望聞問切，對癥下藥——搭建有效的企業(yè)信息安全體系

關鍵詞：信息安全管理體系（ISMS） ISO/IEC 27000 風險管理

隨著近年來信息安全話題的持續(xù)熱議，越來越多的企業(yè)管理人員開始關注這一領域，針對黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施，開始構筑企業(yè)的信息安全防護屏障。然而在給企業(yè)做咨詢項目的時候，還是經(jīng)常會聽到這樣的話：

“我們已經(jīng)部署了防火墻、入侵檢測設備防范外部黑客入侵，采購了專用的數(shù)據(jù)防泄密軟件進行內(nèi)部信息資源管理，為什么還是會出現(xiàn)企業(yè)敏感信息外泄的問題？”

“我們的IT運營部門建立了系統(tǒng)的運行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實？各業(yè)務部門都大力抵制相關制度和技術措施的應用推廣。”

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業(yè)發(fā)生過敏感信息外泄事件，于是采購了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關的信息管理制度和進行員工保密意識培訓，結果只能是防外不防內(nèi)，還會給員工的正常工作帶來諸多不便；案例二中企業(yè)管理者認識到安全管理的重要性，要求相關部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務的落地措施，不切實際的管理制度最終因為業(yè)務部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術保障體系，然而認證通過后隨著業(yè)務發(fā)展卻并未進行必要的改進和優(yōu)化，隨著時間的推移管理體系與實際工作脫節(jié)日益嚴重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標不治本，指的就是采取分片分析的發(fā)現(xiàn)問題—分析問題—解決問題的思路處理安全威脅，通過技術手段的積累雖然可以解決很多問題，但總會產(chǎn)生疲于應付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務工作和安全保障需要，形成系統(tǒng)的解決方案，通過動態(tài)的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對ISMS的建立，我們可以從中醫(yī)“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業(yè)務、資產(chǎn)和風險評估是ISMS建設的基礎；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設，就必然需要對企業(yè)當前信息資源現(xiàn)狀進行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進行ISMS建設。

首先，自然是對企業(yè)現(xiàn)有資源的梳理，重點可以從以下幾個方面入手：

1.業(yè)務主體（設備、人員、軟件等）。

業(yè)務主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺服務器、多少臺網(wǎng)絡設備，都屬于業(yè)務主體的范疇，按照業(yè)務主體本身的價值進行一個估值，也是進行整個信息系統(tǒng)資源價值評估的基礎評估。由于信息技術日新月異的變化，最好的主體未必服務于最核心的信息系統(tǒng)，同時價值最昂貴的設備未必最后對企業(yè)的價值也最大。在建立體系的過程中，對業(yè)務設備的盤點和清理是很重要的，也是進行基礎業(yè)務架構優(yōu)化的一個重要數(shù)據(jù)。

2.業(yè)務數(shù)據(jù)（服務等）。

業(yè)務數(shù)據(jù)是現(xiàn)在企業(yè)信息化負責人逐步關注的方面，之前我們只關注設備的安全，網(wǎng)絡的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對業(yè)務和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務數(shù)據(jù)真正成為信息工作人員最關心的信息資產(chǎn)，業(yè)務數(shù)據(jù)存在于具體設備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務數(shù)據(jù)意義也不大，保證業(yè)務數(shù)據(jù)，必須保證其運行的平臺和容器都是正常的，所以，業(yè)務數(shù)據(jù)也是我們重點分析的方面之一。

3.業(yè)務流程。

企業(yè)所有的信息資源都是通過業(yè)務流程實現(xiàn)其價值的，如果沒有業(yè)務流程，所有的設備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對業(yè)務流程的了解和分析也是很重要的一個方面。

以上三個方面是企業(yè)信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當我們對企業(yè)的當前信息資產(chǎn)進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產(chǎn)進行量化的數(shù)據(jù)分析，進行安全賦值，我們將信息資產(chǎn)的安全等級劃分為 5 級，數(shù)值越大，安全性要求越高，5 級的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務造成非常嚴重的損失。1 級的信息資產(chǎn)定義為不重要，其被損害不會對企業(yè)造成過大影響，甚至可以忽略不計。對信息資產(chǎn)的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個方面進行評估賦值，最后信息資產(chǎn)的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務流程作為核心的信息資源也必須賦值，而且?guī)讉€基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業(yè)由于歷史原因，運行核心業(yè)務流程的往往是比較老的設備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風險增加，也是需要重點注意的一點。

最后，對企業(yè)當前信息資產(chǎn)的風險評估。

風險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產(chǎn)賦值的目的就是為了計算風險值，從而我們可以看出整個信息系統(tǒng)中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式：風險值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對性的經(jīng)驗公式）。

ISMS 建設的最終目標是將整個信息系統(tǒng)的風險值控制在一定范圍之內(nèi)。

對癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對企業(yè)面臨的安全威脅和隱患有一個全面的認識，本階段的ISMS建設重點根據(jù)需求完成“對癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設計和規(guī)劃。

