當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
牛志軍:ISMS實(shí)施過程常見困惑與應(yīng)對(duì)
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件國內(nèi)從1999年,廈門人保獲得第一張ISMS認(rèn)證證書至今,通過該項(xiàng)認(rèn)證的企業(yè)為180多家,包括華為、中興、深交所、深圳地鐵、平安保險(xiǎn)、上海中芯國際、大連華信、上海銀行、比亞迪汽車、中國移動(dòng)(北京、遼寧、天津公司、廣東公司)、中國網(wǎng)通(天津、北京公司)、中國電信(上海、北京、廣東公司)等企業(yè),主要集中在電信、金融、軟件外包開發(fā)等行業(yè)。與目前國際通過該項(xiàng)認(rèn)證的企業(yè)數(shù)量5200家相比,中國通過認(rèn)證的企業(yè)數(shù)量并不多,但國內(nèi)按照或參考ISO27001或ISO27002國際標(biāo)準(zhǔn),建立健全本企業(yè)信息安全管理體系的企業(yè)卻越來越多,一直以來,在實(shí)施信息安全管理體系的實(shí)踐過程中,無論是企業(yè)的管理層人員還是具體實(shí)施人員,無論是通過認(rèn)證企業(yè)還是未認(rèn)證企業(yè),對(duì)ISMS實(shí)施過程都不同程度的存在著一些困惑和誤區(qū)。
困惑一:想僅僅通過技術(shù)和產(chǎn)品,就解決所有的(或主要的)安全問題。很多企業(yè),甚至大型知名企業(yè),上了很多技術(shù)和產(chǎn)品,有的企業(yè)甚至也建立了很多安全管理制度,甚至做了信息安全管理體系并通過了認(rèn)證,投入了很多財(cái)力人力,但整體信息安全管理水平并沒有明顯提升,信息安全問題還是層出不窮。根源在于這些企業(yè)都存在著一個(gè)普遍的問題:相關(guān)的管理跟不上,如設(shè)備上線了,運(yùn)行很久了,還存在著很多默認(rèn)配置、設(shè)備的相關(guān)策略不完備、長時(shí)間不評(píng)審不更新、離職人員帳戶仍然存在、制度不執(zhí)行或執(zhí)行不到位、不徹底。這些問題不能很好地解決,即使有再好的產(chǎn)品、技術(shù)或標(biāo)準(zhǔn),企業(yè)的信息安全管理水平也很難從根本上有所提高,上再好的產(chǎn)品、技術(shù)和標(biāo)準(zhǔn)最多是升級(jí)一下IT救火隊(duì)的裝備水平。在信息安全方面,一定要重視“三分管理,七分技術(shù)”這一原則,要向管理要安全。技術(shù)只是幫助實(shí)現(xiàn)管理的手段,就IS02700l而言,它的l1個(gè)控制區(qū)域中,只有3個(gè)區(qū)域是完全和技術(shù)相關(guān),其它8個(gè)都是要求如何進(jìn)行信息安全管理,比如物理安全、人力資源安全、業(yè)務(wù)連續(xù)性管理這些都無法純粹依靠技術(shù)來實(shí)現(xiàn),更多的是要靠管理來實(shí)現(xiàn)。
困惑二:信息安全與工作效率的關(guān)系,做信息安全會(huì)不會(huì)影響工作效率。業(yè)務(wù)部門表面上都支持,但實(shí)際工作中并不配合。這是很多企業(yè)信息安全管理體系推行過程中,具體實(shí)施人員最常見的體會(huì)和抱怨。業(yè)務(wù)部門的支持是一個(gè)永遠(yuǎn)的問題。導(dǎo)致這個(gè)問題的原因很多,“工作很忙”,“出差剛回來,還要出去,根本沒時(shí)間看那些什么安全策略”,“不要不相信我,我不會(huì)泄密”、“我們工作本來就很忙,拜托別再給我們?cè)黾庸ぷ髁恕钡鹊?。真的沒有時(shí)間嗎?明顯不是,真正的原因是“業(yè)務(wù)才是最重要的,其它都是次要的”、“我干的這幾年,運(yùn)氣不會(huì)這么差吧”,對(duì)安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)識(shí)不足,心存佼幸心理,不僅一般員工如此,有的管理層人員乃至核心管理層人員都不同程度有如此想法。
