把ISMS建设进行到底 .pdf

把ISMS建设进行到底

信息安全

所谓的“当局者迷，旁观者清”、“外来和尚好念经”，

在ISMS建设及认证项目上也是这个道理。

无论是选择自我实施，还是请外部的咨询机构和顾问，

组织都应该知道，

实施ISMS认证项目，必须要有一套行之有效的方法，

事先要对整个过程做好计划。

信息安全管理体系（InformationSecurityManagement

System，ISMS）是组织整体管理体系的一个部分，是组织在

整体或特定范围内建立信息安全方针和目标，以及完成这些

目标所用方法的体系。基于对业务风险的认识，ISMS包括建

立、实施、操作、监视、复查、维护和改进信息安全等一系

列的管理活动，并且表现为组织结构、策略方针、计划活动、

目标与原则、人员与责任、过程与方法、资源等诸多要素的

集合。

外来和尚好念经

组织在确定实施ISMS建设及ISO27001认证项目之后，

通常有两种途径可以去操作，一种是自己做，在组织内部成

立专人专项工作组，按照计划自我实施。另一种就是选择有

实力的咨询机构，帮助组织完成此项目。两种途径各有所长，

关键是看组织自身特点和看问题的角度。如果组织规模不大、

业务模式简单、信息系统也不复杂，而且自身对信息安全的

认识和运作已经达到了一定高度，有胜任的人员，选择自我

实施就是比较经济快捷的途径。不过，如果组织规模较大、

组织结构相互关联、对IT的依赖广泛，更重要的是，组织本

身对信息安全的意识和运作还处于较低水平，或者发展并不

均衡，这就需要有外部力量来进行引导，他们以公正独立的

姿态，把一些成熟的经验移植过来，以最直接快速的方式发

现组织现有问题并对症下药。此外，有经验的咨询机构和顾

问通常都能比较好地把握认证机构的“偏好”和习惯，这一

点尤其对最终应对审核很重要。一般来说，咨询机构可以在

人员培训、全程辅导、后续支持等方面给予组织大力的支持。

所谓的“当局者迷，旁观者清”、“外来和尚好念经”，在ISMS

建设及认证项目上也是这个道理。

当然，无论是选择自我实施，还是请外部的咨询机构和

顾问，组织都应该知道，实施ISMS认证项目，必须要有一

套行之有效的方法，事先要对整个过程做好计划。

完善计划渠自成

在建设信息安全管理体系的方法上，ISO27001标准为我

们提供了指导性建议，即基于PDCA的持续改进的管理模式。

PDCA是一种通用的管理模式，适用于任何管理活动，体现

了一种持续改进、维持平衡的思想，但具体到ISMS建立及

认证项目上，就显得不够明确和细致，组织必须还要有一套

切实可行的方法论，以符合项目过程实施的要求。在这方面，

ISMS实施及认证项目可以借鉴很多成熟的管理体系实施方

法，比如ISO9001、ISO14001、TS16949等，大致上说，这些

管理体系都遵循所谓的PROC过程方法。

PROC过程模型

（Preparation-Realization-Operation-Certification）是对PDCA

管理模式的一种细化，它更富有针对性和实效性，并且更贴

近认证审核自身的特点。

PROC模式将整个信息安全管理体系建设项目划分成四

个阶段，共包含15项关键的活动，如果每项具有前后关联

关系的活动都能很好地完整，最终就能建立起有效的ISMS，

实现信息安全建设整体蓝图，接受ISO27001认证并获得认可

更是水到渠成的事情。

准备阶段（Preparation）：在准备阶段，项目小组要对ISMS

实施及认证做好预备工作，明确ISMS实施范围，提供相关

资源，建立总体的安全管理方针，进行前期培训和预先评估，

分析了解业务状况，进行详细的风险评估，发掘安全需求。

这一阶段包括以下五项关键活动：

?项目启动：前期沟通，实施计划，项目小组，资源支

持，启动会议。

?前期培训：信息安全管理基础，风险评估方法。

?预先审核：初步了解信息安全现状，分析与ISO27001

标准要求的差距。

?业务分析：访谈调查，核心与支持业务，业务对资源

的需求，业务影响分析。

?风险评估：资产、威胁、弱点、风险识别与评估。

实现阶段（Realization）：在实现阶段，项目小组要组织

相关资源，依