国内从1999年,厦门人保获得第一张ISMS认证证书至今,通过该项认证的企业为180多家,包括华为、中兴、深交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东公司)、中国网通(天津、北京公司)、中国电信(上海、北京、广东公司)等企业,主要集中在电信、金融、软件外包开发等行业。与目前国际通过该项认证的企业数量5200家相比,中国通过认证的企业数量并不多,但国内按照或参考ISO27001或ISO27002国际标准,建立健全本企业信息安全管理体系的企业却越来越多,一直以来,在实施信息安全管理体系的实践过程中,无论是企业的管理层人员还是具体实施人员,无论是通过认证企业还是未认证企业,对ISMS实施过程都不同程度的存在着一些困惑和误区。
困惑一:想仅仅通过技术和产品,就解决所有的(或主要的)安全问题。很多企业,甚至大型知名企业,上了很多技术和产品,有的企业甚至也建立了很多安全管理制度,甚至做了信息安全管理体系并通过了认证,投入了很多财力人力,但整体信息安全管理水平并没有明显提升,信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题:相关的管理跟不上,如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面,一定要重视“三分管理,七分技术”这一原则,要向管理要安全。技术只是帮助实现管理的手段,就IS02700l而言,它的l1个控制区域中,只有3个区域是完全和技术相关,其它8个都是要求如何进行信息安全管理,比如物理安全、人力资源安全、业务连续性管理这些都无法纯粹依靠技术来实现,更多的是要靠管理来实现。
困惑二:信息安全与工作效率的关系,做信息安全会不会影响工作效率。业务部门表面上都支持,但实际工作中并不配合。这是很多企业信息安全管理体系推行过程中,具体实施人员最常见的体会和抱怨。业务部门的支持是一个永远的问题。导致这个问题的原因很多,“工作很忙”,“出差刚回来,还要出去,根本没时间看那些什么安全策略”,“不要不相信我,我不会泄密”、“我们工作本来就很忙,拜托别再给我们增加工作了”等等。真的没有时间吗?明显不是,真正的原因是“业务才是最重要的,其它都是次要的”、“我干的这几年,运气不会这么差吧”,对安全风险的严重性认识不足,心存佼幸心理,不仅一般员工如此,有的管理层人员乃至核心管理层人员都不同程度有如此想法。
首先,信息安全负责人员在具体实施过程中,也要考虑统筹安排时间,毕竟企业是以赢利为目的的,业务是很重要的,在具体工作安排上,在不影响工作绩效的前提下,要尽可能以节约业务部门人员的时间的方式进行,比如安全意识的宣传,不要只是课堂培训一种方式,内部网站、经常性的提示性邮件、宣传小册子、打印机复印机旁的小贴士、台历上的安全小故事都是不错的选择,信息安全宣传方法要灵活,你理解业务部门,业务部门也会欢迎,也会理解你的工作。
其次,落实具体控制措施的好处,要向业务部门讲透。向业务部门推行的很多安全控制措施,如果能够得到良好的落实,对业务部门也是有好处的,有助于降低业务部门及相关人员的风险,业务部门不配合很大程度上是因为他们自己还没有看到这一层,我们的实施人员也没有向业务部门人员点透这一层。大部分情况,在业务部门人员明白这一层后,都会积极配合,也会接受因为控制措施实施导致的工作效率暂时性所受到的影响。
再次,单就实施具体的安全产品(如终端控制软件、使用CA证书)而言,在实施初期,由于业务部门人员操作不熟悉,会在一定程度上影响工作效率,但一旦人员操作熟练后,就不存在这个问题了,而且由于安全控制的提高,会降低业务部门的安全风险,减少业务部门人员用于终端或系统故障的时间,提高业务部门的工作效率。
困惑三:安全管理是一阵风,风吹时很猛,但吹过了,也就完了,如何长久保持。其实信息安全管理,特别是信息安全管理体系,要保持信息安全管理体系能够有效长久运行,最重要的是在企业中建立以下三个机制:持续改进机制、信息安全奖惩机制和内部信息安全审计机制。
要在企业文化中不断渗透持续改进的思想和意识,设置配置需要及时更新、安全制度和策略需要及时评审,缺少持续改善机制和文化企业的信息安全管理,无法逃脱“搞运动”的宿命-体系建立时,人人热血沸腾,文档制度一大堆,大家都认真执行,但过了几个月就基本上束之高阁,一切又回到旧轨道上。
“推行管理体系本身就是一件很有难度的事情,再加上奖惩,更不好做了,奖好办,但惩时,该罚谁呢,罚谁谁都会不高兴,会影响到同事关系,信息安全就是得罪人的事,没人愿意做,不好做”,具体实施人员经常有这样的抱怨。其实这个问题很容易解决,第一,明确和高层领导讲,如果想安全管理能够长久化、持续化,必须要有配套的奖惩(不能只奖不罚或只罚不奖);第二,奖惩的问题本来就不应该是信息安全实施人员的职责,是人力资源部门的事情,不建议信息安全实施人员不要借机“夺权”,在本职工作外,做自己原本不擅长的工作,信息安全实施人员要做的就是把控制措施执行情况的数据交给人力资源部门(很多是和技术相关的,需要实施人员提供)。
