安全事故之后的安全流程评审

确保安全万无一失是人们的美好愿望,甚至被人们当做口号和政治任务。可是从科学角度讲,安全事故无法百分百避免,安全事故后的应急响应便成为一项关键安全控管流程。

旨在降低可能损失的应急响应流程在最后的输出往往是事件的根本原因分析和防范未然之道。不可否认,信息安全事故的原因往往都是人为的,即使是信息系统或者外界环境方面的因素,往往也会有适当的防范和补救方案。说到底,不管什么因素,都需要流程方面的防范措施,通过有效的流程控管和优化,可以在很大程度上减少安全事故的发生,并且降低可能造成的损失。

如何知晓在信息安全管理流程上缺乏什么呢?如何知道将如何改善安全作业流程呢?这不是看表面拍脑袋想当然的事情,需要科学的调研、分析和总结。内部人员能隐约觉察出问题的原因,但是可能并非所称的根源root cause。即使有明眼人能看出来,可能也局限于自身的地位或办公室政治因素而避开不谈。所以,再讲到改善流程,则希望渺茫,无疑让人们为安全事故所付出的代价付之东流。

当局者迷,旁观者清。安全负责人无疑需要请来外部第三方的审核队伍,帮忙找寻安全管理流程中的不足之处,并加以咨询和探讨。安全事故五花八门,起因似乎也是如此。但是在专业的安全审核人员看来,微小的失误和明显的过失还是有很大区别的。

流程评审的关键已经不再是看看文档,不少公司的文档只是文档,缺乏真实性。现场巡查、人员走访和随机抽检才是发现安全问题和隐患的关键。昆明亭长朗然科技有限公司信息安全咨询顾问James Dong说:一名懂信息安全的负责任的审核员足够,沟通交流出期望的输出,比如找出安全管理流程中的哪些不足甚至错误之处,与行业最佳实践的差距,以及改进建议。

通常第三方中立的信息安全审核人员并不会受制于内部环境的束缚,所以能够较为客观和中立地给出审核报告。当然在提及改进方案之时,往往也会提供专业的建议,比如推荐一些产品和服务。这都无可厚非,而且确实在很大程度上能够为供需双方牵线搭桥。

总之,一起安全事故的起因看似聚集在一个点,其实并非孤立的,要进行全面的安全管理流程审核分析,才是防范同类安全事故再次发生的正确措施。当然,要让信息安全委员会成员们以及相关的决策者们认识到这一点,还需要足够的安全观念碰撞和沟通交流。无疑,在安全认知的校正和安全观念的启蒙方面,针对管理层的信息安全意识宣导课程可以帮上忙。

年度安全会议上的老问题与新战略

一年之际在于春,新年伊始,又到了制定目标、战略、计划和进行动员的时候了。信息安全管理委员会不能只是挂个虚名,该召集成员们来商讨新年大计了。

对于一个成熟的信息安全管理体系来讲,前一年与后一年之间的工作计划似乎并没有什么不同,只管按步就班进行下去即可。信息安全管理水平仍处于混沌状态之下的组织在面对老问题之时,似乎仍然无解。

而信息安全威胁却总是在不断地更新着、变化着和增长着,这就需要采取必要的应对措施。当然,这里的意思并非为应对新型计算机病毒的出现,而更换防病毒软件。

有钱好办事儿,安全预算是关键,所以年度信息安全会议上最重要的是安全预算。昆明亭长朗然科技有限公司企业安全治理顾问James Dong说:从财务控管角度讲,财政资源是有限的,合理配置使用有限的资源才是关键。从大的社会环境来看,中央已经认识到往年安全维稳成本过高,必将严格控制相关开支。受中央部委控管的大型央企国企必将受到一定的影响,大的方向上似乎是安全年度预算会逐步减少。

要知道:能减少的只会限制在安全运维方面,比如通过优化流程和精简队伍来降低运营成本,而新的安全项目方面的预算则是不应该贸然减少的,甚至还应该适量增加,以保证不断提升安全管理水平和应对新型安全威胁。

在流程优化方面,多数公司,无价值的审批环节可以省略,类似的安全运营流程也可以合并,以求高效。人员队伍方面,中国人力资源低廉的时代已经过去,高素质的全能性信息安全人才必将受到欢迎,此外,采用兼职的专业信息安全管理人员如兼职首席信息安全官CISO也是个不错的方向。同时,人力资源成本的高居不下让信息安全委员会不得不考虑采用新的安全战略,如将非核心战略的安全运维流程外包,这在发达国家和地区已经实施多年。

不过,机制不够灵活是很多大中型企业的通病,要让新战略得已贯彻实施,让老问题得以顺利解决,就需要有效的安全认知沟通。这不仅仅需要在信息安全管理委员们之间,更需要向全体员工、投资者和受影响者如何进行必要而充分的信息安全意识和理念的交流。