（说明：即将发表在中计报上的一篇文章）

《ISO27001:2005信息安全管理体系规范》国际标准发布之后，ISO27001成为炙手可热的企业ISMS（信息安全管理体系）建设蓝本，各行各业，特别是外包行业，开始广泛参照该标准并结合企业的实际情况，对信息安全活动进行全面的管理，期望提升安全管理水平。但是现实与理想总是存在差距，尽管可以用ISO27001指导各行各业的安全管理活动，但是并不是包治百病的良药，是洋标准水土不服还是自个身子板太差？

 

运行过程中问题重重

 

企业按照ISO27001建立组织的信息安全管理体系时，要么聘请外部咨询顾问，要么让企业内部有体系建设经验的专业人士实施，当项目完成之后，企业的安全管理框架基本建立，但是在体系运行过程当中还存在种种问题。

1)         管理层对ISMS半推半就

信息安全行业本身在国内出现也不过十多年，还算是一个新生事务，企业对信息安全的认识存在诸多的不足。而在外包企业建立ISMS的驱动因素来自发包客户，获得国际广泛认可的ISO27001证书成了外包企业签订订单的重要资质之一，外包企业非常需要这张证书。一旦证书到手，管理层对ISMS的持续支持就打折扣。“本公司将在本月15号接受ISO27001认证外部审核结构对ISMS的审核，请各部门协助配合质量管理部的工作”，这是我们一个客户的领导在临认证前给公司员工发的一个通知。“协助配合”这几个字体现了公司对ISMS的认识和重视度，意思是ISMS只是质量管理部的事情。

另外，中国的“证书文化”影响深远，想想个人有多少证书，还没出身就要准生证，就业时要这证那证的，到死了甚至还要死亡证明；企业的证书也多呢，管理层难免不重视。

 

2)         安全制度、流程难以落实执行，很多活动留与形式；

ISMS文档不少，用汗牛充栋来形容也不为过，就公司级的文档不下二三十个，部门级甚至到操作级别的文档总共不下一百来个。逐个落实，难度不小。

比如说信息系统的变更管理流程，该流程要求对于信息系统的任何配置信息的修改，系统升级等都事先申请、并作风险分析、相关领导批准等等，而系统管理员之前的习惯可能是比较随意，觉得哪地方有问题就修改。这个时候要求按流程走，这让他们非常不自在，处处抵制；碰到信息安全经理恰巧知道的变更，管理员碍于情面，简单的走走过场，没有去真正考虑流程上所规定的事务。这一方面改变是个痛苦的过程，另一方面就是这些系统管理员往往在企业里具有技术专家优势，还有一个方面“僧多粥少”，IT事务多而杂，而IT人员非常少，职责分离很难实施。

比如在开展ISMS管理评审时，要求业务部门经理与会评审ISMS效用状况，与会要么请人代理，要么在会上说些无关痛痒的话，总之一副于我关系不大的姿态。评审会议最终沦为形式，留下无用但是又是ISO27001标准要求的评审会议记录。

 

3)         信息安全与业务脱钩

ISMS在建设和推进过程中，鲜有业务部门参与，ISMS项目往往是质量管理部门或者IT部门闭门造车。安全控制没有真正站在业务部门的立场上去考虑问题，这也导致企业从事信息安全的人员在业务部门往往不受欢迎，因为在业务部门的眼中，信息安全捆绑了业务发展的手脚，降低了工作的效率。曾经在某外包公司，发生过由于员工无限制的上网而导致系统感染病毒，最终导致企业整个网络的瘫痪的事件。事发之时，公司震动挺大，事发之后，公司领导决定要进一步加大信息安全的保障力度。信息安全部门建议，上班时间禁止浏览网页，尽管有反对的声音，但是最终还是采纳该建议。断网之后，软件工程师碰到技术问题，想要通过网络来解决的通路断了，这大大影响了工作的效率；同时，长期的网络使用，工程师已经形成了网络依赖，断网犹如婴儿断奶，员工普遍怨声载道。压力之下，又只好恢复上网。这个事情让公司领导觉得脸上无光，于是把业务部门和信息安全部门领导叫去，各打五十大板，怨业务部门上网感染病毒，又怨信息安全部门这药下得太猛。这让信息安全部门的人太委屈了，管不是，不管也不是，总之是猪八戒照镜子，里外都不是人。

4)         ISMSM没有持续改进

改进即改变。对于外包软件开发项目，除了软件开发过程本身的改进任务之外，还增加了在安全的环境中开发出安全的软件的新的过程改进要求，这无疑加大了改进的难度，增加了开发人员的抵制情绪。比如以前可以随时访问Internet，以查阅相关资料获取信息，而现在由于保密性的要求而限制访问Internet。

