很多時候,我們在應付ISO270001評審的同時,又在對未知的信息安全問題抱有幻想,猜測與恐慌:你無法預料到那天出現安全危機,無論是技術層面上的(病毒大面積感染,公司QQ被集體脫庫,絕密聊天記錄被曝光,網站被DDOS等等),���������還是管理層面上的(內部員工泄密,間諜盜走財務數據等等);而誰也不知道我們首先應該做些什么;經過近一年的努力和探索,在這里我分享一下自己在建設公司安全管理體系和落實ISO27001之間采取的平衡策略和妥協,還請大家多多指教;
一、自己清楚體系的核心
換句話來說(shuo)(shuo),你(ni)得明確貫(guan)徹落實(shi)(shi)最關鍵的(de)二八原則(ze),公司(si)的(de)體系(xi)建設(she)(she)類似于為一(yi)(yi)(yi)個人(ren)(ren)定(ding)制一(yi)(yi)(yi)套衣服,首(shou)先肯定(ding)是(shi)(shi)(shi)(shi)解決裸奔的(de)問題(ti),而不是(shi)(shi)(shi)(shi)舒適度(du)或者(zhe)是(shi)(shi)(shi)(shi)美觀;你(ni)得清楚哪些對我們(men)公司(si)運營(ying)是(shi)(shi)(shi)(shi)當務之(zhi)急的(de),哪些又(you)(you)是(shi)(shi)(shi)(shi)暫時沒(mei)必要,沒(mei)有(you)預算,或者(zhe)實(shi)(shi)施不了,甚至是(shi)(shi)(shi)(shi)實(shi)(shi)施了以(yi)后影(ying)響工(gong)作效率的(de);例如(ru)說(shuo)(shuo)信(xin)(xin)息(xi)安(an)全工(gong)作評審(shen),手(shou)冊(ce)文(wen)件(jian)上(shang)說(shuo)(shuo)每一(yi)(yi)(yi)個月(yue)都要進行(xing)一(yi)(yi)(yi)次評審(shen)會(hui)議,高層(ceng)必須參加,但是(shi)(shi)(shi)(shi)領導(dao)層(ceng)如(ru)果(guo)不是(shi)(shi)(shi)(shi)專(zhuan)職信(xin)(xin)息(xi)安(an)全的(de)人(ren)(ren)員,而且又(you)(you)不懂各種各樣(yang)的(de)體系(xi),那(nei)么(me)與其開這種一(yi)(yi)(yi)個人(ren)(ren)說(shuo)(shuo)話的(de)會(hui)議不如(ru)改成每一(yi)(yi)(yi)個月(yue)的(de)工(gong)作匯(hui)報(bao),通過群(qun)發(fa)郵件(jian)的(de)方式,讓大家了解進展(zhan)即(ji)可;又(yo��������u)(you)比(bi)如(ru)面對什么(me)信(xin)(xin)息(xi)安(an)全制度(du)體系(xi)都沒(mei)有(you)的(de)技(ji)術部門,你(ni)一(yi)(yi)(yi)下(xia)子甩幾個三類文(wen)件(jian)規(gui)(gui)程,和幾十個日志(zhi)(zhi)(zhi)文(wen)件(jian)給(gei)他們(men),讓他們(men)實(shi)(shi)現(xian)什么(me)日志(zhi)(zhi)(zhi)評審(shen),第三方工(gong)作日志(zhi)(zhi)(zhi)評審(shen),并定(ding)期讓他們(men)跟你(ni)進行(xing)工(gong)作匯(hui)報(bao),那(nei)么(me)我想(xiang)別人(ren)(ren)肯定(ding)也只能靠編撰了。工(gong)作如(ru)果(guo)僅(jin)僅(jin)是(shi)(shi)(shi)(shi)這樣(yang)做(zuo),那(nei)“建設(she)(she)”就成了空(kong)話,沒(mei)有(you)意(yi)識和規(gui)(gui)定(ding),單單靠要求是(shi)(shi)(shi)(shi)不現(xian)實(shi)(shi)的(de)事情。
二、領導層知道你在做什么
