【51CTO.com 綜合消息】各行業(yè)許多企業(yè)都根據業(yè)務所需選擇不同的國際、國內標準搭建了信息安全管理體系（ISMS），無論是基于國際信息安全標準ISO27000，還是基于國家標準國家等級保護測評準則的要求，信息安全管理體系（ISMS）的建立并不是一蹴而就的。在建立信息安全管理體系（ISMS）過程中企業(yè)會投入很多資源進行資產收集、風險評估、采取種種控制措施降低風險、且制定相關的管理制度規(guī)范以降低企業(yè)風險，提升員工信息安全意識，從而達到提升企業(yè)整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實處，而不僅僅停留在一年一到兩次的風險評估、突擊性的控制措施實施和一套看似完備的信息安全管理制度，這可能是許多信息安全管理體系管理者經常思考且關注的話題。就此話題，我想簡單總結一下在這方面的經驗，希望籍此能啟發(fā)您的更多靈感。

通知公告

通過信息安全相關公告通知發(fā)放的方式，在企業(yè)中滲透信息安全各方面的信息和知識，逐漸形成信息安全無處不在的工作氛圍，提升全員信息安全意識。信息安全公告的內容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布；企業(yè)內部信息安全相關要求的發(fā)布；近期信息安全相關新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據企業(yè)自身情況而定，通過企業(yè)內部使用的公共信息發(fā)布平臺、電子郵件、電子期刊等形式均可。

帳號管理

建議企業(yè)對各類帳號進行嚴格管理，包括基本帳號（員工入職后默認都需開通的帳號，例如郵箱帳號，OA帳號，所在部門的公共文件夾等）、工作所需的各類應用系統(tǒng)帳號（通常根據崗位職責所需開通的帳號）、特殊權限的帳號（例如應用系統(tǒng)管理員的帳號，數據庫管理員的帳號，域管理員的帳號等），VPN等特殊應用的帳號。從管理角度，不同類別的帳號申請需要不同級別的管理人員授權，一方面企業(yè)需清晰識別各類賬號并定義申請流程和授權方式；同時也需要保留必要的申請記錄以便查證，及測量體系實施的有效性。從使用角度，需要加強對員工的培訓并制定必要的規(guī)范（例如不允許帳號共享，密碼定期修改等策略），以確保帳號不被濫用誤用，從而降低信息安全事件的發(fā)生。

人員安全

員工作為企業(yè)信息使用和傳遞的重要載體，員工變動可能會給企業(yè)的信息安全帶來很大影響。在員工發(fā)生變動，即員工入職、轉崗和離職幾個關鍵點進行控制，可大大降低其對企業(yè)信息安全的影響。因此在入職前，許多企業(yè)會對關鍵崗位的員工進行背景調查并形成記錄，簽訂保密協(xié)議等；發(fā)生內部職責變動時，要求員工填寫工作交接單，刪除其原有崗位賬號等措；離職時，要求員工填寫離職交接單，清理數據，歸還物品。同樣，在這些關鍵點，企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。

設備安全

通常企業(yè)在資產管理方面相對完善，但對設備自身的信息安全管理相對弱很多，IT設備承載大量的企業(yè)信息數據，在維護過程中無論是對設備自身進行的更換、更新，還是對其承造的系統(tǒng)、應用和數據進行的配置調整、結構調整等變更均有可能對其中的信息數據造成不利影響，甚至有可能導致應用不能使用影響到企業(yè)的正常業(yè)務操作。因為對IT設備變更進行控制是至關重要的，在實施變更前，須根據變更的緊急程度和可能帶來的影響程度進行變更分類和風險評估，制定詳細的變更計劃并得到相應級別的授權；變更實施后須對變更結果進行記錄且進行回顧，以確保變更實施的成功和經驗總結，具體實施方法可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準。

軟件安全

自主研發(fā)軟件的專利及外購軟件的許可證管理均已成為企業(yè)不得不重視的問題，一旦疏忽就有可能給企業(yè)帶來很大的經濟和名譽損失。通過信息安全管理體系的建設，許多企業(yè)要求軟件許可證也作為固定資產由專門部門管理，使用須進行登記，采購須申請，到期須提醒。人員變動、業(yè)務變動都有可能導致軟件的變更，因此對軟件許可證的管理并不是采購后進行登記一勞永逸的事情，在日常工作中需要保證一旦發(fā)生變化即更新許可證信息，且提前做好許可證過期的準備工作。