首先,信息安全負(fù)責(zé)人員在具體實(shí)施過程中,也要考慮統(tǒng)籌安排時(shí)間,畢竟企業(yè)是以贏利為目的的,業(yè)務(wù)是很重要的,在具體工作安排上,在不影響工作績效的前提下,要盡可能以節(jié)約業(yè)務(wù)部門人員的時(shí)間的方式進(jìn)行,比如安全意識(shí)的宣傳,不要只是課堂培訓(xùn)一種方式,內(nèi)部網(wǎng)站、經(jīng)常性的提示性郵件、宣傳小冊(cè)子、打印機(jī)復(fù)印機(jī)旁的小貼士、臺(tái)歷上的安全小故事都是不錯(cuò)的選擇,信息安全宣傳方法要靈活,你理解業(yè)務(wù)部門,業(yè)務(wù)部門也會(huì)歡迎,也會(huì)理解你的工作。
其次,落實(shí)具體控制措施的好處,要向業(yè)務(wù)部門講透。向業(yè)務(wù)部門推行的很多安全控制措施,如果能夠得到良好的落實(shí),對(duì)業(yè)務(wù)部門也是有好處的,有助于降低業(yè)務(wù)部門及相關(guān)人員的風(fēng)險(xiǎn),業(yè)務(wù)部門不配合很大程度上是因?yàn)樗麄冏约哼€沒有看到這一層,我們的實(shí)施人員也沒有向業(yè)務(wù)部門人員點(diǎn)透這一層。大部分情況,在業(yè)務(wù)部門人員明白這一層后,都會(huì)積極配合,也會(huì)接受因?yàn)榭刂拼胧?shí)施導(dǎo)致的工作效率暫時(shí)性所受到的影響。
再次,單就實(shí)施具體的安全產(chǎn)品(如終端控制軟件、使用CA證書)而言,在實(shí)施初期,由于業(yè)務(wù)部門人員操作不熟悉,會(huì)在一定程度上影響工作效率,但一旦人員操作熟練后,就不存在這個(gè)問題了,而且由于安全控制的提高,會(huì)降低業(yè)務(wù)部門的安全風(fēng)險(xiǎn),減少業(yè)務(wù)部門人員用于終端或系統(tǒng)故障的時(shí)間,提高業(yè)務(wù)部門的工作效率。
困惑三:安全管理是一陣風(fēng),風(fēng)吹時(shí)很猛,但吹過了,也就完了,如何長久保持。其實(shí)信息安全管理,特別是信息安全管理體系,要保持信息安全管理體系能夠有效長久運(yùn)行,最重要的是在企業(yè)中建立以下三個(gè)機(jī)制:持續(xù)改進(jìn)機(jī)制、信息安全獎(jiǎng)懲機(jī)制和內(nèi)部信息安全審計(jì)機(jī)制。
要在企業(yè)文化中不斷滲透持續(xù)改進(jìn)的思想和意識(shí),設(shè)置配置需要及時(shí)更新、安全制度和策略需要及時(shí)評(píng)審,缺少持續(xù)改善機(jī)制和文化企業(yè)的信息安全管理,無法逃脫“搞運(yùn)動(dòng)”的宿命-體系建立時(shí),人人熱血沸騰,文檔制度一大堆,大家都認(rèn)真執(zhí)行,但過了幾個(gè)月就基本上束之高閣,一切又回到舊軌道上。
“推行管理體系本身就是一件很有難度的事情,再加上獎(jiǎng)懲,更不好做了,獎(jiǎng)好辦,但懲時(shí),該罰誰呢,罰誰誰都會(huì)不高興,會(huì)影響到同事關(guān)系,信息安全就是得罪人的事,沒人愿意做,不好做”,具體實(shí)施人員經(jīng)常有這樣的抱怨。其實(shí)這個(gè)問題很容易解決,第一,明確和高層領(lǐng)導(dǎo)講,如果想安全管理能夠長久化、持續(xù)化,必須要有配套的獎(jiǎng)懲(不能只獎(jiǎng)不罰或只罰不獎(jiǎng));第二,獎(jiǎng)懲的問題本來就不應(yīng)該是信息安全實(shí)施人員的職責(zé),是人力資源部門的事情,不建議信息安全實(shí)施人員不要借機(jī)“奪權(quán)”,在本職工作外,做自己原本不擅長的工作,信息安全實(shí)施人員要做的就是把控制措施執(zhí)行情況的數(shù)據(jù)交給人力資源部門(很多是和技術(shù)相關(guān)的,需要實(shí)施人員提供)。
