文档介绍:ISMS实施过程常见困惑与应对
国内从1999年,厦门人保获得第一张ISMS认证证书至今,通过该项认证的企业为180多家,包括华为、中兴、深交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东公司)、中国网通(天津、北京公司)、中国电信(上海、北京、广东公司)等企业,主要集中在电信、金融、软件外包开发等行业。与目前国际通过该项认证的企业数量5200家相比,中国通过认证的企业数量并不多,但国内按照或参考ISO27001或ISO27002国际标准,建立健全本企业信息安全管理体系的企业却越来越多,一直以来,在实施信息安全管理体系的实践过程中,无论是企业的管理层人员还是具体实施人员,无论是通过认证企业还是未认证企业,对ISMS实施过程都不同程度的存在着一些困惑和误区。
困惑一:想仅仅通过技术和产品,就解决所有的(或主要的)安全问题。
很多企业,甚至大型知名企业,上了很多技术和产品,有的企业甚至也建立了很多安全管理制度,甚至做了信息安全管理体系并通过了认证,投入了很多财力人力,但整体信息安全管理水平并没有明显提升,信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题:相关的管理跟不上,如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面,一定要重视“三分管理,七分技术”这一原则,要向管理要安全。技术只是帮助实现管理的手段,就IS02700l而言,它的l1个控制区域中,只有3个区域是完全和技术相关,其它8个都是要求如何进行信息安全管理,比如物理安全、人力资源安全、业务连续性管理这些都无法纯粹依靠技术来实现,更多的是要靠管理来实现。
困惑二:信息安全与工作效率的关系,做信息安全会不会影响工作效率。
业务部门表面上都支持,但实际工作中并不配合。这是很多企业信息安全管理体系推行过程中,具体实施人员最常见的体会和抱怨。业务部门的支持是一个永远的问题。导致这个问题的原因很多,“工作很忙”,“出差刚回来,还要出去,根本没时间看那些什么安全策略”,“不要不相信我,我不会泄密”、“我们工作本来就很忙,拜托别再给我们增加工作了”等等。真的没有时间吗?明显不是,真正的原因是“业务才是最重要的,其它都是次要的”、“我干的这几年,运气不会这么差吧”,对安全风险的严重性认识不足,心存侥幸心理,不仅一般员工如此,有的管理层人员乃至核心管理层人员都不同程度有如此想法。
首先,信息安全负责人员在具体实施过程中,也要考虑统筹安排时间,毕竟企业是以赢利为目的的,业务是很重要的,在具体工作安排上,在不影响工作绩效的前提下,要尽可能以节约业务部门人员的时间的方式进行,比如安全意识的宣传,不要只是课堂培训一种方式,内部网站、经常性的提示性邮件、宣传小册子、打印机复印机旁的小贴士、台历上的安全小故事都是不错的选择,信息安全宣传方法要灵活,你理解业务部门,业务部门也会欢迎,也会理解你的工作。
其次,落实具体控制措施的好处,要向业务部门讲透。向业务部