牛志軍：ISMS實(shí)施過程常見困惑與應(yīng)對(duì)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

國(guó)內(nèi)從1999年，廈門人保獲得第一張ISMS認(rèn)證證書至今，通過該項(xiàng)認(rèn)證的企業(yè)為180多家，包括華為、中興、深交所、深圳地鐵、平安保險(xiǎn)、上海中芯國(guó)際、大連華信、上海銀行、比亞迪汽車、中國(guó)移動(dòng)（北京、遼寧、天津公司、廣東公司）、中國(guó)網(wǎng)通（天津、北京公司）、中國(guó)電信（上海、北京、廣東公司）等企業(yè)，主要集中在電信、金融、軟件外包開發(fā)等行業(yè)。與目前國(guó)際通過該項(xiàng)認(rèn)證的企業(yè)數(shù)量5200家相比，中國(guó)通過認(rèn)證的企業(yè)數(shù)量并不多，但國(guó)內(nèi)按照或參考ISO27001或ISO27002國(guó)際標(biāo)準(zhǔn)，建立健全本企業(yè)信息安全管理體系的企業(yè)卻越來越多，一直以來，在實(shí)施信息安全管理體系的實(shí)踐過程中，無論是企業(yè)的管理層人員還是具體實(shí)施人員，無論是通過認(rèn)證企業(yè)還是未認(rèn)證企業(yè)，對(duì)ISMS實(shí)施過程都不同程度的存在著一些困惑和誤區(qū)。

困惑一：想僅僅通過技術(shù)和產(chǎn)品，就解決所有的（或主要的）安全問題。很多企業(yè)，甚至大型知名企業(yè)，上了很多技術(shù)和產(chǎn)品，有的企業(yè)甚至也建立了很多安全管理制度，甚至做了信息安全管理體系并通過了認(rèn)證，投入了很多財(cái)力人力，但整體信息安全管理水平并沒有明顯提升，信息安全問題還是層出不窮。根源在于這些企業(yè)都存在著一個(gè)普遍的問題：相關(guān)的管理跟不上，如設(shè)備上線了，運(yùn)行很久了，還存在著很多默認(rèn)配置、設(shè)備的相關(guān)策略不完備、長(zhǎng)時(shí)間不評(píng)審不更新、離職人員帳戶仍然存在、制度不執(zhí)行或執(zhí)行不到位、不徹底。這些問題不能很好地解決，即使有再好的產(chǎn)品、技術(shù)或標(biāo)準(zhǔn)，企業(yè)的信息安全管理水平也很難從根本上有所提高，上再好的產(chǎn)品、技術(shù)和標(biāo)準(zhǔn)最多是升級(jí)一下IT救火隊(duì)的裝備水平。在信息安全方面，一定要重視“三分管理，七分技術(shù)”這一原則，要向管理要安全。技術(shù)只是幫助實(shí)現(xiàn)管理的手段，就IS02700l而言，它的l1個(gè)控制區(qū)域中，只有3個(gè)區(qū)域是完全和技術(shù)相關(guān)，其它8個(gè)都是要求如何進(jìn)行信息安全管理，比如物理安全、人力資源安全、業(yè)務(wù)連續(xù)性管理這些都無法純粹依靠技術(shù)來實(shí)現(xiàn)，更多的是要靠管理來實(shí)現(xiàn)。

困惑二：信息安全與工作效率的關(guān)系，做信息安全會(huì)不會(huì)影響工作效率。業(yè)務(wù)部門表面上都支持，但實(shí)際工作中并不配合。這是很多企業(yè)信息安全管理體系推行過程中，具體實(shí)施人員最常見的體會(huì)和抱怨。業(yè)務(wù)部門的支持是一個(gè)永遠(yuǎn)的問題。導(dǎo)致這個(gè)問題的原因很多，“工作很忙”，“出差剛回來，還要出去，根本沒時(shí)間看那些什么安全策略”，“不要不相信我，我不會(huì)泄密”、“我們工作本來就很忙，拜托別再給我們?cè)黾庸ぷ髁恕钡鹊?。真的沒有時(shí)間嗎？明顯不是，真正的原因是“業(yè)務(wù)才是最重要的，其它都是次要的”、“我干的這幾年，運(yùn)氣不會(huì)這么差吧”，對(duì)安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)識(shí)不足，心存佼幸心理，不僅一般員工如此，有的管理層人員乃至核心管理層人員都不同程度有如此想法。

