實施人員的職責，是人力資源部門的事情，不建議信息安全實施人員不要借機“奪權”，在本職工作外，做自己原本不擅長的工作，信息安全實施人員要做的就是把控制措施執(zhí)行情況的數據交給人力資源部門（很多是和技術相關的，需要實施人員提供）。

定期的信息安全內部審計機制非常重要，只有進行檢查（CHECK），并對檢查中發(fā)現(xiàn)的問題進行的整改（ACTION），整個信息安全管理體系才會形成完整的PDCA循環(huán)，形成一個閉環(huán)。如果因內部人員能力限制，也可以將內部安全審計外包給有資質的安全公司或會計師事務所進行。沒有檢查機制的安全管理是不可能有績效的。

困惑四：只是下面的人在忙，老板只是口頭上重視。這種現(xiàn)象在一些企業(yè)中很明顯的存在，結果是具體實施人員也想了很多辦法，費了很多力氣，但實施效果并不理想。造成這種現(xiàn)象的原因就是缺乏高層真正的支持，包括財務、人力的投入，安全是自上而下的過程，自下而上的進行很難成功，信息安全管理體系的推行需要企業(yè)最高管理層的絕對支持和身為表率并持之以恒，最高管理層可能沒有時間去一一詳細了解每一項安全策略的內容，沒有時間去參與具體的每一項實施工作，實踐中這也是不可能的也不必要的，但最高管理層必須要很清楚他們的相關言行必須與企業(yè)信息安全的終級要求相一致，如果相背離，極有可能會事倍功半、事與愿違。在一個高層管理層人員都為貪圖便利在使用弱口令的企業(yè)，卻建立起一套良好的信息安全管理機制是不可想象的。

困惑五：忘記安全是一個動態(tài)的過程?！靶畔踩诉@么多錢，為什么還出事”，在企業(yè)中，特別是發(fā)生重大的信息安全事件后，不時會聽到這種聲音。出現(xiàn)這種聲音，有兩種可能，一種是安全沒有落實到位，安全最重要的是落實，空中樓閣式的安全管理只是美麗的肥皂泡，結局只能是又獲得一次慘痛的教訓。在實踐中，還有另外一種情況，企業(yè)執(zhí)行力也不錯，各項措施也有落實，但還是出現(xiàn)問題了。這時出現(xiàn)這種聲音，問題在于持這種說法的人，問題出在他的思維方式上。風險是一個動態(tài)的過程，信息安全也是一個動態(tài)的過程，產品技術標準不斷發(fā)展和完善，信息安全威脅也是不斷地升級換代，隨著企業(yè)信息化程度的進一步加深，企業(yè)核心業(yè)務對IT依賴度的進一步加強，信息安全問題會相對越來越多，這是一個不可扭轉的趨勢和現(xiàn)實?，F(xiàn)實的情況是上這些設備，建了這個體系，會減少很多安全問題和風險，但不能完全避免，如果不上這些設備和體系，問題只會更多。這一點是信息安全管理部門和人員最希望得到管理層和業(yè)務部門理解的一點。

100%的安全是沒有的，也是不可能的，即使是與要時刻核算成本的企業(yè)相比，可以“不計成本”投入的安全部門和軍隊，也做不到100%的安全，美國的CIA、FBI和國防部不也不上一次發(fā)生過網頁被改，重要機密被泄露的事件嗎？美國SP800標準中不也是把“絕對安全”改為“相對安全”了嗎？

信息安全事件的發(fā)生具有一定的必然性，也有偶然性，不能單憑信息安全事件的影響程度和發(fā)生與否作為考慮安全管理人員績效考核的唯一標準。對于管理層而言，重要的是考慮在信息安全方面的投入和風險接受級別間找到一個平衡點

困惑六：其它企業(yè)的成功的經驗，為什么在我們這里卻不行。信息安全管理實施模式切忌生抄照搬，一定要結合自己企業(yè)的企業(yè)文化和實際情況進行。在執(zhí)行力強的企業(yè)中，很多控制措施可以一步到位，但在執(zhí)行力稍差的企業(yè)中，就是考慮是不是要分步實施；在對大型企業(yè)或金融行業(yè)，每年有固定的IT預算，IT投入較充裕，一些安全控制手段可能考慮通過技術實現(xiàn)，但在一些小型企業(yè)或IT投入較小的企業(yè)，就要考慮通過管理實現(xiàn)。除此之外，還要考慮企業(yè)文化的其它方面，如企業(yè)的不同性質、企業(yè)領導人的不同風格、企業(yè)內部溝通機制、信息安全主導部門和人員在企業(yè)中的地位諸多等因素。

另外，在信息安全管理過程中需要以人為本，尊重人性。在企業(yè)的信息安全管理中，除了產品和技術外，人員的因素非常重要，人員的無意泄密還可以通過培訓提高安全意識來改善；可以通過郵件審計、打印復印控制、USB控制、硬盤或文件加密等方法，減少泄密的渠道；但對人腦記憶的信息的傳播是無法通過技術來控制的，至少目前的技術手段是實現(xiàn)不了的。而且技術手段實現(xiàn)的諸多的監(jiān)控，更多是為安全事件的留下證據，與之相比，事前預防是最重要的，加強事前預防的最可行和有效的手段就是從管理方面通過包括人性化管理、信息安全獎懲等方法綜合運用不斷增強員工對企業(yè)的認同感、歸宿感和忠誠度。

作者：牛志軍，某咨詢公司資深顧問。金融證券期貨行業(yè)資深信息安全專家，BS7799LA，國家注冊審核員，國內第一批ISMS實施咨詢專家；對于信息安全咨詢有豐富的理論基礎和實施經驗，擅長于行業(yè)風險評估、IT審計、ISMS建設、企業(yè)內部控制等領域，曾成功主導多家知名企業(yè)信息安全項目的實施工作，發(fā)表信息安全論文多篇；對營銷管理、戰(zhàn)略管理、人力資源管理等有廣泛涉獵。（CIO時代網）