很多時候,我們在應付ISO270001評審的同時,又在對未知的信息安全問題抱有幻想,猜測與恐����慌:你無法預料到那天出現安全危機,無論是技術層面上的(病毒大面積感染,公司QQ被集體脫庫,絕密聊天記錄被曝光,網站被DDOS等等),還是管理層面上的(內部員工泄密,間諜盜走財務數據等等);而誰也不知道我們首先應該做些什么;經過近一年的努力和探索,在這里我分享一下自己在建設公司安全管理體系和落實ISO27001之間采取的平衡策略和妥協,還請�����大家多多指教;
一、自己清楚體系的核心
換句(ju)話來說,你得(de)明確貫徹落實最(zui)關(guan)鍵的二八原(yuan)則,公(gong)司的體系(xi)建(jian)(jian)設(she)類似于為一(yi)(yi)(yi)個(ge)人定(ding)(ding)制一(yi)(yi)(yi)套衣服,首(shou)先肯(ken)定(ding)(ding)是(shi)解決(jue)裸奔的問題(ti),而不是(shi)舒適度或者(zhe)是(shi)美觀;你得(de)清楚(chu)哪(na)些(xie)對我(wo)們公(gong)司運營是(shi)當務之急的,哪(na)些(xie)又(������you)是(shi)暫(zan)時沒必要(yao)(yao)(yao),沒有(you)預算,或者(zhe)實施(shi)不了,甚至是(shi)實施(shi)了以后影響工(gong)作(zuo)(zuo)(zuo)效率的;例如(ru)說信(xin)息安全(quan)工(gong)作(zuo)(zuo)(zuo)評(ping)審,手(shou)冊文件(jian)上說每(mei)一(yi)(yi)(yi)個(ge)月都(dou)要(yao)(yao)(yao)進行(xing)一(yi)(yi)(yi)次評(ping)審會(hui)議,高層必須參加,但是(shi)領(ling)導(dao)層如(ru)果不是(shi)專職信(xin)息安全(quan)的人員,而且(qie)又(you)不懂各種各樣(yang)(yang)的體系(xi),那(nei)(nei)么(me)與(yu)其開(kai)這種一(yi)(yi)(yi)個(ge)人說話的會(hui)議不如(ru)改成每(mei)一(yi)(yi)(yi)個(ge)月的工(gong)作(zuo)(zuo)(zuo)匯(hui)報,通過群發(fa)郵件(jian)的方式,讓(rang)(rang)大家(jia)了解進展即(ji)可;又(you)比如(ru)面對什么(me)信(xin)息安全(quan)制度體系(xi)都(dou)沒有(you)的技術部門,你一(yi)(yi)(yi)下子(zi)甩幾個(ge)三類文件(jian)規程(cheng),和幾十個(ge)日(ri)(ri)志(zhi)文件(jian)給他們,讓(rang)(rang)他們實現(xian)(xian)什么(me)日(ri)(ri)志(zhi)評(ping)審,第三方工(gong)作(zuo)(zuo)(zuo)日(ri)(ri)志(zhi)評(ping)審,并定(ding)(ding)期讓(rang)(rang)他們跟你進行(xing)工(gong)作(zuo)(zuo)(zuo)匯(hui)報,那(nei)(nei)么(me)我(wo)想別人肯(ken)定(ding)(ding)也只(zhi)能靠(kao)編撰了。工(gong)作(zuo)(zuo)(zuo)如(ru)果僅僅是(shi)這樣(yang)(yang)做,那(nei)(nei)“建(jian)(jian)設(she)”就成了空話,沒有(you)意(yi)識(shi)和規定(ding)(ding),單(dan)單(dan)靠(kao)要(yao)(yao)(yao)求是(shi)不現(xian)(xian)實的事(shi)情。
二、領導層知道你在做什么
要進行體(ti)系(xi)的建立,首先就是指定責任人與領(ling)導(dao)(dao)小(xiao)組,這些(xie)領(ling)導(dao)(dao)小(xiao)組無非是一些(xie)公司的高層,很多做信息安全體(ti)系(xi)建設(she)(she)的同事對(dui)此嗤之(zhi)以(yi)鼻,覺得他們都不懂安全,不�����������應該由他們來組織實施(shi)體(ti)系(xi)的建設(she)(she)工(gong)作(zuo);
但(dan)是,不(bu)懂安全的領導(dao)(dao)來擔任(ren)信息安全指揮家,不(bu)是更能夠讓你“為所欲為”了嗎;你也(ye)不(bu)能一個人埋頭苦干而忽視了領導(dao)(dao)層,畢竟領導(dao)(dao)們處在的位置決定了他們比(bi)你������更好調動資源。
三、根據公司的運營現狀階段實施
對一個操(cao)(cao)作進(jin)(jin)(jin)行(xing)(xing)(xing)評審的(de)(de)前提,是必須要有這(zhe)個操(cao)(cao)作,這(zhe)是毋庸置疑的(de)(de)。進(jin)(jin)(jin)行(xing)(xing)(xing)體(ti)系(xi)建(jian)設也一樣,如果說我們剛剛進(jin)(jin)(jin)行(xing)(xing)(xing)了(le)防火墻日(ri)(ri)志的(de)(de)統計和(he)收集,大(da)家還不(bu)了(le)解日(ri)(ri)志的(de)(de)內容(rong),甚(shen)至說里面充(chong)斥著(zhu)大(da)量的(de)(de)冗余無關日(ri)(ri)志,那(nei)么進(jin)(jin)(jin)行(xing)(xing)(xing)日(ri)(ri)志的(de)(de)評審就顯(xian)得沒(mei)有必要了(le),這(zhe)時(shi)候(hou)的(de)(de������)當務之(zhi)急應該(gai)是將(jiang)日(ri)(ri)志進(jin)(jin)(jin)一步(bu)進(jin)(jin)(jin)行(xing)(xing)(xing)分(fen)析,精簡,等過了(le)這(zhe)個階段,日(ri)(ri)志分(fen)析納入了(le)日(ri)(ri)常工作范疇,評審才能夠(gou)提上議程;
四、劃分部門指導工作與培訓
公司整體性提升信息安全意識要靠定期的培訓與宣傳,但是針對管理體系的培訓更應該因人而異。初到公司我也進行過培訓,讓大家了解到信息安全建設的重要性,ISO27001體系對公司會有哪些好處。但是效果并不明顯,第一是因為大家才初步了解信息安全的概念,這個時候提信息安全體系還為時過早;第二是因為每一個部門對信息安全體系的側重點并不一樣,研發部門可能會關心他們辛辛苦苦寫出的代碼,而財務�������部門卻關心的是公司的防泄密體系;這個時候,周期性的,針對部門進行培訓,并在其中穿插進體系的內容,大家就好理解。由淺到深尤為重要,比如這個月我針對財務系統給大家講解了脆弱性和威脅,那么大家對風險評估就會有一定的理解,接下來開展相應的資產識別工作就容易了很多。
五、和監管部門進行配合
信息安全工作請務必讓公司的“內控監察”部門配合,實現有法可依和制度的執行;�����特別是當初到公司,信息安全管理制度一片空白的情況下,不能每一件事都是“善意的提醒”,例如,我們可以在“內控監察”的配合下,對員工的日常行為進行了規范,(如清屏策略,密碼復雜度要求,內外網�����分離要求等),納入每一個月的績效考核中,讓每一個人心中都有一個最基礎的信息安全意識。
0
賬號登錄