过程改进被认为是一项额外的工作，重要但不紧急。按照ISMS的要求，一个新的软件项目立项之后，势必将产生各种各样的数据和文档，需要依赖相关的信息系统，而这些数据文件以及系统就是企业需要保护的信息资产。这些信息资产要纳入风险管理的范围，资产识别、分类分级、弱点和威胁的识别和评价等等随之而来。人们往往会忽略那些重要的但是不紧急的工作，因此这项目工作常常被推迟甚至被取消；

业务部门与信息安全部门普遍存在问题。在业务部门的眼中，信息安全是可有可无的东西，甚至被认为是业务的绊脚石，太多的安全控制降低了他们的工作效率，因此想法设法来阻碍信息安全过程的改进，甚至歪曲现有的安全控制效果；

 

ISO27001标准是国外众多信息安全专家的实践总结，简单的“拿来主义”、全盘照搬，肯定会导致消化不良。我们需要坚持先进理论融入实践并具体问题具体分析的思路。

 

融入企业实际环境

 

ISMS运行成果的好坏，诚然，由两个方面所决定，一方面是ISMS搭建者的能力，另一方面是企业的内部环境。从PDCA的思路来看的话，归根到底还是取决与企业的内部环境。人们常说要量体裁衣，建设有效的ISMS必须考虑企业的实际情况。那么建设ISMS时，需要考虑哪些企业环境信息呢？

首先是企业组织架构，包括决策，权利分配，责任分工；曾经碰到这么一个客户，他们的ISMS建设由质量管理部门来主导实施，但是质量管理部门由开发本部直接领导。试想一下，下级部门督促监督上级部门做某项“费力”的工作，在这么一个环境中推行安全改进其困难何其大。

其次是全体员工的安全意识水平员工的信息安全意识简单说是能够对可能发生的安全事件保持一定的警惕心；发散开来可以理解为以下几个层次：就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施；

最后是企业文化企业环境的因素中非常重要的是企业文化，企业文化主导了员工行为方式和企业对外形象，或规范、或随意等。在华日企外包企业应该说传承了日本企业的基本的文化特点，具体体现是看重企业诚信，诚信可以成为企业成败的关键。在日本，企业如果发生信息泄露等信息安全事件，按规定是要主动向有关政府部门报告的，如果隐瞒不报一旦被发现将会严重影响公司信用，后果是十分严重的。不二家这个创立于1910年的西点食品连锁企业，就是因为隐瞒使用过期原料进行生产的事实被曝光而发生严重的信用危机，砸了自己的百年老字号，现在超市已经看不到不二家的东西了。

另外，企业非常重视信息安全。从ISMS International User Group对全球通过ISO27001认证的企业数目上可以看出，日本到当前为止已有2800家企业，占全球通过企业数的50％以上。参见以下统计表。由此可见日本企业对信息安全的重视；另外，在05年4月生效的《个人信息保护法》是日本保护个人信息安全的根本法律，企业从各种方面加强了对个人信息的保护。在华日企外包公司主要为日本提供外包服务，客户如此重视信息安全，外包企业不跟上形吗？

                                                 

那么建设ISMS时如何考虑环境因素并最终把安全体系嵌入企业环境中呢？

1)         建立合理的信息安全组织架构

合理的信息安全组织架构应该包含三个层次，决策层、管理层和执行层；从角色上来讲可以分为普通员工、信息安全专业人员、安全审核员；信息安全是“一把手”工程，由企业的总经理直接挂帅领导。

2)         建立全员信息安全和培训制度

一方面按照企业人员级别以及业务性质的不同，对不同人员实施不同侧重内容的培训，关注不同级别人员对信息安全的关注点；另一方面，实现员工在企业整个就业期间，实施不间断的持续培训，从员工入职到最后离开企业。当然，在安全教育和培训方面，不必拘泥与形式，除了正常的集中人员面对面的培训之外，还可以采取网络教程，flash动画、张贴墙报、定期发送电子报、开展信息安全知识竞赛等等。通过多方式，全方位的宣传和教育，把信息安全融入到企业文化当中。

3)         让员工承诺负责

让员工咨询阅读与其业务相关的安全策略，让员工承诺遵守公司的安全制度并签字；

 

紧密切合业务需求

外包公司的主要业务是承接了客户业务链中的某个环节业务，而外包公司所提供的这些服务的失败可能会影响到发包公司整个业务。比如软件外包，这可能会涉及到某些具有知识产权的技术，也可能会涉及到客户数据的机密，也有可能会涉及到某些商业秘密等；那么ISMS如何满足业务需求呢？5W1H的分析方法是一种行之有效的方法之一。

