浅谈信息安全管理体系建设

信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

虽谈不上”一个人的安全部门”，但是“唯一”的安全管理岗在信息安全管理体系所承担的职责完全不亚于那些孤军奋战的“一个人的安全部门”，纵然知道前路漫漫遍地荆棘，也要摸爬滚打着前进，颇有“天将降大任于斯人也……”的既视感，给那些奋战前线的安全管理先驱者致以最崇高的敬意。

公司只有在达到一定的规模后，才会存在“安全管理岗”这个坑位。很多小型公司普遍还是“一个人的安全部门”，附属于运维部门底下，一个人身兼安全运维、安全管理、应用安全(代码审计、渗透测试)、安全开发，甚至还需要去承担部分运维的职责。对于规模稍微大一点，对信息安全比较重视的、较有前瞻性的企业，亦或是合规性要求比较严格的企业，方才会设定专门的安全管理岗，甚至是成立独立的安全部门。本人就自己的专业范畴，工作职责浅谈安全管理岗。

常说“三分靠技术，七分靠管理”，不去深究技术与管理具体的比例是否准确，但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理，安全管理的作用无可厚非。

作为承担安全管理责任的安全管理岗，核心工作是建立、实施、保持和持续改进信息安全管理体系。通过合理的组织体系、规章制度和管控措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全。

不同企业对于信息安全管理体系的建设需求也不甚相同：

• 可能是从无到有，从0到1建立信息安全管理体系;
• 可能企业已有“信息安全管理体系”，但仅仅是冷冰冰的制度规范，就躺在管理者的电脑之中，直至面对监管机构检查才开始发挥作用，未发挥该有的约束力、管控力;
• 可能企业已有信息安全管理体系，但是实时性无法满足企业日益变化的安全需求，待进一步优化改进;
• . ……

体系建设之初，我相信大家的初衷都是抱着建立建成可落地的信息安全管理体系。但我们都清楚，没有绝对的安全，也没有绝对的可落地。ISO27001也没有定义所谓的绝对安全可落地的信息安全管理体系，它推崇的是PDCA过程模式，保证管理体系持续改进的有效模式。PDCA循环将一个过程抽象为策划、实施、检查、措施四个阶段，四个阶段为一个循环，通过持续的循环，使信息安全管理持续改进。

信息安全管理体系的有效落地程度很大程度上决定了信息安全管理水平。如何建立相对可落地的信息安全管理体系，是贯穿安全管理岗工作的核心问题。关于这个问题，是本人在整个体系建设过程中一直思考反思的问题，本人还在探索摸索的路上，无法给出完整精准的答案。但基于个人在整个体系建设过程中所思所感所想，总结了若干点。

一、来自高层的明确支持，以及相关资源的保障

在一个组织内建设信息安全管理体系必须得到高层管理人员的承诺与支持!为何?

1. 从上之下高效推动

我相信绝大多数安全管理岗都有着相同的经历与感受：我们竭力去推广某个流程规范，期望能在某些方面上从流程规范上改善企业的信息安全问题，但是我们同各个部门沟通过程中却四处碰壁。其他部门不一定愿意采纳流程规范，或是出于工作效率的考虑，或是出于对新事情的排斥。往更直白的说，每个部门都有各自部门的KPI，对于信息安全部门而言，信息安全管理体系的建设落地确实是一项重要的KPI考核指标，但是对于业务部门，他们更看重的可能更多地是业务稳定运行，而信息安全管理体系只是辅助业务安全稳定运行的工具。如果高层管理人员能够出面处理跨部门之间的协调问题，相应的安全方针政策、控制措施方可在组织的上上下下得到更有效的贯彻，体系建设会事半功倍。也正好体现了ISO27001中所提倡的“领导力”的概念，信息安全需要从上至下推动，需要从上而下全员参与。

2. 有效的资源保证

另外一个层面，引用一句俗语“巧妇难为无米之炊”，信息安全管理体系建设过程中，可能会涉及到外部咨询机构、测评机构的引入，可能会涉及安全设备的采购……钱!钱!钱!是任何项目开展的基础，需要领导层在实施有效安全过程的必要的资金支持。

我们确实见过有些企业可能不聘请任何外部第三方的咨询机构，内部人员自行建设信息安全管理体系;

我们也见过有些企业不购买实施有效安全过程所必要的安全设备(防病毒软件、WAF……)，内部人员自行开发或基于开源软件二次开发以满足安全需求;

以上做法可行吗?只要企业内部的人力资源能够满足现有需求，当然可行!归根到底，人力资源的投入与资金的投入的平衡，才是最可行的方案!

但人力资源的投入也好，项目设备资金采购也罢，都离不开领导层的高度支持。

二、适合自己的，才是***的

为什么要建立信息安全管理体系?企业面临哪些问题和风险?企业现在处于什么安全管理水平?每个企业信息安全工作的出发点和关注点不同，后续安全工作的重点自然也不同。我们确实见识过很大大型企业拥有完善的安全管理体系，处于行业的前沿，***着安全的发展趋势，但出自以上公司的管理体系不一定适用于自己的公司，我们可以参考他们的管理模式，在我们内部做一定的调整适用，但却无法完全效仿大公司的管理模式，去照搬，去复制。管理50人与管理5000人适用不同的管理方式。或许既然都有能力有效管理5000人，那确实也能去管理50人。但是某种程度上，杀鸡焉用牛刀? 如果一个安全要求不是很高的企业，效仿具备极其严格安全要求的公司，发布各种安全制度政策，上各种安全流程控制，做各种安全审计和检查，理论上确实安全了，但搞得民怨沸腾，往往效果也不好。投入与产出是亘古不变的话题，是安全管理岗需要去衡量的。安全终究是为业务服务的，信息安全管理体系必须从业务目标出发，反映业务的安全需求。只要能够满足业务的安全需求，哪怕管控程度不如其他行业，也是一套好的管理体系。适合自己的，才是***的!