要進行體系(xi)的(de)建立(li),首(shou)先(xian)就(jiu)是指定責(ze)任人(re�������n)與領導小組(zu),這些領導小組(zu)無非(fei)是一些公(gong)司(si)的(de)高層,很多做信息安(an)全體系(xi)建設(she)(she)的(de)同(tong)事對此嗤(chi)之(zhi)以鼻,覺得他們都(dou)不(bu)�������懂安(an)全,不(bu)應該由他們來組(zu)織實施體系(xi)的(de)建設(she)(she)工作;
但(dan)是(shi),不(bu)懂安(an)(an)全(quan)的領(ling)導(dao)(dao)來擔任信(xin)息安(an)(an)全(quan)指揮家(jia),不(bu)是(shi)更�������(geng)能夠讓你“為(wei)所欲為(wei)”了(le)嗎;你也不(bu)能一(yi)個人埋(mai)頭苦干而忽(hu)視了(le)領(ling)導(dao)(dao)層,畢竟領(ling)導(dao)(dao)們處(chu)在的位置(zhi)決定(di����ng)了(le)他們比你更(geng)好(hao)調動(dong)資(zi)源。
三、根據公司的運營現狀階段實施
對一(yi)(yi)個操(cao)作進(jin)(jin)行評(ping)審的前提,是必(bi)須要有這個操(cao)作,這是毋庸(yong)置疑的。進(jin)(jin)行體系建設(she)也一(yi)(yi)樣(yang),如果說(shuo)我們剛剛進(jin)(jin)行了防火墻日志(zhi)的統計和收集,大家還不了解(jie)日志(zhi)的內容,甚(shen)至說(shuo)里面充斥著大量的冗余無關日志(zhi),那么進(jin)(jin)行日志(zhi)的評(ping)審就顯得沒有必(bi)要了,這時候的當�������(dang)務之急應該(gai)是將日志(zhi)進(jin)(jin)一(yi)(yi)步進(jin)(jin)行分(fen)析,精簡,等過了這個階段,日志(zhi)分(fen)析納入了日常工作范疇�����,評(ping)審才能夠提上議程;
四、劃分部門指導工作與培訓
公司整體性提升信息安全意識要靠定期的培訓與宣傳,但是針對管理體系的培訓更應該因人而異。初到公司我也進行過培訓,讓大家了解到信息安全建設的重要性,ISO27001體系對公司會有哪些好處。但是效果并不明顯,第一是因為大家才初步了解信息安全的概念,這個時候提信息安全體系還為時過早;第二是因為每一個部門對信息安全體系的側重點并不一樣,研發部門可能會關心他們辛辛苦苦寫出的代碼,而財務部門卻關心的是公司的防泄密體系;這個時候,周期性的,針對部門進行培訓,并在其中穿插進體系的內容,大家就好理解。由淺到深尤為重要,比如這個月我針對財務系統給大家講解了脆弱性和威脅,那么大家對風險評估就會有一定的理解,接下來開展相應的資產識別工作就容������易了很多。
五、和監管部門進行配合
信(xin)息(xi)安(an)全(quan)工作請(qing)務必讓(rang)公司(si)的(de)“內控監(jian)察(cha)”部門配合(he),實現(xian)有(you)(you)法(fa)可������依和(he)制度的(de)執行(xing)(xing);特別是當初到公司(si),信(xin)息(xi)安(an)全(quan)管(guan)理制度一片空(kong)白的(de)情況下(xia),不(bu)能每(mei)一件事都(dou)是“善意(yi)的(de)提醒”,例如,我們可以在(zai)“內控監(jian)察(cha)”的(de)配合(h��������e)下(xia),對員工的(de)日常行(xing)(xing)為進行(xing)(xing)了(le)規(gui)范,(如清(qing)屏策略,密(mi)碼(ma)復雜度要求,內外網分(fen)離(li)要求等),納入每(mei)一個(ge)月的(de)績(ji)效考核中(zhong),讓(rang)每(mei)一個(ge)人(ren)心中(zhong)都(dou)有(you)(you)一個(ge)最基礎的(de)信(xin)息(xi)安(an)全(quan)意(yi)識。
0
賬號登錄