漫谈信息安全经理需要了解的国内外安全标准

尽管由人治向法治的过程困难重重,但不可否认法治观念越来越深入人心,信息安全领域的管理也不再是领导拍脑袋凭主观意愿决定一切的时代了。政府部门和关键的重点行业更是会接受多家监管机构对安全遵循的要求,领导型的标杆企业更是不得不向行业安全标准靠拢以增加竞争力,本文不是来剖析和解读业界的安全标准,只是来随意闲聊一下。

要说安全标准主要可以分为两类,一类是需要强制性遵循的,主要是安全监管机构的法律法规和特殊行业的安全需要,比如几乎所有组织机构都要受到公共安全网络监管和保密等机构相关法规纪律的约束比如NIST、FISMA和信息安全等级保护等,而所有重点行业,都会有行业监管机构出台相关的安全准则如COSO、SOX、HIPAA和中国某行业监督管理委员会信息系统安全指南等,甚至大型领导厂商也会联合起来制定安全准入标准比如PCI等。

除了强制性必须遵循的之外,另一类是泛行业性质的安全标准,这些和行业及规模无关,比如国际化标准ISO/IEC 27001/2以及一些安全治理构架COBIT等。

不可否认的是这些标准之间会存在竞争,强制性标准中有政治权力和经济利益之争,而行业标准更多的是经济利益和影响力之争,各类标准的势力范围也与时俱进,越扩越大并且开始趋同。这各趋势并不见得是坏事,因为只要遵循一种比较成熟和完善的标准,往往相关的要求都可以被映射到其它类似标准之中,所以如果组织的信息安全管理体系和ISO 27001/2保持一致的话,可以说其它任何安全管理规范或文件都已经被遵循了90%以上,剩下的那些少量的条款和特别的要求只需稍做努力便可轻松实现,因为管理体系的精髓都是相通甚至相同的,所以基于相同安全理念而细化出来的法规制度也大同小异。

各级组织机构往往会根据安全管理体系标准的要求,结合单位和部门的实际情况,细化制作相关的信息安全规章制度和工作流程,其中不乏各类工作文档、动员会议和沟通培训等等。

接下来更进一步,各单位会对所辖范围内的安全管理体系规程的实施情况进行定期审查,以确保信息安全管理方针政策得以落实,安全制度得以遵照执行,安全体系建设得以不断改进。

多数的安全管理审查结果并不理想,这让安全管理规定的落实大打折扣,严重的会让安全标准和制度成为一纸空文。问题的根源何在呢?昆明亭长朗然科技有限公司的资深安全管理顾问James Dong说:各单位的信息安全管理领导小组或安全管理委员会对信息安全的理解和认识往往比较全面,再根据各安全主管部门的要求和指导,容易制定出与实际工作相关的安全规程;到部门安全(协调)员和最终用户这一级,往往并非安全方面的专家,他们缺乏对信息安全的整体和全面的认识,以至于难以制定出具体的日常安全工作操作流程和安全注意事项等等运用于最佳安全实践之中,再加之安全并非他们日常工作的核心内容,所以即使被强迫制定出一些文档,也是为了应付检查而非真正嵌入到工作流程之中。

由于这些一线用户数量众多,他们对安全认识的不够足以影响整体的安全管理水平,具体的表现形式为抵抗、躲避或忽略各类安全技术和管理控制措施,而安全认知水平不够的根源在于安全知识体系管理和沟通的不足,简单说,就是信息安全管理委员会或信息安全管理领导小组没有对各部门的安全管理员、安全技术人员和最终用户进行足够的安全知识灌输,以填补信息安全意识的空洞和差距。

所以,如果你是一名安全管理专家,或安全管理领导小组的成员,请不要再执著于具体的安全管理标准或规范的名称如ISO/IEC 27001、 COBIT、 HIPAA、 PCI-DSS、 SOX、 等级保护等等,而是加强对下属各部门安全(管理协调)员的支持,对他们进行安全理念和管理体系的培训,支持他们对最终用户进行安全意识培训教育。

