望聞問切，對癥下藥——搭建有效的企業信息安全體系

關鍵詞：信息安全管理體系（ISMS） ISO/IEC 27000 風險管理

隨著近年來信息安全話題的持續熱議，越來越多的企業管理人員開始關注這一領域，針對黑客入侵、數據泄密、系統監控、信息管理等問題陸續采取了一系列措施，開始構筑企業的信息安全防護屏障。然而在給企業做咨詢項目的時候，還是經常會聽到這樣的話：

“我們已經部署了防火墻、入侵檢測設備防范外部黑客入侵，采購了專用的數據防泄密軟件進行內部信息資源管理，為什么還是會出現企業敏感信息外泄的問題？”

“我們的IT運營部門建立了系統的運行管理和安全監管制度和體系，為什么卻遲遲難以落實？各業務部門都大力抵制相關制度和技術措施的應用推廣。”

“我們已經在咨詢公司的協助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業信息安全管理體系的認證和審核，一開始的確獲得了顯著的成效，但為什么經過一年的運行后，卻發現各類安全事件有增無減？”

這些問題的出現往往是由于管理人員采取了“頭痛醫頭，腳痛醫腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業發生過敏感信息外泄事件，于是采購了專用的數據防泄密軟件，卻并未制定相關的信息管理制度和進行員工保密意識培訓，結果只能是防外不防內，還會給員工的正常工作帶來諸多不便；案例二中企業管理者認識到安全管理的重要性，要求相關部門編制了大量的管理制度和規范，然而缺乏調研分析和聯系業務的落地措施，不切實際的管理制度最終因為業務部門的排斥而束之高閣；案例三中ISMS的建立有效地規范了公司原有的技術保障體系，然而認證通過后隨著業務發展卻并未進行必要的改進和優化，隨著時間的推移管理體系與實際工作脫節日益嚴重，各類安全隱患再次出現也就不足為奇。

其實，企業面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫治標不治本，指的就是采取分片分析的發現問題—分析問題—解決問題的思路處理安全威脅，通過技術手段的積累雖然可以解決很多問題，但總會產生疲于應付的狀況，難以形成有效的安全保障體系；類比于中醫理論將人體看為一個互相聯系的整體，信息安全管理體系的建立正是通過全面的調研分析，充分發現企業面臨的各種問題和隱患，緊密聯系業務工作和安全保障需要，形成系統的解決方案，通過動態的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業務風險方法，來建立、實施、運行、監視、評審、保持和改進企業的信息安全系統，目的是保障企業的信息安全。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統。

針對ISMS的建立，我們可以從中醫“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業務、資產和風險評估是ISMS建設的基礎；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設的核心；

第三，“治病于未病”，持續跟蹤，不斷完善的思想是ISMS持續有效的保障。

望聞問切

為了完成ISMS建設，就必然需要對企業當前信息資源現狀進行系統的調研和分析，為企業的健康把把脈，畢竟我們需要在企業現有的信息條件下進行ISMS建設。

首先，自然是對企業現有資源的梳理，重點可以從以下幾個方面入手：

1.業務主體（設備、人員、軟件等）。

業務主體是最直觀、最直接的信息系統資源，比如多少臺服務器、多少臺網絡設備，都屬于業務主體的范疇，按照業務主體本身的價值進行一個估值，也是進行整個信息系統資源價值評估的基礎評估。由于信息技術日新月異的變化，最好的主體未必服務于最核心的信息系統，同時價值最昂貴的設備未必最后對企業的價值也最大。在建立體系的過程中，對業務設備的盤點和清理是很重要的，也是進行基礎業務架構優化的一個重要數據。

2.業務數據（服務等）。

業務數據是現在企業信息化負責人逐步關注的方面，之前我們只關注設備的安全，網絡的良好工作狀態，往往忽略了數據對業務和企業的重要性。現在，核心的業務數據真正成為信息工作人員最關心的信息資產，業務數據存在于具體設備的載體之上，很多還需要軟件容器，所以，單純地看業務數據意義也不大，保證業務數據，必須保證其運行的平臺和容器都是正常的，所以，業務數據也是我們重點分析的方面之一。

