【51CTO.com 綜合消息】很多企業(yè)都已經(jīng)建立了信息安全管理體系，來滿足業(yè)務(wù)需求或上層管理部門的要求，其中不乏成功案例，但大家都會面臨一個共同的問題，那就是如何將信息安全管理體系（ISMS）持續(xù)的運行下去，不斷的PDCA達(dá)到持續(xù)改進(jìn)的目的，正如我們以往經(jīng)驗所說的那樣：信息安全不是一場運動，而是一個持之以恒的活動，是保證業(yè)務(wù)安全運行的管理工作，信息安全應(yīng)體現(xiàn)在日常工作的每一個細(xì)節(jié)當(dāng)中。

ISO27001是國際上通用的信息安全管理體系標(biāo)準(zhǔn)，我們以這個標(biāo)準(zhǔn)要求為例，來簡單解釋一下建立信息安全管理體系以及以后還需要做的工作：首先要獲得管理層的支持并確定建立信息安全管理體系的范圍，企業(yè)還需要做好各種準(zhǔn)備和策劃工作，包括教育培訓(xùn)、制定計劃、現(xiàn)狀調(diào)研，以及人力和資源方面的調(diào)配；

然后在這個范圍內(nèi)收集信息資產(chǎn)以輔助風(fēng)險評估，識別出風(fēng)險后選擇適用的風(fēng)險處理措施并進(jìn)行處理，從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)，并將其文檔化，保持文件化的信息安全管理體系，作為組織實施風(fēng)險控制、評價和改進(jìn)信息安全管理體系、實現(xiàn)持續(xù)改進(jìn)必不可少的依據(jù)。

信息安全管理體系文件編制完成以后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實施，在得到領(lǐng)導(dǎo)層對殘余風(fēng)險的批準(zhǔn)和對實施運行ISMS的授權(quán)，并準(zhǔn)備適用性聲明（SoA），在體系運行一段時間后進(jìn)行內(nèi)審、有效性測量和管理評審，并制定糾正預(yù)防措施，此后需要對資產(chǎn)進(jìn)行不斷的更新，并不斷地進(jìn)行風(fēng)險評估、處理……以及其后的各種工作。

傳統(tǒng)我們都是靠管理體系本身來支撐這一系列工作的，ISMS建設(shè)的實施人員，除了要具備必要的知識技能和管理意識外，還要面臨大量具體、繁瑣和枯燥的工作，例如對信息資產(chǎn)的收集和維護(hù)過程，以及對其進(jìn)行風(fēng)險評估時的大量文案工作等等。如果能輔助以信息管理系統(tǒng)對風(fēng)險評估過程進(jìn)行管理，將是一種趨勢，現(xiàn)代企業(yè)管理中ERP已經(jīng)得到廣泛認(rèn)可和應(yīng)用，生產(chǎn)制造、質(zhì)量監(jiān)控、財務(wù)管理、商務(wù)管理、人力資源管理、客戶關(guān)系管理、電子商務(wù)等，已經(jīng)可以整合在一套基于網(wǎng)絡(luò)的、開發(fā)平臺統(tǒng)一的、靈活配置業(yè)務(wù)流程的信息系統(tǒng)當(dāng)中，而信息安全管理體系建設(shè)與維護(hù)，同樣也可以通過類似的方式進(jìn)行管理。

目前谷安天下研發(fā)的IT風(fēng)險管理系統(tǒng)（ITRM）正是能夠滿足體系維護(hù)需求的一款軟件：將建立和維護(hù)ISMS的過程固化在軟件中，內(nèi)置多行業(yè)多準(zhǔn)則知識庫，對ISMS范圍輕松管理，例如準(zhǔn)則范圍、組織架構(gòu)、資產(chǎn)清單、流程定義、業(yè)務(wù)定義等，支持安全檢查和差距分析，全面支持風(fēng)險評估、體系建設(shè)、內(nèi)審、有效性測量、管理評審等一系列工作，保證這一系列工作的持續(xù)運行和不斷改進(jìn)，并產(chǎn)生豐富的報表和報告。