在風險評估的基礎上探討企業(yè)信息安全管理體系的設計和規(guī)劃，根據(jù)企業(yè)自身的基礎和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進行實施。管理體系的規(guī)范針對不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結合，一旦缺乏結合性ISMS就會是孤立的，對企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應至少包含三層架構，見圖1。

圖1 信息安全管理體系

一級文件通過綱領性的安全方針和策略文件描述企業(yè)信息安全管理的目標、原則、要求和主要措施等頂層設計；二級文件主要涉及業(yè)務工作、工程管理、系統(tǒng)維護工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務細分，將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則，便于操作人員根據(jù)規(guī)范進行實施和管理人員根據(jù)規(guī)范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規(guī)章制度還是進行設備的更換，都要量力而行，依據(jù)自己實際的情況來完成。例如，很多公司按照標準設立了由企業(yè)高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負責企業(yè)的信息安全管理工作，在各級信息化技術部門均設置系統(tǒng)管理員、安全管理員、安全審計員，從管理結構設計上保證人員權限互相監(jiān)督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實施和驗證

實施過程是最復雜的，實施之后需要進行驗證。實施是根據(jù) ISMS 的設計和體系規(guī)劃來做的，是個全面的信息系統(tǒng)的改進工作，不是單獨的設備更新，也不是單獨的管理規(guī)范的發(fā)布，需要企業(yè)從上至下，全面地遵照執(zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范，雖然切合國人中醫(yī)理論的整體思維方式，但在國內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進行信息安全管理體系的建設是一個為企業(yè)長久發(fā)展必須進行的工程。

到目前為止，和企業(yè)本身業(yè)務融合并沒有完美的解決方案，需要企業(yè)領導組織本身、信息系統(tǒng)技術人員、業(yè)務人員和負責 ISMS 實施的工程人員一同討論決定適合企業(yè)自身的實施方案

最后，是企業(yè)信息安全管理體系的認證和審核

針對我們周圍很多重認證，輕實施的思想，這里有必要談一下這個問題，認證僅代表認證過程中的信息體系是符合 ISO27000（或者其他國家標準）的規(guī)范要求，而不是說企業(yè)通過認證就是一個在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要動態(tài)改進和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎之上的，也需要有針對性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進和跟蹤完善的手段，經(jīng)過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運轉(zhuǎn)ISMS，我們認為可以主要從以下三個方面著手：

第一，人員。

人員對于企業(yè)來講是至關重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉(zhuǎn)過程中，人員都應該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續(xù)保留，負責維護各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關記錄收集維護等信息安全相關工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓，面向?qū)I(yè)人員的信息安全技術培訓等，因此對于企業(yè)來講，除了必要的體系維護人員，在ISMS持續(xù)運轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風險。

第二，體系。

ISMS自身的持續(xù)維護，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產(chǎn)清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關標準中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務、部門發(fā)生重大調(diào)整時，都最好對ISMS進行重新的評審，必要時重新進行風險評估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風險，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風險同樣也不是一成不變的，在更新維護信息資產(chǎn)清單的同時，對風險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護才能保證ISMS的運轉(zhuǎn)，有效控制企業(yè)所面臨的各種風險。

第三，工具。

工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網(wǎng)絡安全設備、備份所需設備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具，即使沒有實施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務的結合，經(jīng)常會出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務需求等問題，導致資金資源的浪費，因此在持續(xù)運轉(zhuǎn)ISMS過程中，根據(jù)風險評估報告，及信息安全專員反映的各部門業(yè)務需求各種信息數(shù)據(jù)的收集，應對工具進行統(tǒng)一規(guī)劃，盡量減少資源的浪費。

企業(yè)的投入可以簡單從上述三個方面提出，同時在企業(yè)文化建設、市場宣傳、媒體網(wǎng)站等各個角度均可考慮將信息安全要素納入其中，結合企業(yè)自身業(yè)務特點，給客戶及合作伙伴一系列的安全體驗。此外，在年度管理評審中，建議企業(yè)能認真仔細的對一年的信息安全工作進行回顧，無論從文件、記錄、工具、人員還是信息資產(chǎn)、資源等各個角度，回顧信息安全工作給企業(yè)所帶來的變化，以及哪些方面存在問題仍需改進，認真進行下一年度工作的規(guī)劃和資源合理分配，只有這樣才能保證ISMS與企業(yè)的業(yè)務共同發(fā)展，且ISMS能真正在企業(yè)中落地，為業(yè)務發(fā)展創(chuàng)造安全的基礎。

最后，需要說明的是，本文僅僅對信息安全管理體系建設各個階段中需要注意的主要問題進行分析和討論，具體的操作指南可以參見ISO/IEC 27000標準體系，例如ISO27002 中就包括了 11 個安全控制要項、39 個控制目標、133 項控制措施，作為實施標準組織的安全標準和有效的安全管理實施指南。