把ISMS建设进行到底
作者:张耀疆
信息安全
所谓的“当局者迷,旁观者清”、“外来和尚好念经”, 在ISMS建设及认证项目上也是这个道理。
无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道, 实施ISMS认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。
信息安全管理体系(Information Security Management System,ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
外来和尚好念经
组织在确定实施ISMS建设及ISO27001认证项目之后,通常有两种途径可以去操作,一种是自己做,在组织内部成立专人专项工作组,按照计划自我实施。另一种就是选择有实力的咨询机构,帮助组织完成此项目。两种途径各有所长,关键是看组织自身特点和看问题的角度。如果组织规模不大、业务模式简单、信息系统也不复杂,而且自身对信息安全的认识和运作已经达到了一定高度,有胜任的人员,选择自我实施就是比较经济快捷的途径。不过,如果组织规模较大、组织结构相互关联、对IT的依赖广泛,更重要的是,组织本身对信息安全的意识和运作还处于较低水平,或者发展并不均衡,这就需要有外部力量来进行引导,他们以公正独立的姿态,把一些成熟的经验移植过来,以最直接快速的方式发现组织现有问题并对症下药。此外,有经验的咨询机构和顾问通常都能比较好地把握认证机构的“偏好”和习惯,这一点尤其对最终应对审核很重要。一般来说,咨询机构可以在人员培训、全程辅导、后续支持等方面给予组织大力的支持。所谓的“当局者迷,旁观者清”、“外来和尚好念经”,在ISMS建设及认证项目上也是这个道理。
当然,无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,实施ISMS认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。
完善计划渠自成
在建设信息安全管理体系的方法上,ISO27001标准为我们提供了指导性建议,即基于PDCA的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如ISO9001、ISO14001、TS16949等,大致上说,这些管理体系都遵循所谓的PROC过程方法。
PROC过程模型(Preparation-Realization-Operation-Certification)是对PDCA管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。
PROC模式将整个信息安全管理体系建设项目划分成四个阶段,共包含15项关键的活动,如果每项具有前后关联关系的活动都能很好地完整,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001认证并获得认可更是水到渠成的事情。
准备阶段(Preparation):在准备阶段,项目小组要对ISMS实施及认证做好预备工作,明确ISMS实施范围,提供相关资源,建立总体的安全管理方针,进行前期培训和预先评估,分析了解业务状况,进行详细的风险评估,发掘安全需求。这一阶段包括以下五项关键活动:
.项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。
.前期培训:信息安全管理基础,风险评估方法。
.预先审核:初步了解信息安全现状,分析与ISO27001标准要求的差距。
.业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
.风险评估:资产、威胁、弱点、风险识别与评估。
实现阶段(Realization):在实现阶段,项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,同时编写、测试、修订并完善ISMS运行和认证所需的文档体系,管理者需要正式发布ISMS体系并要求开始实施,通过普遍的培训活动来推广执行。此阶段包括四项关键活动:
.风险处理:针对风险问题,做文件编写规划、BCP规划和技术方案规划。
.文件编写:编写ISMS各级文件,多次Review及修订,管理层讨论确认。
.发布实施:ISMS实施计划,体系文件发布,控制措施实施。
.中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。
运行阶段(Operation):ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查已建立的ISMS是否符合ISO27001标准以及企业自己规范的要求。此阶段的关键活动有四项:
.认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。
.后期培训:审核员等角色的专业技能培训。
.内部审核:审核计划,Checklist,内部审核,不符合项整改。
.管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。
认证阶段(Certification):经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。此阶段的关键活动就是为认证做好准备:
.认证准备:准备送审文件,安排部署审核事项。
.协助认证:内部审核小组陪同协助,应对审核问题。
四个阶段的15项关键活动,基本上是顺序开展的,其中各阶段的培训活动,则可以与其他活动并列进行。关键活动流程参见图。 PROC各阶段的关键活动 |