首先，信息安全負(fù)責(zé)人員在具體實(shí)施過程中，也要考慮統(tǒng)籌安排時(shí)間，畢竟企業(yè)是以贏利為目的的，業(yè)務(wù)是很重要的，在具體工作安排上，在不影響工作績(jī)效的前提下，要盡可能以節(jié)約業(yè)務(wù)部門人員的時(shí)間的方式進(jìn)行，比如安全意識(shí)的宣傳，不要只是課堂培訓(xùn)一種方式，內(nèi)部網(wǎng)站、經(jīng)常性的提示性郵件、宣傳小冊(cè)子、打印機(jī)復(fù)印機(jī)旁的小貼士、臺(tái)歷上的安全小故事都是不錯(cuò)的選擇，信息安全宣傳方法要靈活，你理解業(yè)務(wù)部門，業(yè)務(wù)部門也會(huì)歡迎，也會(huì)理解你的工作。

其次，落實(shí)具體控制措施的好處，要向業(yè)務(wù)部門講透。向業(yè)務(wù)部門推行的很多安全控制措施，如果能夠得到良好的落實(shí)，對(duì)業(yè)務(wù)部門也是有好處的，有助于降低業(yè)務(wù)部門及相關(guān)人員的風(fēng)險(xiǎn)，業(yè)務(wù)部門不配合很大程度上是因?yàn)樗麄冏约哼€沒有看到這一層，我們的實(shí)施人員也沒有向業(yè)務(wù)部門人員點(diǎn)透這一層。大部分情況，在業(yè)務(wù)部門人員明白這一層后，都會(huì)積極配合，也會(huì)接受因?yàn)榭刂拼胧?shí)施導(dǎo)致的工作效率暫時(shí)性所受到的影響。

再次，單就實(shí)施具體的安全產(chǎn)品（如終端控制軟件、使用CA證書）而言，在實(shí)施初期，由于業(yè)務(wù)部門人員操作不熟悉，會(huì)在一定程度上影響工作效率，但一旦人員操作熟練后，就不存在這個(gè)問題了，而且由于安全控制的提高，會(huì)降低業(yè)務(wù)部門的安全風(fēng)險(xiǎn)，減少業(yè)務(wù)部門人員用于終端或系統(tǒng)故障的時(shí)間，提高業(yè)務(wù)部門的工作效率。

困惑三：安全管理是一陣風(fēng)，風(fēng)吹時(shí)很猛，但吹過了，也就完了，如何長(zhǎng)久保持。其實(shí)信息安全管理，特別是信息安全管理體系，要保持信息安全管理體系能夠有效長(zhǎng)久運(yùn)行，最重要的是在企業(yè)中建立以下三個(gè)機(jī)制：持續(xù)改進(jìn)機(jī)制、信息安全獎(jiǎng)懲機(jī)制和內(nèi)部信息安全審計(jì)機(jī)制。

要在企業(yè)文化中不斷滲透持續(xù)改進(jìn)的思想和意識(shí)，設(shè)置配置需要及時(shí)更新、安全制度和策略需要及時(shí)評(píng)審，缺少持續(xù)改善機(jī)制和文化企業(yè)的信息安全管理，無法逃脫“搞運(yùn)動(dòng)”的宿命-體系建立時(shí)，人人熱血沸騰，文檔制度一大堆，大家都認(rèn)真執(zhí)行，但過了幾個(gè)月就基本上束之高閣，一切又回到舊軌道上。

