信息安全管理體系實施問題分析

一、信息安全管理體系簡介

為了便于了解信息安全管理體系是什么，我們先采用拆文解字的方式逐一對信息安全、管理和體系三個詞進行詳細解釋，這主要便于IT安全技術人員從技術的泥沼中逃離出來，重新梳理思路，將技術優勢發揮到最大。

首先說信息安全，在接觸的很多信息技術人員意識中，信息安全就是信息技術安全，其實不然，信息作為現代生活中不可或缺的一部分，雖然大多數情況下存在于信息技術產品如平板電腦、手機、個人電腦中，但是有些情況下它也游離于信息技術產品之外，如雜志、報刊、人的大腦、墻上、樹干上等等，在這種情況下，信息一旦脫離信息技術這一載體，便失去了信息技術的控制了，因此信息安全不能等同于信息技術安全。

其次說說管理，很多信息技術人員對管理者總是嗤之以鼻，總認為技術為王，其實管理在很多領域都會出現，如考勤管理、行政管理、財務管理等等，它就像空氣一樣存在于各行各業。對于信息安全也一樣，也有對信息安全的管理。管理過程其實就是一個規則的制定和調整的過程。

最后談談體系，一聽到體系，很多人會覺得比較龐大，其實不然。明確的組織結構、清晰的職責權限、有條不紊的做事規則就形成了體系。而且這一體系不是越龐大越好，而是適合就好。

二、信息安全管理體系實施過程中問題分析

信息安全管理體系的建設首先依賴于企業的建設目的，一般情況下存在兩種類型的企業，一種是想通過信息安全管理體系標新立異，獲取與眾不同的感受，比如獲得ISO27001的認證。另外一種是想通過信息安全管理體系實實在在提高自身信息安全管理水平的。二者的區別是后者目的單純，前者是別有用心。下面我針對于后者在建設信息安全管理體系的過程中存在的問題做一簡要分析。

1.準備時存在的問題

a.認識上的問題

在開始實施信息安全管理體系之前，首先要想好想清楚為什么要做信息安全管理體系，以企業現有的認知水平，是否達到或者具備實施信息安全管理的條件，這點主要體現在信息技術人員、信息技術管理者、CIO以及公司管理層是否對信息安全管理體系的認識達到一致的程度。

另外也有企業領導認為只要把某個公司的一套管理體系拿過來就可以，別人能做到，我們也能做到，其實不然，不同的認知水平、不同的知識背景、不同的企業文化都影響信息安全管理體系的最終結果。

b.期望方面的問題

信息安全管理體系的成功與失敗，在一定程度上取決于實施者對此的期望，管理從來都是一個不斷演變和進化的過程，也從來沒有立即見效的。因此認為實施信息安全管理之后，公司上上下下立刻都視信息安全管理為企業生命，并嚴格遵守信息安全管理制度的期望是不現實的。

c.計劃問題

信息安全管理體系不同于信息安全技術，信息安全技術可以立刻見效，比如部署一套防病毒系統，那么公司的病毒情況會立刻減少或者得到控制，但是信息安全管理不一樣，它是潛移默化的一項公司，必須要有計劃有步驟地實施。

d.資金問題

花小錢辦大事，這是每個公司或個人都期望的，但是花小錢要在合理的市場價值體系下，一旦違背了價值體系，那么勢必出現花小錢辦壞事的情況。如果企業花費了巨大的金額就會把信息安全管理體系做好么？也不一定，因為信息安全管理體系的落地是由很多因素影響的，不光是資金的因素。適當的目標、適當的企業水平和適當的費用才能推動信息安全管理體系適當的落地。

2.建設中存在的問題

a.人員問題

信息安全管理體系中，人員的問題主要來自于兩方面，一方面是處于設計體系的人員，也即建設信息安全管理體系的人員，他們的認知水平、推廣方式都影響建設的進展和效果，如果能夠設身處地的為各部門員工考慮，考慮他們的難處，并隨著他們對這一體系的理解，不斷深入推廣將效果會更好。另外一方面即各部門員工的配合力度也對信息安全管理體系的落地也有很大的關系。

b.數據問題

信息安全管理體系追求可比性，與自身比、與同行業比、與同規模企業比，既然要比就要有數據，而數據的積累就是我國信息安全管理體系最大的困難。信息安全管理體系來自于國外，而老外是非常注重數據的，因此我們需要從現在起積累自己單位的數據、積累同行的數據，這樣才能為充分落地和實施好信息安全管理體系打好基礎。

c.實施方法問題

如前所述，信息安全管理體系本身是一項潛移默化的工作，因此急于求成的信息安全管理體系建設基本都是失敗的，因此信息安全管理體系的實施應該是有步驟有計劃逐步的進行實施。個人認為，先提升意識，特別是管理的意識，因為本身信息安全管理體系是一套管理方法不是信息技術。其次梳理信息安全管理現有流程，現有流程即企業當前所進行的信息安全管理活動是如何進行的。第三步，在現有流程的基礎上集合日常維護的記錄分析哪些地方存在風險，哪里曾經發生過事故，充分發現風險的存在。第四步，根據所發現的風險，討論如何優化流程，可以針對所發現的風險提出全部的控制方法和手段。最后形成以風險優化流程，以流程規避風險的良好機制。