數據安全

數據對于企業(yè)是至關重要的，對其進行的安全管理措施更需加大力度。對存儲數據的移動介質要做到登記并限制使用人群；對于大批量的數據清楚需要經授權才可執(zhí)行；同時數據備份須落實到位，從業(yè)務角度識別數據備份需求，清晰定義數據備份策略（包括備份方式頻率等），的；數據備份需要進行記錄，并定期進行恢復性測試保留記錄，從而降低數據損失的風險。

物理安全

大多數企業(yè)都設立了門衛(wèi)、保安、前臺等崗位，通過信息安全管理體系的建立，也采用了訪客登記，應用門禁系統(tǒng)等措施，對于敏感區(qū)域（例如財務、機房、研發(fā)中心等）進行了隔離或更高權限的物理訪問控制。但訪客登記進入后是否可以到處參觀，是否有專人陪同并登記，進入和離開的時間是否進行了記錄，必要時是否提交參觀申請得到授權；員工門禁卡和鑰匙的領取是否進行了登記，敏感區(qū)的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點。

安全檢查

安全檢查與年度或半年度的內審并不同，審核通常會基于行業(yè)要求、標準規(guī)定和內部規(guī)范進行能夠檢查，安全檢查目的是排查各方面的安全隱患，降低安全事件發(fā)生的風險，可以是隨機，也可是定期的。每次檢查結果可保存，可作為日后改進和信息安全管理體系（ISMS）有效性測量的依據。

安全事件

信息安全事件一旦發(fā)生，就須快速響應妥善處理，否則可能會給企業(yè)帶來更大損失。首先，企業(yè)須清晰定義什么是信息安全事件，使大家對信息安全事件形成相同的認識；第二，可根據信息安全事件的嚴重程度進行分級，定義不同級別的事件匯報途徑、升級時間和處理要求；且在整個公司公布相關要求，做到發(fā)生安全事件即報告記錄并快速響應處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務管理的最佳實踐和國際標準的事件管理章節(jié)。

安全培訓

安全培訓也是一項應持續(xù)的長期活動，安全培訓可針對不同對象分成不同的培訓，可以定期組織面向管理層的信息安全標準、法律法規(guī)解讀的管理培訓；面向全員的信息安全意識普及性培訓；針對IT相關技術人員的信息安全技術知識的專業(yè)培訓；面向信息安全運維和管理人員提供的信息安全相關資質認證培訓（CISSP、CISP、ISO27001主任審核員等）。建議企業(yè)對培訓過程、結果進行記錄，可作為信息安全體系建設的記錄和有效性測量的依據。（谷安天下?lián)碛袛得麑I(yè)資深的信息安全培訓講師和顧問，可為您提供定制化的各種信息安全培訓。）

由此可看出，信息安全管理體系的落地貌似簡單，并非易事，貴在堅持，以上工作均需長期執(zhí)行，才可起到效果，逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個角落中形成安全的工作環(huán)境。

從上文中可看出，基本每塊內容都提及了記錄保留相關信息等字眼，對這些長期工作的記錄保留目前各個企業(yè)采取不同的形式，有的領域采用紙張記錄，有些領域利用公司的一些操作平臺進行記錄（例如OA、IT服務管理系統(tǒng)等），目前市面上協(xié)助信息安全管理體系落地的工具很稀缺，谷安天下數名信息安全領域的資深顧問共同總結多年信息安全管理方面經驗結合各行業(yè)特點，開發(fā)了協(xié)助各行業(yè)企業(yè)建立并維護信息安全管理體系的一套工具（如下圖所示），涵蓋了上文提及到的各個領域的安全運營管理。管理＋工具的使用協(xié)助您將信息安全管理體系在貴企業(yè)中落地實施并持續(xù)改進。

圖1

【編輯推薦】

1. 信息安全管理體系在保險行業(yè)的實踐
2. 信息安全管理體系在基金公司的實踐