（业务－安全 关系图）

业务驱动是指业务开展在信息安全方面的需求。首先，国内日企外包企业的主要客户基本上都是日本的跨国或者高科技企业，而这些企业自身对信息安全要求很高，这种高求势必会传递给他们的接包客户。随着离岸外包的发展以及国内对外包业务的大力推动，越来越多的企业加入到外包大军中，发包公司与接包公司需要通过一种方式来建立彼此之间在信息安全方面广泛的信任关系，引入公信的第三方，ISO27001认证就是解决这个问题的有效途径。其次，目前对日软件外包项目中，绝大多数是应用系统的开发，而这些应用系统基本上都是运行在互联网的环境中，因此，开发出安全的能够抵御黑客攻击的软件成了重要需求之一。这需要接包方要确保客户信息的机密性，保障一切与开发系统相关的设计文档、源代码的机密性。同时还要维护客户的知识产权。再次，很多项目是协同开发的模式，这需要保证信息系统运行可靠，网络通畅。另外，对于保持开发团队稳定也是保障项目顺利进行的条件之一。

业务属性是指那些企业想要保护或者支持的事务。业务属性包括用户属性、运维属性、风险管理属性、法律法规属性、业务战略属性等，下面仅仅对用户属性和运维属性做简单分析。

用户属性是指用户在系统中的信息安全的体验，这里的“用户”主要是指软件工程师，软件项目管理人员。工程师或者项目经理开发工作的需要，要求访问项目配置库，可访问性则是用户属性之一，它这是指对于授权能够访问的项目文档信息以及信息安全过程改进文档，用户能够容易的找到并且有适当的访问权限；另外，项目里不同模块由不同人员开发，业务驱动中对设计文档、源代码保密性的需求，这要求工程师各自的用户和访问权限信息必须受到保护，防止滥用，这又是用户属性中的受保护属性。当然还有其他属性，比如职责分离、接受安全意识和教育等等就不再一一累赘。

运维属性是指企业日常运行的安全。外包公司要完成与发包公司协同工作，网络基础设施的安全稳定运行且满足约定的服务级别水平是基础，这是可靠性要求。百密终有一疏，企业可能会遭受严重信息安全事故甚至灾难，如大面积网络瘫痪、机房起火设备被毁等，导致业务中断，运维属性中的可持续性则要求在企业在允许的最大业务中断时间之内恢复业务的运行。等等，不一而足。

从以上的分析当中，可以看出，业务驱动与业务属性存在着对应关系；业务驱动从较大较粗层面上分析问题，紧密结合业务，而业务属性则从企业具体事务和保护对象入手，对业务进行层层分解；

当然，对企业的业务的分析还包括业务目标达成必须的关键成功因素的考虑，以此确定安全控制目标；还需要对核心业务流程和模型在时间状态、职能的依赖关系、人员责任以及关系逻辑等的分析，以确定时间模型、信任模型以及安全域模型，这里就不再一一详述。最终确定企业的安全架构。

总之，对业务在5W1H六个方面的分析，使得信息安全与业务之间架起了一座桥梁，完成了信息安全与业务的对接。

 

ISMS就是过程改进

 

过程改进本身是一项重要的管理工作。信息安全的效果是通过业务部门的参与得以体现，改进的信息安全过程能够增加公司核心业务和产品的附加值(客户更加信任)，让业务部门从安全改进中尝到了甜头，才能更积极的参与到改进中来。

过程改进需要全体员工的参与，上到管理层，下到普通的工程师。上文我们提到，过程改进就是过程改变，员工的参与也就是要改变之前的做事方法。人们为什么要做出改变呢，只有让人看到好处，让参与的各个级别的人员能够满足其诉求。因此，信息安全经理要仔细分析他们的关注点。在信息安全改进过程中，在企业内部，安全经理需要与三个方面的人员做好沟通：高层管理者，中层业务经理，工程师。高层管理者关注信息安全对于企业长期的重要性，一般在各种场合都会表示对信息安全工作的支持。而中层业务经理则要关注多项指标，项目进度和质量、人员技能提升等等，信息安全只是其中指标之一，而他们需要在多项指标中寻找平衡。工程师在项目压力不是很大的情况下，还是非常乐意学习新的技能和方法。

了解他们的关注点之后，信息安全经理再与他们的沟通时要有针对性。对于高层管理者，只需说明新方法概况，目的和初步计划，人员投入等，无需过多细节。面对业务部门经理，除了上述要点之外，还要说明信息安全工作如何与他们的目标挂钩，这一新方法不仅是为了满足客户安全需求，还能帮助完成更安全的软件，并且就投入多少时间，涉及哪些人员，风险降低何种程度进行讨论。如果与高层管理者和业务部门经理都已经达成共识，再与工程师来讨论新方法的推行就会很顺畅。

 

ISO27001国际标准做为全球在信息安全管理方面的最佳实践之一，是他人的经验总结。在当前国内企业管理水平整体相对较低的情况，我们唯有努力学习他人经验，并切实结合自身的实际情况，打造有效的ISMS。