信息安全领导小组或管理委员会的组建

信息安全管理体系项目需要一个有适当组织架构和资源的项目团队。这是一个常识,它也反应了ISO 27001条款的要求,以及附录中相关章节的控制要求。

那么,为什么要建立信息安全管理体系领导小组或管理委员会呢?昆明亭长朗然科技有限公司信息安全管理顾问专员董志军称:信息安全管理离不开人员People、流程Process和技术Technology,这三者要有机结合,发挥效力,离不开强力的组织和领导,否则不论谁想尝试建立信息安全管理体系,都将是乌合之众玩一玩儿而已,难成气候。

展示管理承诺

ISO 27001条款要求管理层展示其承诺的“建立,实施,运行,监控,审查,维护和改进信息安全管理体系”,并且给出如下需提供证据的步骤:

1.建立信息安全政策,它应该得到正式的讨论,并由董事会或高层管理团队进行签署;
2.确保信息安全管理体系目标和计划的建立,它最好由信息安全管理体系项目团队来完成;
3.建立信息安全的角色和职责,它应从建立ISMS项目团队入手;
4.传达信息安全的重要性给组织,为信息安全管理体系和它的持续改进提供支持;
5.为信息安全管理体系的开发和部署的各个阶段和方面提供足够的资源;
6.决定风险的接受和控制标准,这些标准应在正式的管理会议上完成;
7.确保信息安全管理体系审计的进行;
8.对信息安全管理体系进行管理评审。

项目小组/指导委员会

最高管理者应建立一个由业务牵头的项目小组或指导委员会,负责设计和实施信息安全管理体系。这个团队应该是由一名对业务负责的高层经理来领导,最好的人选是组织的CEO。经验告诉我们,这个团队不应该由IT经理来带领,因为IT经理没有足够的跨业务和商业管理经验及威信,将业务作为一个整体来建立和实施管理制度。

在总经理带领下的项目小组,应包括关键的职能部门经理以及IT和信息安全的技术专家。如果内部没有足够的资源,应该使用外部的技术专长;当使用外部承包商时,要应用和第三方合约相关的各类控制,如保密协议和外部各方。

信息安全协调

控制项要求组织的不同部分的代表在整个组织内共同协调信息安全。在所有除了非常大型的组织里,这个团队应该是信息安全管理体系项目组原班人马。这个团队也被赋予信息安全责任和分配详细的任务,详情见分配信息安全责任章节。

总之,建立信息安全管理体系工作的大部分内容都是沟通交流、协作推进,要让信息安全相关政策得以理解和贯彻,让信息安全管理目标和计划得以认可和执行,让信息安全的重要性和工作要求得以宣导和满足,必须要组建信息安全领导小组或管理委员会,由最高层强力支持、发起承诺并进行指导。对此,董志军补充说:所谓“大海航行靠舵手,万物生长靠太阳”的革命主义思想在信息安全管理体系中的生动体现。尽管信息安全管理不是搞革命运动,更不是倡导个人崇拜和集权主义,但是强调组织领导的关键性作用却是相同相通的。

漫谈信息安全经理需要了解的国内外安全标准

尽管由人治向法治的过程困难重重,但不可否认法治观念越来越深入人心,信息安全领域的管理也不再是领导拍脑袋凭主观意愿决定一切的时代了。政府部门和关键的重点行业更是会接受多家监管机构对安全遵循的要求,领导型的标杆企业更是不得不向行业安全标准靠拢以增加竞争力,本文不是来剖析和解读业界的安全标准,只是来随意闲聊一下。

要说安全标准主要可以分为两类,一类是需要强制性遵循的,主要是安全监管机构的法律法规和特殊行业的安全需要,比如几乎所有组织机构都要受到公共安全网络监管和保密等机构相关法规纪律的约束比如NIST、FISMA和信息安全等级保护等,而所有重点行业,都会有行业监管机构出台相关的安全准则如COSO、SOX、HIPAA和中国某行业监督管理委员会信息系统安全指南等,甚至大型领导厂商也会联合起来制定安全准入标准比如PCI等。

除了强制性必须遵循的之外,另一类是泛行业性质的安全标准,这些和行业及规模无关,比如国际化标准ISO/IEC 27001/2以及一些安全治理构架COBIT等。

不可否认的是这些标准之间会存在竞争,强制性标准中有政治权力和经济利益之争,而行业标准更多的是经济利益和影响力之争,各类标准的势力范围也与时俱进,越扩越大并且开始趋同。这各趋势并不见得是坏事,因为只要遵循一种比较成熟和完善的标准,往往相关的要求都可以被映射到其它类似标准之中,所以如果组织的信息安全管理体系和ISO 27001/2保持一致的话,可以说其它任何安全管理规范或文件都已经被遵循了90%以上,剩下的那些少量的条款和特别的要求只需稍做努力便可轻松实现,因为管理体系的精髓都是相通甚至相同的,所以基于相同安全理念而细化出来的法规制度也大同小异。

各级组织机构往往会根据安全管理体系标准的要求,结合单位和部门的实际情况,细化制作相关的信息安全规章制度和工作流程,其中不乏各类工作文档、动员会议和沟通培训等等。

接下来更进一步,各单位会对所辖范围内的安全管理体系规程的实施情况进行定期审查,以确保信息安全管理方针政策得以落实,安全制度得以遵照执行,安全体系建设得以不断改进。

多数的安全管理审查结果并不理想,这让安全管理规定的落实大打折扣,严重的会让安全标准和制度成为一纸空文。问题的根源何在呢?昆明亭长朗然科技有限公司的资深安全管理顾问James Dong说:各单位的信息安全管理领导小组或安全管理委员会对信息安全的理解和认识往往比较全面,再根据各安全主管部门的要求和指导,容易制定出与实际工作相关的安全规程;到部门安全(协调)员和最终用户这一级,往往并非安全方面的专家,他们缺乏对信息安全的整体和全面的认识,以至于难以制定出具体的日常安全工作操作流程和安全注意事项等等运用于最佳安全实践之中,再加之安全并非他们日常工作的核心内容,所以即使被强迫制定出一些文档,也是为了应付检查而非真正嵌入到工作流程之中。

由于这些一线用户数量众多,他们对安全认识的不够足以影响整体的安全管理水平,具体的表现形式为抵抗、躲避或忽略各类安全技术和管理控制措施,而安全认知水平不够的根源在于安全知识体系管理和沟通的不足,简单说,就是信息安全管理委员会或信息安全管理领导小组没有对各部门的安全管理员、安全技术人员和最终用户进行足够的安全知识灌输,以填补信息安全意识的空洞和差距。

所以,如果你是一名安全管理专家,或安全管理领导小组的成员,请不要再执著于具体的安全管理标准或规范的名称如ISO/IEC 27001、 COBIT、 HIPAA、 PCI-DSS、 SOX、 等级保护等等,而是加强对下属各部门安全(管理协调)员的支持,对他们进行安全理念和管理体系的培训,支持他们对最终用户进行安全意识培训教育。

信息安全管理标准大同小异,落实才是关键,而落实安全管理标准的重要工作,也是常常被忽略掉的核心一环,是填补安全认识不足的鸿沟,亦即是对员工进行足够的信息安全意识培训。