下面就簡單談?wù)劸S護(hù)信息安全管理體系過程中幾項關(guān)鍵的工作與ITRM系統(tǒng)的結(jié)合之道：

一、識別業(yè)務(wù)的變化

世界環(huán)境瞬息萬變，因此一個組織的業(yè)務(wù)隨著市場、政治、科技等方面的發(fā)展而變化是非常正常且必然的。然而我們在建立信息安全管理體系時所劃定的管理范圍是一定的，后續(xù)在體系運維過程中首先應(yīng)該關(guān)注的就是業(yè)務(wù)的變化，然后才是后續(xù)其他細(xì)節(jié)的工作。在一個組織內(nèi)維護(hù)信息安全的目的就是保障業(yè)務(wù)的安全運行，因此從***意義上說業(yè)務(wù)是我們保護(hù)的對象。而業(yè)務(wù)的變化對信息安全管理體系的影響是巨大的，可能會導(dǎo)致安全指導(dǎo)方針層面的根本性變化，所以筆者把業(yè)務(wù)放在***位。

ITRM系統(tǒng)將業(yè)務(wù)作為一個控制對象進(jìn)行識別和維護(hù)，正是為了滿足信息安全體系維護(hù)的基本要求： 

圖1

#p#

二、識別組織架構(gòu)的變化

組織外部環(huán)境會發(fā)生變化，相應(yīng)的組織內(nèi)部同樣可能根據(jù)業(yè)務(wù)的變化而發(fā)生變化，尤其是決策層的變化，可能會影響到對管理體系的支持力度等方面。

組織架構(gòu)是ITRM系統(tǒng)在進(jìn)行風(fēng)險評估時的基礎(chǔ)，系統(tǒng)支持對組織架構(gòu)的靈活調(diào)整，并且對后續(xù)風(fēng)險評估等一系列工作都將產(chǎn)生重大影響。在ITRM系統(tǒng)中組織架構(gòu)是項目范圍的因素之一。 

圖2

#p#

三、識別資產(chǎn)、技術(shù)、場所、新威脅等方面的外在變化

這些是做資產(chǎn)風(fēng)險評估的基礎(chǔ)，也是標(biāo)準(zhǔn)中所要求的。資產(chǎn)清單需要保證一定的實時性和準(zhǔn)確性，這可能需要一定的工作量，通常大家都是使用文檔（Excel格式）對資產(chǎn)清單進(jìn)行管理，一開始收集資產(chǎn)時，這種方式是非常方便的，但在日后更新時會顯得比較麻煩。

ITRM系統(tǒng)在對資產(chǎn)進(jìn)行維護(hù)時，支持大批量導(dǎo)入和分權(quán)限管理，用戶可以將收集到的資產(chǎn)一次性的導(dǎo)入到系統(tǒng)中，此后在系統(tǒng)中進(jìn)行維護(hù)，無論是添加、修改、刪除，系統(tǒng)都能夠維護(hù)著一份準(zhǔn)確穩(wěn)定的當(dāng)前版本的資產(chǎn)清單，同時用戶還能夠查看歷史資產(chǎn)的內(nèi)容；而分權(quán)限管理資產(chǎn)，可以將資產(chǎn)管理下放到部門，由部門管理員對本部門的資產(chǎn)進(jìn)行維護(hù)，本部門只能對自己部門的資產(chǎn)及風(fēng)險進(jìn)行維護(hù)，對其他部門的資產(chǎn)和風(fēng)險則無權(quán)查看。這大大簡化了組織級安全管理員的工作，并能夠?qū)L(fēng)險管理的思想落實到每個部門當(dāng)中，同時簡化了資產(chǎn)變更的上報流程，部門管理員將變更的資產(chǎn)及時的更新到系統(tǒng)中，組織級管理員隨時可以進(jìn)行檢查和更正，因此組織的風(fēng)險狀態(tài)可以隨時保持***，使組織能夠迅速準(zhǔn)確的對風(fēng)險進(jìn)行響應(yīng)和處理。 

圖3

#p#

四、風(fēng)險評估和處理

在建立完信息安全管理體系以后，要根據(jù)組織規(guī)定定期重新進(jìn)行風(fēng)險評估和處理，當(dāng)然此項工作的基礎(chǔ)是前面提到的幾項工作都已經(jīng)完成，而風(fēng)險評估的方法在其后往往不會發(fā)生太大的變化，安全專員在做過一次風(fēng)險評估后就能掌握風(fēng)險評估的方法，其后大多是維護(hù)風(fēng)險清單的工作。對風(fēng)險的處理可能會隨著環(huán)境的變化以及技術(shù)的發(fā)展不斷更新，所以安全專員還需要不斷學(xué)習(xí)來提高自己的業(yè)務(wù)能力。