信息安全管理标准大同小异,落实才是关键,而落实安全管理标准的重要工作,也是常常被忽略掉的核心一环,是填补安全认识不足的鸿沟,亦即是对员工进行足够的信息安全意识培训。

业务成功与信息安全意识

不闻不若闻之,闻之不若见之,见之不若知之,知之不若行之;学至于行之而止矣。——荀子

信息安全不是独立于业务目标的“学术孤岛”,谈到对组织成功的重要性,虽然信息安全不如加强产品研发和拓展新兴市场那么“经世致用”,但是也绝对不可或缺,在特殊的行业和关键的领域,甚至是决定成败的核心竞争力。

在这些特殊的行业和关键的领域里,信息安全不仅表现为业务成功的“保障”角色,更是取得持续胜利的“推进器”,甚至是创新战略的“使能者”。不过,每家公司都有自身独特的愿景、使命、目标和战略,公司治理成为保障成功的关键,信息安全的源头便源自于此。当然,信息安全在不同公司中的地位和价值可以从此窥见一斑,然而,担负公司治理重任的高管们可能并不是那么的“学究”,他们对信息安全与商业成功之间的必然关联和重要性认识可能并不足够,这就需要专业的信息安全专业人员来提供智囊支持。

尽管多数公司并没有明确的信息安全组织架构和信息安全总监职位,但是多少都有相关的团队和人员来担当必要的职责,只是有可能没有做那么清晰的部门设置和职位定义,这主要和高层领导的认知及意愿有关。

信息安全管理亦是采用至上而下的方法,如果公司高层领导对信息安全的认知不够,例如只认为信息安全是防范电脑病毒,让网络不受ARP攻击而罢工,那就很难指望公司的信息安全管理体系能够充分保障业务数据的安全。所以说,领导层首先要树立正确的信息安全观念,并且做好示范表率作用,这里面包含建立健全信息安全相关方针政策和工作流程,以及在公司范围内实施安全教育、培训和意识提升计划。

建立安全方针政策、规章制度和工作流程实际上并不像人们常讲的“拷贝些模板”的事儿,除非只是想做一些纸面的工作而不想让这些落到实处。设立安全方针政策和规章制度是为了确保员工们在工作中应用正确的信息安全理念,所以它们之间是紧密联系的。要结合工作实际情况制定规章制度和工作流程,就需要让中层领导仒和一线的员工充分参与,这当然少不了信息安全相关的沟通和协调工作。而要进行有效的信息安全沟通和协调,最重要的是进行信息安全意识相关的教育培训。

不仅仅诸如信息安全管理委员会之类的安全团队内部需要进行沟通和协调,与最终用户如全体员工及相关外来人员之间也需要沟通协调,就比如一个与访客接待相关的安全流程,就需要得到多方的理解和支持才能有效运作。

信息安全意识教育培训并非宣读一番相关的安全制度和流程,我们不仅需要让最终用户“理解”信息安全,更要让他们“认同”信息安全,要向最终用户展示正确的安全理念和行为,可以利用模拟的场景,可以分析实际的案例。

当最终用户充分“理解”了信息安全之后,便需要他们付诸实际行动来证明他们“认同”正确的信息安全理念,这就达到了我们的最终目标——获得最终用户的安全行为,通过适当的安全工作流程来保障信息安全方针政策的落实实施。

让最终用户“理解”信息安全不难,让最终用户“认同”信息安全不易,昆明亭长朗然科技有限公司的信息安全意识培训顾问Alice Wong说:想取得“知行合一”的良效,除了采用高质量的饱含模拟场景和真实案例的信息安全意识教程之外,也不能忽视安全行为激励机制。人性多是趋利避害的,Alice建议公司拿出少量信息安全资源当作激励员工们正确安全行为的“安全奖金”,同时对容易造成安全事故的不当行为进行适当处罚,并且不断地通过教育培训来刷新人们的安全认知。日积月累,信息安全意识便深入脑海,安全的行为便逐渐形成。

security-awareness-and-behavior