3.業務流程。

企業所有的信息資源都是通過業務流程實現其價值的，如果沒有業務流程，所有的設備和數據就只是一堆廢銅爛鐵。所以，對業務流程的了解和分析也是很重要的一個方面。

以上三個方面是企業信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當我們對企業的當前信息資產進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產進行量化的數據分析，進行安全賦值，我們將信息資產的安全等級劃分為 5 級，數值越大，安全性要求越高，5 級的信息資產定義非常重要，如果遭到破壞可以給企業的業務造成非常嚴重的損失。1 級的信息資產定義為不重要，其被損害不會對企業造成過大影響，甚至可以忽略不計。對信息資產的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規合同符合性要求等 5 個方面進行評估賦值，最后信息資產的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應該給硬件、軟件、數據賦值，業務流程作為核心的信息資源也必須賦值，而且幾個基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業由于歷史原因，運行核心業務流程的往往是比較老的設備，在隨后的分析可以看得出來，由于其年代的影響，造成資產的風險增加，也是需要重點注意的一點。

最后，對企業當前信息資產的風險評估。

風險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產賦值的目的就是為了計算風險值，從而我們可以看出整個信息系統中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式：風險值 = 資產登記 + 威脅性賦值 + 脆弱性賦值（特定行業也有針對性的經驗公式）。

ISMS 建設的最終目標是將整個信息系統的風險值控制在一定范圍之內。

對癥下藥

經過上階段的調研和分析，我們對企業面臨的安全威脅和隱患有一個全面的認識，本階段的ISMS建設重點根據需求完成“對癥下藥”的工作：

首先，是企業信息安全管理體系的設計和規劃。

在風險評估的基礎上探討企業信息安全管理體系的設計和規劃，根據企業自身的基礎和條件建立ISMS，使其能夠符合企業自身的要求，也可以在企業本身的環境中進行實施。管理體系的規范針對不同企業一定要具體化，要和企業自身具體工作相結合，一旦缺乏結合性ISMS就會是孤立的，對企業的發展意義也就不大了。我們一般建議規范應至少包含三層架構，見圖1。

圖1 信息安全管理體系

一級文件通過綱領性的安全方針和策略文件描述企業信息安全管理的目標、原則、要求和主要措施等頂層設計；二級文件主要涉及業務工作、工程管理、系統維護工作中具體的操作規范和流程要求，并提供模塊化的任務細分，將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則，便于操作人員根據規范進行實施和管理人員根據規范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規章制度還是進行設備的更換，都要量力而行，依據自己實際的情況來完成。例如，很多公司按照標準設立了由企業高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負責企業的信息安全管理工作，在各級信息化技術部門均設置系統管理員、安全管理員、安全審計員，從管理結構設計上保證人員權限互相監督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業信息系統安全性，反而降低了整個信息系統的工作效率。

其次，是企業信息安全管理體系的實施和驗證

實施過程是最復雜的，實施之后需要進行驗證。實施是根據 ISMS 的設計和體系規劃來做的，是個全面的信息系統的改進工作，不是單獨的設備更新，也不是單獨的管理規范的發布，需要企業從上至下，全面地遵照執行，要和現有系統有效融合。

這里的現有系統既包含了現有的業務系統，也包含了現有的管理體制。畢竟ISMS是從國外傳入的思路和規范，雖然切合國人中醫理論的整體思維方式，但在國內水土不服是正常的，主要表現就在于是否符合企業本身的利益，是否能夠和企業本身的業務、管理融合起來。往往最難改變的還是企業管理者的固有思維，要充分理解到進行信息安全管理體系的建設是一個為企業長久發展必須進行的工程。