ITRM系統(tǒng)核心功能之一就是風(fēng)險評估模塊，系統(tǒng)中固化了風(fēng)險評估方法論和具體工作流程，同時還針對不同行業(yè)，把谷安天下多年來積累的咨詢經(jīng)驗匯總成風(fēng)險推薦放在知識庫中，用戶可以選擇自己行業(yè)的知識庫，在錄入完資產(chǎn)后就能夠看到針對本行業(yè)最容易出現(xiàn)的風(fēng)險，用戶站在巨人的肩膀上再進(jìn)行風(fēng)險評估將會有更好的準(zhǔn)確性和效率。 

圖4

圖5

#p#

五、內(nèi)審及其他安全檢查

完備的檢查機制是保證體系正常高效運行的手段，通常組織會根據(jù)自身情況制定管理規(guī)定，規(guī)范檢查機制和內(nèi)審機制。在體系運維過程中，檢查是非常重要的一項工作，要在保證業(yè)務(wù)正常運行的條件下，高效、全面、客觀地檢查組織內(nèi)部在執(zhí)行過程中的真實情況，以便制定糾正和預(yù)防措施，并對管理體系進(jìn)行必要的改進(jìn)。另外內(nèi)審和安全檢查的過程本身也是非常值得探討的，如何準(zhǔn)確的找到問題點，如何對不符合項進(jìn)行跟蹤改進(jìn)，改進(jìn)效果如何等等，不但需要大量的文檔工作，也需要不斷跟進(jìn)科技時代的步伐，了解當(dāng)前***的技術(shù)。

ITRM系統(tǒng)內(nèi)置了內(nèi)審流程和安全檢查功能，能夠為內(nèi)部審核與安全檢查工作提供輔助與記錄。 

圖1

#p#

六、有效性測量

每當(dāng)提到ISMS的有效性測量時，大家都會感覺有些茫然或力不從心，但有句話叫做“你不能改進(jìn)你不能測量的東西”，這充分說明了有效性測量的重要性，因為有效性測量能夠?qū)π畔踩芾砟繕?biāo)進(jìn)行考核，是ISMS持續(xù)改進(jìn)的重要依據(jù)，也是對信息安全管理工作的績效考核，同時滿足符合性的要求。而且有效性測量體系需要融入到ISMS體系的PDCA過程中，首先有效性測量的目標(biāo)要與ISMS的Plan階段制定的目標(biāo)吻合，并收集豐富的資料信息；在ISMS的Do運作階段要針對有效性測量體系進(jìn)行詳細(xì)設(shè)計，對有效性測量的需求進(jìn)行分析，分解測量指標(biāo)，制定測量指標(biāo)采集方案，收集指標(biāo)并進(jìn)行記錄；在ISMS的check階段，根據(jù)有效性測量的結(jié)果對ISMS進(jìn)行評價，另外也需要對有效性測量體系本身進(jìn)行評價；在ISMS的Act改進(jìn)階段，對ISMS及測量指標(biāo)體系分別進(jìn)行改進(jìn)，使之更好地為ISMS服務(wù)。   ITRM系統(tǒng)支持對ISMS體系的有效性測量工作，將有效性測量的目標(biāo)、年度計劃、測量指標(biāo)、測量計劃、測量結(jié)果等過程固化在系統(tǒng)中，并在知識庫中預(yù)設(shè)了常見的有效性測量指標(biāo)。

七、管理評審

定期對ISMS進(jìn)行管理評審，以確保ISMS范圍保持充分，ISMS過程的改進(jìn)得到識別。

ITRM系統(tǒng)內(nèi)置了管理評審的工作流程，能夠?qū)芾碓u審工作提供輔助與記錄。

八、糾正預(yù)防，持續(xù)改進(jìn)

糾正措施是要消除與ISMS要求不符合的原因，并防止再次發(fā)生；預(yù)防措施是確定措施消除潛在的不符合的原因，防止其發(fā)生。而持續(xù)改進(jìn)則是通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評審等方式，持續(xù)改進(jìn)ISMS的有效性。

ITRM系統(tǒng)內(nèi)置了糾正預(yù)防措施的工作流程，能夠?qū)m正預(yù)防工作提供輔助與記錄，這也是保證體系持續(xù)改進(jìn)的方法之一。

以上這八項活動只是維護(hù)信息安全管理體系中比較重要的幾項必須要做的工作，而且是不斷循環(huán)往復(fù)的，如果能得到谷安天下ITRM系統(tǒng)的支撐，將會極大的減輕工作量，提高工作效率和準(zhǔn)確性。當(dāng)然這是這只是對體系進(jìn)行維護(hù)的手段之一，今后我們還將探討更多的體系維護(hù)經(jīng)驗和手段，來保證信息的真正安全。