定期的信息安全內(nèi)部審計(jì)機(jī)制非常重要,只有進(jìn)行檢查(CHECK),并對(duì)檢查中發(fā)現(xiàn)的問題進(jìn)行的整改(ACTION),整個(gè)信息安全管理體系才會(huì)形成完整的PDCA循環(huán),形成一個(gè)閉環(huán)。如果因內(nèi)部人員能力限制,也可以將內(nèi)部安全審計(jì)外包給有資質(zhì)的安全公司或會(huì)計(jì)師事務(wù)所進(jìn)行。沒有檢查機(jī)制的安全管理是不可能有績效的。
困惑四:只是下面的人在忙,老板只是口頭上重視。這種現(xiàn)象在一些企業(yè)中很明顯的存在,結(jié)果是具體實(shí)施人員也想了很多辦法,費(fèi)了很多力氣,但實(shí)施效果并不理想。造成這種現(xiàn)象的原因就是缺乏高層真正的支持,包括財(cái)務(wù)、人力的投入,安全是自上而下的過程,自下而上的進(jìn)行很難成功,信息安全管理體系的推行需要企業(yè)最高管理層的絕對(duì)支持和身為表率并持之以恒,最高管理層可能沒有時(shí)間去一一詳細(xì)了解每一項(xiàng)安全策略的內(nèi)容,沒有時(shí)間去參與具體的每一項(xiàng)實(shí)施工作,實(shí)踐中這也是不可能的也不必要的,但最高管理層必須要很清楚他們的相關(guān)言行必須與企業(yè)信息安全的終級(jí)要求相一致,如果相背離,極有可能會(huì)事倍功半、事與愿違。在一個(gè)高層管理層人員都為貪圖便利在使用弱口令的企業(yè),卻建立起一套良好的信息安全管理機(jī)制是不可想象的。
困惑五:忘記安全是一個(gè)動(dòng)態(tài)的過程。“信息安全花了這么多錢,為什么還出事”,在企業(yè)中,特別是發(fā)生重大的信息安全事件后,不時(shí)會(huì)聽到這種聲音。出現(xiàn)這種聲音,有兩種可能,一種是安全沒有落實(shí)到位,安全最重要的是落實(shí),空中樓閣式的安全管理只是美麗的肥皂泡,結(jié)局只能是又獲得一次慘痛的教訓(xùn)。在實(shí)踐中,還有另外一種情況,企業(yè)執(zhí)行力也不錯(cuò),各項(xiàng)措施也有落實(shí),但還是出現(xiàn)問題了。這時(shí)出現(xiàn)這種聲音,問題在于持這種說法的人,問題出在他的思維方式上。風(fēng)險(xiǎn)是一個(gè)動(dòng)態(tài)的過程,信息安全也是一個(gè)動(dòng)態(tài)的過程,產(chǎn)品技術(shù)標(biāo)準(zhǔn)不斷發(fā)展和完善,信息安全威脅也是不斷地升級(jí)換代,隨著企業(yè)信息化程度的進(jìn)一步加深,企業(yè)核心業(yè)務(wù)對(duì)IT依賴度的進(jìn)一步加強(qiáng),信息安全問題會(huì)相對(duì)越來越多,這是一個(gè)不可扭轉(zhuǎn)的趨勢(shì)和現(xiàn)實(shí)?,F(xiàn)實(shí)的情況是上這些設(shè)備,建了這個(gè)體系,會(huì)減少很多安全問題和風(fēng)險(xiǎn),但不能完全避免,如果不上這些設(shè)備和體系,問題只會(huì)更多。這一點(diǎn)是信息安全管理部門和人員最希望得到管理層和業(yè)務(wù)部門理解的一點(diǎn)。
100%的安全是沒有的,也是不可能的,即使是與要時(shí)刻核算成本的企業(yè)相比,可以“不計(jì)成本”投入的安全部門和軍隊(duì),也做不到100%的安全,美國的CIA、FBI和國防部不也不上一次發(fā)生過網(wǎng)頁被改,重要機(jī)密被泄露的事件嗎?美國SP800標(biāo)準(zhǔn)中不也是把“絕對(duì)安全”改為“相對(duì)安全”了嗎?