定期的信息安全内部审计机制非常重要,只有进行检查(CHECK),并对检查中发现的问题进行的整改(ACTION),整个信息安全管理体系才会形成完整的PDCA循环,形成一个闭环。如果因内部人员能力限制,也可以将内部安全审计外包给有资质的安全公司或会计师事务所进行。没有检查机制的安全管理是不可能有绩效的。
困惑四:只是下面的人在忙,老板只是口头上重视。这种现象在一些企业中很明显的存在,结果是具体实施人员也想了很多办法,费了很多力气,但实施效果并不理想。造成这种现象的原因就是缺乏高层真正的支持,包括财务、人力的投入,安全是自上而下的过程,自下而上的进行很难成功,信息安全管理体系的推行需要企业最高管理层的绝对支持和身为表率并持之以恒,最高管理层可能没有时间去一一详细了解每一项安全策略的内容,没有时间去参与具体的每一项实施工作,实践中这也是不可能的也不必要的,但最高管理层必须要很清楚他们的相关言行必须与企业信息安全的终级要求相一致,如果相背离,极有可能会事倍功半、事与愿违。在一个高层管理层人员都为贪图便利在使用弱口令的企业,却建立起一套良好的信息安全管理机制是不可想象的。
困惑五:忘记安全是一个动态的过程。“信息安全花了这么多钱,为什么还出事”,在企业中,特别是发生重大的信息安全事件后,不时会听到这种声音。出现这种声音,有两种可能,一种是安全没有落实到位,安全最重要的是落实,空中楼阁式的安全管理只是美丽的肥皂泡,结局只能是又获得一次惨痛的教训。在实践中,还有另外一种情况,企业执行力也不错,各项措施也有落实,但还是出现问题了。这时出现这种声音,问题在于持这种说法的人,问题出在他的思维方式上。风险是一个动态的过程,信息安全也是一个动态的过程,产品技术标准不断发展和完善,信息安全威胁也是不断地升级换代,随着企业信息化程度的进一步加深,企业核心业务对IT依赖度的进一步加强,信息安全问题会相对越来越多,这是一个不可扭转的趋势和现实。现实的情况是上这些设备,建了这个体系,会减少很多安全问题和风险,但不能完全避免,如果不上这些设备和体系,问题只会更多。这一点是信息安全管理部门和人员最希望得到管理层和业务部门理解的一点。
100%的安全是没有的,也是不可能的,即使是与要时刻核算成本的企业相比,可以“不计成本”投入的安全部门和军队,也做不到100%的安全,美国的CIA、FBI和国防部不也不上一次发生过网页被改,重要机密被泄露的事件吗?美国SP800标准中不也是把“绝对安全”改为“相对安全”了吗?
信息安全事件的发生具有一定的必然性,也有偶然性,不能单凭信息安全事件的影响程度和发生与否作为考虑安全管理人员绩效考核的唯一标准。对于管理层而言,重要的是考虑在信息安全方面的投入和风险接受级别间找到一个平衡点
困惑六:其它企业的成功的经验,为什么在我们这里却不行。信息安全管理实施模式切忌生抄照搬,一定要结合自己企业的企业文化和实际情况进行。在执行力强的企业中,很多控制措施可以一步到位,但在执行力稍差的企业中,就是考虑是不是要分步实施;在对大型企业或金融行业,每年有固定的IT预算,IT投入较充裕,一些安全控制手段可能考虑通过技术实现,但在一些小型企业或IT投入较小的企业,就要考虑通过管理实现。除此之外,还要考虑企业文化的其它方面,如企业的不同性质、企业领导人的不同风格、企业内部沟通机制、信息安全主导部门和人员在企业中的地位诸多等因素。
另外,在信息安全管理过程中需要以人为本,尊重人性。在企业的信息安全管理中,除了产品和技术外,人员的因素非常重要,人员的无意泄密还可以通过培训提高安全意识来改善;可以通过邮件审计、打印复印控制、USB控制、硬盘或文件加密等方法,减少泄密的渠道;但对人脑记忆的信息的传播是无法通过技术来控制的,至少目前的技术手段是实现不了的。而且技术手段实现的诸多的监控,更多是为安全事件的留下证据,与之相比,事前预防是最重要的,加强事前预防的最可行和有效的手段就是从管理方面通过包括人性化管理、信息安全奖惩等方法综合运用不断增强员工对企业的认同感、归宿感和忠诚度。
作者:牛志军,某咨询公司资深顾问。金融证券期货行业资深信息安全专家,BS7799LA,国家注册审核员,国内第一批ISMS实施咨询专家;对于信息安全咨询有丰富的理论基础和实施经验,擅长于行业风险评估、IT审计、ISMS建设、企业内部控制等领域,曾成功主导多家知名企业信息安全项目的实施工作,发表信息安全论文多篇;对营销管理、战略管理、人力资源管理等有广泛涉猎。(CIO时代网)