到目前為止，和企業本身業務融合并沒有完美的解決方案，需要企業領導組織本身、信息系統技術人員、業務人員和負責 ISMS 實施的工程人員一同討論決定適合企業自身的實施方案

最后，是企業信息安全管理體系的認證和審核

針對我們周圍很多重認證，輕實施的思想，這里有必要談一下這個問題，認證僅代表認證過程中的信息體系是符合 ISO27000（或者其他國家標準）的規范要求，而不是說企業通過認證就是一個在信息安全管理體系下工作的信息系統了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業信息安全管理體系需要動態改進和和優化，畢竟企業和信息系統是不斷發展和變化的，ISMS 是建立在企業和信息系統基礎之上的，也需要有針對性地發展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統的持續作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續改進和跟蹤完善的手段，經過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業及未來即將建立ISMS的企業，為了持續運轉ISMS，我們認為可以主要從以下三個方面著手：

第一，人員。

人員對于企業來講是至關重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續運轉過程中，人員都應該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續保留，負責維護各自部門的信息資產、安全事件跟蹤匯報、配合內審與外審、安全相關記錄收集維護等信息安全相關工作。

但很多事情是一種企業文化的培養，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓，面向專業人員的信息安全技術培訓等，因此對于企業來講，除了必要的體系維護人員，在ISMS持續運轉過程中，若能將企業內的每名員工都納入到信息安全管理范圍內，培養出“信息安全，人人有責”的企業氛圍，則會為企業帶大巨大的潛在收益。且有些企業在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業帶來的風險。

第二，體系。

ISMS自身的持續維護，往往是企業建立后容易被忽視的內容，一套信息安全管理文檔并不是在日益變化的企業中一直適用的，對于信息資產清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關標準中明確指出的，企業通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產發生重大變更，組織業務、部門發生重大調整時，都最好對ISMS進行重新的評審，必要時重新進行風險評估，有助于發現新出現的重大風險，并且可以將資源合理調配，將有限的資源使用到企業信息安全的“短板”位置。

唯一不變的就是變化，企業每天所面臨的風險同樣也不是一成不變的，在更新維護信息資產清單的同時，對風險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內容。持續的維護才能保證ISMS的運轉，有效控制企業所面臨的各種風險。

第三，工具。

工具往往是企業在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網絡安全設備、備份所需設備、防病毒軟件、正版軟件、監控審計等各類工具，即使沒有實施ISMS，企業在工具方面的投入也是必不可少的，但往往缺乏整體的規劃及與業務的結合，經常會出現如何將幾種類似工具充分利用，如何在各工具間建立接口，使數據流通共用，哪些工具應該替換更新，數據如何遷移，甚至出現新購買的工具無人使用或無法滿足業務需求等問題，導致資金資源的浪費，因此在持續運轉ISMS過程中，根據風險評估報告，及信息安全專員反映的各部門業務需求各種信息數據的收集，應對工具進行統一規劃，盡量減少資源的浪費。

企業的投入可以簡單從上述三個方面提出，同時在企業文化建設、市場宣傳、媒體網站等各個角度均可考慮將信息安全要素納入其中，結合企業自身業務特點，給客戶及合作伙伴一系列的安全體驗。此外，在年度管理評審中，建議企業能認真仔細的對一年的信息安全工作進行回顧，無論從文件、記錄、工具、人員還是信息資產、資源等各個角度，回顧信息安全工作給企業所帶來的變化，以及哪些方面存在問題仍需改進，認真進行下一年度工作的規劃和資源合理分配，只有這樣才能保證ISMS與企業的業務共同發展，且ISMS能真正在企業中落地，為業務發展創造安全的基礎。

最后，需要說明的是，本文僅僅對信息安全管理體系建設各個階段中需要注意的主要問題進行分析和討論，具體的操作指南可以參見ISO/IEC 27000標準體系，例如ISO27002 中就包括了 11 個安全控制要項、39 個控制目標、133 項控制措施，作為實施標準組織的安全標準和有效的安全管理實施指南。