“推行管理體系本身就是一件很有難度的事情，再加上獎(jiǎng)懲，更不好做了，獎(jiǎng)好辦，但懲時(shí)，該罰誰呢，罰誰誰都會(huì)不高興，會(huì)影響到同事關(guān)系，信息安全就是得罪人的事，沒人愿意做，不好做”，具體實(shí)施人員經(jīng)常有這樣的抱怨。其實(shí)這個(gè)問題很容易解決，第一，明確和高層領(lǐng)導(dǎo)講，如果想安全管理能夠長(zhǎng)久化、持續(xù)化，必須要有配套的獎(jiǎng)懲（不能只獎(jiǎng)不罰或只罰不獎(jiǎng)）;第二，獎(jiǎng)懲的問題本來就不應(yīng)該是信息安全實(shí)施人員的職責(zé)，是人力資源部門的事情，不建議信息安全實(shí)施人員不要借機(jī)“奪權(quán)”，在本職工作外，做自己原本不擅長(zhǎng)的工作，信息安全實(shí)施人員要做的就是把控制措施執(zhí)行情況的數(shù)據(jù)交給人力資源部門（很多是和技術(shù)相關(guān)的，需要實(shí)施人員提供）。

定期的信息安全內(nèi)部審計(jì)機(jī)制非常重要，只有進(jìn)行檢查（CHECK），并對(duì)檢查中發(fā)現(xiàn)的問題進(jìn)行的整改（ACTION），整個(gè)信息安全管理體系才會(huì)形成完整的PDCA循環(huán)，形成一個(gè)閉環(huán)。如果因內(nèi)部人員能力限制，也可以將內(nèi)部安全審計(jì)外包給有資質(zhì)的安全公司或會(huì)計(jì)師事務(wù)所進(jìn)行。沒有檢查機(jī)制的安全管理是不可能有績(jī)效的。

困惑四：只是下面的人在忙，老板只是口頭上重視。這種現(xiàn)象在一些企業(yè)中很明顯的存在，結(jié)果是具體實(shí)施人員也想了很多辦法，費(fèi)了很多力氣，但實(shí)施效果并不理想。造成這種現(xiàn)象的原因就是缺乏高層真正的支持，包括財(cái)務(wù)、人力的投入，安全是自上而下的過程，自下而上的進(jìn)行很難成功，信息安全管理體系的推行需要企業(yè)最高管理層的絕對(duì)支持和身為表率并持之以恒，最高管理層可能沒有時(shí)間去一一詳細(xì)了解每一項(xiàng)安全策略的內(nèi)容，沒有時(shí)間去參與具體的每一項(xiàng)實(shí)施工作，實(shí)踐中這也是不可能的也不必要的，但最高管理層必須要很清楚他們的相關(guān)言行必須與企業(yè)信息安全的終級(jí)要求相一致，如果相背離，極有可能會(huì)事倍功半、事與愿違。在一個(gè)高層管理層人員都為貪圖便利在使用弱口令的企業(yè)，卻建立起一套良好的信息安全管理機(jī)制是不可想象的。

困惑五：忘記安全是一個(gè)動(dòng)態(tài)的過程。“信息安全花了這么多錢，為什么還出事”，在企業(yè)中，特別是發(fā)生重大的信息安全事件后，不時(shí)會(huì)聽到這種聲音。出現(xiàn)這種聲音，有兩種可能，一種是安全沒有落實(shí)到位，安全最重要的是落實(shí)，空中樓閣式的安全管理只是美麗的肥皂泡，結(jié)局只能是又獲得一次慘痛的教訓(xùn)。在實(shí)踐中，還有另外一種情況，企業(yè)執(zhí)行力也不錯(cuò)，各項(xiàng)措施也有落實(shí)，但還是出現(xiàn)問題了。這時(shí)出現(xiàn)這種聲音，問題在于持這種說法的人，問題出在他的思維方式上。風(fēng)險(xiǎn)是一個(gè)動(dòng)態(tài)的過程，信息安全也是一個(gè)動(dòng)態(tài)的過程，產(chǎn)品技術(shù)標(biāo)準(zhǔn)不斷發(fā)展和完善，信息安全威脅也是不斷地升級(jí)換代，隨著企業(yè)信息化程度的進(jìn)一步加深，企業(yè)核心業(yè)務(wù)對(duì)IT依賴度的進(jìn)一步加強(qiáng)，信息安全問題會(huì)相對(duì)越來越多，這是一個(gè)不可扭轉(zhuǎn)的趨勢(shì)和現(xiàn)實(shí)?，F(xiàn)實(shí)的情況是上這些設(shè)備，建了這個(gè)體系，會(huì)減少很多安全問題和風(fēng)險(xiǎn)，但不能完全避免，如果不上這些設(shè)備和體系，問題只會(huì)更多。這一點(diǎn)是信息安全管理部門和人員最希望得到管理層和業(yè)務(wù)部門理解的一點(diǎn)。

