望闻问切，对症下药――搭建有效的企业信息安全体系.docVIP

望闻问切，对症下药――搭建有效的企业信息安全体系 　　关键词：信息安全管理体系（ISMS） ISO/IEC 27000 风险管理 　　随着近年来信息安全话题的持续热议，越来越多的企业管理人员开始关注这一领域，针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施，开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候，还是经常会听到这样的话： 　　“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵，采购了专用的数据防泄密软件进行内部信息资源管理，为什么还是会出现企业敏感信息外泄的问题？” 　　“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系，为什么却迟迟难以落实？各业务部门都大力抵制相关制度和技术措施的应用推广。” 　　“我们已经在咨询公司的协助下建立了ISMS体系，投入了专门的人力进行安全管理和控制，并且通过了企业信息安全管理体系的认证和审核，一开始的确获得了显著的成效，但为什么经过一年的运行后，却发现各类安全事件有增无减？” 　　这些问题的出现往往是由于管理人员采取了“头痛医头，脚痛医脚”的安全解决方案，自然顾此失彼，难以形成有效的安全防护能力。上述的三个案例，案例一中企业发生过敏感信息外泄事件，于是采购了专用的数据防泄密软件，却并未制定相关的信息管理制度和进行员工保密意识培训，结果只能是防外不防内，还会给员工的正常工作带来诸多不便；案例二中企业管理者认识到安全管理的重要性，要求相关部门编制了大量的管理制度和规范，然而缺乏调研分析和联系业务的落地措施，不切实际的管理制度最终因为业务部门的排斥而束之高阁；案例三中ISMS的建立有效地规范了公司原有的技术保障体系，然而认证通过后随着业务发展却并未进行必要的改进和优化，随着时间的推移管理体系与实际工作脱节日益严重，各类安全隐患再次出现也就不足为奇。 　　其实，企业面临的各种安全威胁和隐患，与人体所面临的各种疾病有诸多类似之处，我们常说西医治标不治本，指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁，通过技术手段的积累虽然可以解决很多问题，但总会产生疲于应付的状况，难以形成有效的安全保障体系；类比于中医理论将人体看为一个互相联系的整体，信息安全管理体系的建立正是通过全面的调研分析，充分发现企业面临的各种问题和隐患，紧密联系业务工作和安全保障需要，形成系统的解决方案，通过动态的维护机制形成完善的防护体系。 　　总体来说，信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统，目的是保障企业的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系统。 　　针对ISMS的建立，我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论： 　　第一，“望闻问切”，全面的业务、资产和风险评估是ISMS建设的基础； 　　第二，“对症下药”，可落实、可操作、可验证的管理体系是ISMS建设的核心； 　　第三，“治病于未病”，持续跟踪，不断完善的思想是ISMS持续有效的保障。 　　望闻问切 　　为了完成ISMS建设，就必然需要对企业当前信息资源现状进行系统的调研和分析，为企业的健康把把脉，毕竟我们需要在企业现有的信息条件下进行ISMS建设。 　　首先，自然是对企业现有资源的梳理，重点可以从以下几个方面入手： 　　1.业务主体（设备、人员、软件等）。 　　业务主体是最直观、最直接的信息系统资源，比如多少台服务器、多少台网络设备，都属于业务主体的范畴，按照业务主体本身的价值进行一个估值，也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化，最好的主体未必服务于最核心的信息系统，同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中，对业务设备的盘点和清理是很重要的，也是进行基础业务架构优化的一个重要数据。 　　2.业务数据（服务等）。 　　业务数据是现在企业信息化负责人逐步关注的方面，之前我们只关注设备的安全，网络的良好工作状态，往往忽略了数据对业务和企业的重要性。现在，核心的业务数据真正成为信息工作人员最关心的信息资产，业务数据存在于具体设备的载体之上，很多还需要软件容器，所以，单纯地看业务数据意义也不大，保证业务数据，必须保证其运行的平台和容器都是正常的，所以，业务数据也是我们重点分析的方面之一。 　　3.业务流程。 　　企业所有的信息资源都是通过业务流程实现其价值的，如果没有业务流程，所有的设备和数据就只是一堆废铜烂铁。所以，对业务流程的了解和分析也是很重要的