3.落地實施中的問題

a.思維惰性

首先我們要承認每個人都具備思維的惰性，不愿意去嘗試接受新的事物，不愿意去改變自己的習慣。而信息安全管理體系既要提升執行人員的認識也會去改變其習慣。對于該惰性，我認為首先要分析執行人員的產生思維惰性的原因，比如可能某項工作的增加不影響其績效，也可能其在認識上并不認為那樣做會有效，等等。在充分認識到利弊之后，大部分執行者都是接受并主動配合控制措施的執行的。

b.觀念待轉變

觀念的轉變主要體現在一下幾個方面，首先是對信息安全管理的認識轉變，信息安全管理管理的是信息不是信息技術，企業的各個層面人員都需要轉變這個認識。其次是信息安全管理體系，是一套管理方法，不是某項技術，技術可以幫助提升管理效率，但它始終是一項管理活動，這一層面主要是針對企業中層管理人員。第三，管理活動注重的是分析，如果沒有分析的管理，管理水平會停滯不前，只有充分的分析，依據數據的分析，才能發現管理的問題，發現技術的問題，不斷的提升對信息的管理，這一層面主要是針對高級管理層。

c.工具支持尚缺

信息安全管理無論如何都還算是新鮮事物，工具的支持會更有效地幫助其落地，但是市場上對于工具的研發力度還比較差。比如某公司的風險評估軟件，需要各部門進行大量的錄入，而并未與企業的防火墻、入侵檢測、網管軟件進行結合，也沒有形成一套計算模型進行計算。

三、信息安全管理體系改進建議

1.IT基礎建設

國內的很多企業雖然也不輸了IDS、IPS、網管系統、ITIL產品等，但大多處于使用其減少紙面工作，并未真正利用其最重要的分析功能，而且一些企業的日志審計功能竟然是關閉的，沒有日志如何進行分析，如何發現潛在的可能發生的問題。

2.長期計劃

就像前面分析到的，信息安全管理從來不是短期見效的一項工作，短期只能紙面效果明顯。因此對于信息安全管理體系的推廣和落地，應該做好長期規劃，將長期計劃分解成多個階段計劃、階段目標，逐步實現最終的目標。

3.體系整合

在企業中，除了信息安全管理體系之外，還有生產安全管理體系、質量管理體系、職業健康管理體系、環境保護體系等等，這些體系之間的方法和思路都是統一的，重要的是建立起PDCA的循環，因此他們可以在邏輯上納入公司層面的管理體系，只是專業分工不同而已，就像一個公司下面有很多個專業部門一樣，有管行政的、有管財務的、有負責客服的等等。

四、信息安全管理體系發展展望

1.體系本身的發展

ISMS（信息安全管理體系）的國際化組織正在研究一系列的標準以支持信息安全管理體系在各行各業的落地，目前在很多行業有相應的標準研究正在計劃當中。技術方面的如ISO/IEC27033：網絡安全、ISO/IEC27034：應用安全等，行業方面的如ISO/IEC 27012：電子政府服務、ISO27799醫療健康組織、ISO27011通信組織等。從規劃看未來的信息安全管理體系標準將比較詳細和龐大，如果這樣發展下去，本文所論述的落地難的幾面將會有很大的改善。

2.企業落地情況展望

信息安全管理體系自進入中國以來，經歷了2005年至2007年的起步和2008至2012年的蓬勃發展兩個階段，現在這個階段應該正在步入成熟期，而成熟其也是其總結教訓和失敗的階段，只有總結了失敗和教訓，才能真正的進入成熟期。

3.工具開發情況展望

為了推動信息安全管理體系落地，市場上很多安全產品公司和咨詢公司也推出了支持ISMS的產品，從總體情況看，都比較單一，并未形成一套集成軟件能夠專注分析和整理信息安全管理體系的運行結果。但是從這幾年的發展來看，目前已經意識到這個問題，但是由于缺乏標準和數據積累，尚未有更好的解決辦法。但是無論如何，方向已經明確，需要繼續努力。

總的來說，企業在實施信息安全管理體系的過程是充滿疑惑與疑慮，但是從整體的發展方向看還是朝著好的方向發展，就像一輛新車一樣，在駕馭的過程中難免需要與人的熟悉過程有關，隨著深入的熟悉和了解，慢慢的就能自由馳騁了。

作者簡介：鄒煜（1980—），男，湖南衡陽人，高級工程師，研究方向：計算機科學與技術。