100%的安全是沒有的，也是不可能的，即使是與要時(shí)刻核算成本的企業(yè)相比，可以“不計(jì)成本”投入的安全部門和軍隊(duì)，也做不到100%的安全，美國(guó)的CIA、FBI和國(guó)防部不也不上一次發(fā)生過網(wǎng)頁(yè)被改，重要機(jī)密被泄露的事件嗎？美國(guó)SP800標(biāo)準(zhǔn)中不也是把“絕對(duì)安全”改為“相對(duì)安全”了嗎？

信息安全事件的發(fā)生具有一定的必然性，也有偶然性，不能單憑信息安全事件的影響程度和發(fā)生與否作為考慮安全管理人員績(jī)效考核的唯一標(biāo)準(zhǔn)。對(duì)于管理層而言，重要的是考慮在信息安全方面的投入和風(fēng)險(xiǎn)接受級(jí)別間找到一個(gè)平衡點(diǎn)

困惑六：其它企業(yè)的成功的經(jīng)驗(yàn)，為什么在我們這里卻不行。信息安全管理實(shí)施模式切忌生抄照搬，一定要結(jié)合自己企業(yè)的企業(yè)文化和實(shí)際情況進(jìn)行。在執(zhí)行力強(qiáng)的企業(yè)中，很多控制措施可以一步到位，但在執(zhí)行力稍差的企業(yè)中，就是考慮是不是要分步實(shí)施；在對(duì)大型企業(yè)或金融行業(yè)，每年有固定的IT預(yù)算，IT投入較充裕，一些安全控制手段可能考慮通過技術(shù)實(shí)現(xiàn)，但在一些小型企業(yè)或IT投入較小的企業(yè)，就要考慮通過管理實(shí)現(xiàn)。除此之外，還要考慮企業(yè)文化的其它方面，如企業(yè)的不同性質(zhì)、企業(yè)領(lǐng)導(dǎo)人的不同風(fēng)格、企業(yè)內(nèi)部溝通機(jī)制、信息安全主導(dǎo)部門和人員在企業(yè)中的地位諸多等因素。

另外，在信息安全管理過程中需要以人為本，尊重人性。在企業(yè)的信息安全管理中，除了產(chǎn)品和技術(shù)外，人員的因素非常重要，人員的無意泄密還可以通過培訓(xùn)提高安全意識(shí)來改善；可以通過郵件審計(jì)、打印復(fù)印控制、USB控制、硬盤或文件加密等方法，減少泄密的渠道；但對(duì)人腦記憶的信息的傳播是無法通過技術(shù)來控制的，至少目前的技術(shù)手段是實(shí)現(xiàn)不了的。而且技術(shù)手段實(shí)現(xiàn)的諸多的監(jiān)控，更多是為安全事件的留下證據(jù)，與之相比，事前預(yù)防是最重要的，加強(qiáng)事前預(yù)防的最可行和有效的手段就是從管理方面通過包括人性化管理、信息安全獎(jiǎng)懲等方法綜合運(yùn)用不斷增強(qiáng)員工對(duì)企業(yè)的認(rèn)同感、歸宿感和忠誠(chéng)度。

作者：牛志軍，某咨詢公司資深顧問。金融證券期貨行業(yè)資深信息安全專家，BS7799LA，國(guó)家注冊(cè)審核員，國(guó)內(nèi)第一批ISMS實(shí)施咨詢專家；對(duì)于信息安全咨詢有豐富的理論基礎(chǔ)和實(shí)施經(jīng)驗(yàn)，擅長(zhǎng)于行業(yè)風(fēng)險(xiǎn)評(píng)估、IT審計(jì)、ISMS建設(shè)、企業(yè)內(nèi)部控制等領(lǐng)域，曾成功主導(dǎo)多家知名企業(yè)信息安全項(xiàng)目的實(shí)施工作，發(fā)表信息安全論文多篇；對(duì)營(yíng)銷管理、戰(zhàn)略管理、人力資源管理等有廣泛涉獵。（CIO時(shí)代網(wǎng)）