信息安全事件的發(fā)生具有一定的必然性,也有偶然性,不能單憑信息安全事件的影響程度和發(fā)生與否作為考慮安全管理人員績效考核的唯一標(biāo)準(zhǔn)。對(duì)于管理層而言,重要的是考慮在信息安全方面的投入和風(fēng)險(xiǎn)接受級(jí)別間找到一個(gè)平衡點(diǎn)
困惑六:其它企業(yè)的成功的經(jīng)驗(yàn),為什么在我們這里卻不行。信息安全管理實(shí)施模式切忌生抄照搬,一定要結(jié)合自己企業(yè)的企業(yè)文化和實(shí)際情況進(jìn)行。在執(zhí)行力強(qiáng)的企業(yè)中,很多控制措施可以一步到位,但在執(zhí)行力稍差的企業(yè)中,就是考慮是不是要分步實(shí)施;在對(duì)大型企業(yè)或金融行業(yè),每年有固定的IT預(yù)算,IT投入較充裕,一些安全控制手段可能考慮通過技術(shù)實(shí)現(xiàn),但在一些小型企業(yè)或IT投入較小的企業(yè),就要考慮通過管理實(shí)現(xiàn)。除此之外,還要考慮企業(yè)文化的其它方面,如企業(yè)的不同性質(zhì)、企業(yè)領(lǐng)導(dǎo)人的不同風(fēng)格、企業(yè)內(nèi)部溝通機(jī)制、信息安全主導(dǎo)部門和人員在企業(yè)中的地位諸多等因素。
另外,在信息安全管理過程中需要以人為本,尊重人性。在企業(yè)的信息安全管理中,除了產(chǎn)品和技術(shù)外,人員的因素非常重要,人員的無意泄密還可以通過培訓(xùn)提高安全意識(shí)來改善;可以通過郵件審計(jì)、打印復(fù)印控制、USB控制、硬盤或文件加密等方法,減少泄密的渠道;但對(duì)人腦記憶的信息的傳播是無法通過技術(shù)來控制的,至少目前的技術(shù)手段是實(shí)現(xiàn)不了的。而且技術(shù)手段實(shí)現(xiàn)的諸多的監(jiān)控,更多是為安全事件的留下證據(jù),與之相比,事前預(yù)防是最重要的,加強(qiáng)事前預(yù)防的最可行和有效的手段就是從管理方面通過包括人性化管理、信息安全獎(jiǎng)懲等方法綜合運(yùn)用不斷增強(qiáng)員工對(duì)企業(yè)的認(rèn)同感、歸宿感和忠誠度。
作者:牛志軍,某咨詢公司資深顧問。金融證券期貨行業(yè)資深信息安全專家,BS7799LA,國家注冊(cè)審核員,國內(nèi)第一批ISMS實(shí)施咨詢專家;對(duì)于信息安全咨詢有豐富的理論基礎(chǔ)和實(shí)施經(jīng)驗(yàn),擅長于行業(yè)風(fēng)險(xiǎn)評(píng)估、IT審計(jì)、ISMS建設(shè)、企業(yè)內(nèi)部控制等領(lǐng)域,曾成功主導(dǎo)多家知名企業(yè)信息安全項(xiàng)目的實(shí)施工作,發(fā)表信息安全論文多篇;對(duì)營銷管理、戰(zhàn)略管理、人力資源管理等有廣泛涉獵。(CIO時(shí)代網(wǎng))
- 1從傳統(tǒng)歸檔到云存儲(chǔ)歸檔的進(jìn)化演變
- 2深入理解防火墻 有效屏蔽外界攻擊
- 3哈爾濱OA軟件在企業(yè)中的知識(shí)目錄參考
- 4淺談可信計(jì)算芯片標(biāo)注TCM與TPM
- 5虛擬化安全:安全領(lǐng)域的下一個(gè)主戰(zhàn)場
- 6大型視頻監(jiān)控系統(tǒng)的各項(xiàng)技術(shù)要點(diǎn)
- 7OA軟件針對(duì)協(xié)同管理平臺(tái)服務(wù)器硬件方案
- 8在虛擬化環(huán)境中保證業(yè)務(wù)的持續(xù)性
- 9虛擬化項(xiàng)目實(shí)施前需考慮這十個(gè)問題
- 10信息安全 從呼救到反攻
- 11局域網(wǎng)加快網(wǎng)速的21種另類妙招
- 12開源商業(yè)模式是否已經(jīng)失敗
- 13數(shù)據(jù)庫加密技術(shù)的功能特性與實(shí)現(xiàn)
- 14“中間帶動(dòng)兩端” 聚焦業(yè)務(wù)中間件
- 15解析云計(jì)算安全服務(wù)的利與弊
- 16麥肯錫報(bào)告:云計(jì)算不適于大型企業(yè)
- 17盡在掌控 網(wǎng)絡(luò)流量管理面面觀
- 18劉家義:信息系統(tǒng)審計(jì)應(yīng)把握三個(gè)關(guān)鍵點(diǎn)
- 19集團(tuán)企業(yè)過冬 管理軟件如何作為?
- 20七個(gè)習(xí)慣助你實(shí)現(xiàn)高效能的DBA
- 21部署主存儲(chǔ)優(yōu)化方案的六種需求
- 22正確理解RFID技術(shù) 挖掘其潛在益處
- 2309年縱觀企業(yè)網(wǎng)絡(luò)管理發(fā)展新方向
- 24PCI除名是否對(duì)支付行業(yè)并無影響?
- 25虛擬化的未來標(biāo)準(zhǔn):開放虛擬化格式
- 26六種設(shè)置方法助你徹底優(yōu)化IE瀏覽器
- 27OA軟件是面向用戶的界面設(shè)計(jì),突出以人為本
- 28服務(wù)器虛擬化技術(shù)應(yīng)對(duì)可靠性挑戰(zhàn)
- 29哈爾濱OA軟件的應(yīng)用范圍說明
- 302009年中國災(zāi)備行業(yè)12大趨勢(shì)
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