【51CTO.com 綜合消息】很多企業(yè)都已經(jīng)建立了信息安全管理體系，來滿足業(yè)務需求或上層管理部門的要求，其中不乏成功案例，但大家都會面臨一個共同的問題，那就是如何將信息安全管理體系（ISMS）持續(xù)的運行下去，不斷的PDCA達到持續(xù)改進的目的，正如我們以往經(jīng)驗所說的那樣：信息安全不是一場運動，而是一個持之以恒的活動，是保證業(yè)務安全運行的管理工作，信息安全應體現(xiàn)在日常工作的每一個細節(jié)當中。

ISO27001是國際上通用的信息安全管理體系標準，我們以這個標準要求為例，來簡單解釋一下建立信息安全管理體系以及以后還需要做的工作：首先要獲得管理層的支持并確定建立信息安全管理體系的范圍，企業(yè)還需要做好各種準備和策劃工作，包括教育培訓、制定計劃、現(xiàn)狀調(diào)研，以及人力和資源方面的調(diào)配；

然后在這個范圍內(nèi)收集信息資產(chǎn)以輔助風險評估，識別出風險后選擇適用的風險處理措施并進行處理，從整體和全局的視角，從信息系統(tǒng)的所有層面進行整體安全建設，并將其文檔化，保持文件化的信息安全管理體系，作為組織實施風險控制、評價和改進信息安全管理體系、實現(xiàn)持續(xù)改進必不可少的依據(jù)。

信息安全管理體系文件編制完成以后，組織應按照文件的控制要求進行審核與批準并發(fā)布實施，在得到領導層對殘余風險的批準和對實施運行ISMS的授權，并準備適用性聲明（SoA），在體系運行一段時間后進行內(nèi)審、有效性測量和管理評審，并制定糾正預防措施，此后需要對資產(chǎn)進行不斷的更新，并不斷地進行風險評估、處理……以及其后的各種工作。

傳統(tǒng)我們都是靠管理體系本身來支撐這一系列工作的，ISMS建設的實施人員，除了要具備必要的知識技能和管理意識外，還要面臨大量具體、繁瑣和枯燥的工作，例如對信息資產(chǎn)的收集和維護過程，以及對其進行風險評估時的大量文案工作等等。如果能輔助以信息管理系統(tǒng)對風險評估過程進行管理，將是一種趨勢，現(xiàn)代企業(yè)管理中ERP已經(jīng)得到廣泛認可和應用，生產(chǎn)制造、質(zhì)量監(jiān)控、財務管理、商務管理、人力資源管理、客戶關系管理、電子商務等，已經(jīng)可以整合在一套基于網(wǎng)絡的、開發(fā)平臺統(tǒng)一的、靈活配置業(yè)務流程的信息系統(tǒng)當中，而信息安全管理體系建設與維護，同樣也可以通過類似的方式進行管理。

目前谷安天下研發(fā)的IT風險管理系統(tǒng)（ITRM）正是能夠滿足體系維護需求的一款軟件：將建立和維護ISMS的過程固化在軟件中，內(nèi)置多行業(yè)多準則知識庫，對ISMS范圍輕松管理，例如準則范圍、組織架構、資產(chǎn)清單、流程定義、業(yè)務定義等，支持安全檢查和差距分析，全面支持風險評估、體系建設、內(nèi)審、有效性測量、管理評審等一系列工作，保證這一系列工作的持續(xù)運行和不斷改進，并產(chǎn)生豐富的報表和報告。

下面就簡單談談維護信息安全管理體系過程中幾項關鍵的工作與ITRM系統(tǒng)的結合之道：

一、識別業(yè)務的變化

世界環(huán)境瞬息萬變，因此一個組織的業(yè)務隨著市場、政治、科技等方面的發(fā)展而變化是非常正常且必然的。然而我們在建立信息安全管理體系時所劃定的管理范圍是一定的，后續(xù)在體系運維過程中首先應該關注的就是業(yè)務的變化，然后才是后續(xù)其他細節(jié)的工作。在一個組織內(nèi)維護信息安全的目的就是保障業(yè)務的安全運行，因此從***意義上說業(yè)務是我們保護的對象。而業(yè)務的變化對信息安全管理體系的影響是巨大的，可能會導致安全指導方針層面的根本性變化，所以筆者把業(yè)務放在***位。

ITRM系統(tǒng)將業(yè)務作為一個控制對象進行識別和維護，正是為了滿足信息安全體系維護的基本要求： 

圖1

#p#

二、識別組織架構的變化

組織外部環(huán)境會發(fā)生變化，相應的組織內(nèi)部同樣可能根據(jù)業(yè)務的變化而發(fā)生變化，尤其是決策層的變化，可能會影響到對管理體系的支持力度等方面。

組織架構是ITRM系統(tǒng)在進行風險評估時的基礎，系統(tǒng)支持對組織架構的靈活調(diào)整，并且對后續(xù)風險評估等一系列工作都將產(chǎn)生重大影響。在ITRM系統(tǒng)中組織架構是項目范圍的因素之一。 

圖2

#p#

三、識別資產(chǎn)、技術、場所、新威脅等方面的外在變化

這些是做資產(chǎn)風險評估的基礎，也是標準中所要求的。資產(chǎn)清單需要保證一定的實時性和準確性，這可能需要一定的工作量，通常大家都是使用文檔（Excel格式）對資產(chǎn)清單進行管理，一開始收集資產(chǎn)時，這種方式是非常方便的，但在日后更新時會顯得比較麻煩。

ITRM系統(tǒng)在對資產(chǎn)進行維護時，支持大批量導入和分權限管理，用戶可以將收集到的資產(chǎn)一次性的導入到系統(tǒng)中，此后在系統(tǒng)中進行維護，無論是添加、修改、刪除，系統(tǒng)都能夠維護著一份準確穩(wěn)定的當前版本的資產(chǎn)清單，同時用戶還能夠查看歷史資產(chǎn)的內(nèi)容；而分權限管理資產(chǎn)，可以將資產(chǎn)管理下放到部門，由部門管理員對本部門的資產(chǎn)進行維護，本部門只能對自己部門的資產(chǎn)及風險進行維護，對其他部門的資產(chǎn)和風險則無權查看。這大大簡化了組織級安全管理員的工作，并能夠?qū)L險管理的思想落實到每個部門當中，同時簡化了資產(chǎn)變更的上報流程，部門管理員將變更的資產(chǎn)及時的更新到系統(tǒng)中，組織級管理員隨時可以進行檢查和更正，因此組織的風險狀態(tài)可以隨時保持***，使組織能夠迅速準確的對風險進行響應和處理。 

圖3

#p#

四、風險評估和處理

在建立完信息安全管理體系以后，要根據(jù)組織規(guī)定定期重新進行風險評估和處理，當然此項工作的基礎是前面提到的幾項工作都已經(jīng)完成，而風險評估的方法在其后往往不會發(fā)生太大的變化，安全專員在做過一次風險評估后就能掌握風險評估的方法，其后大多是維護風險清單的工作。對風險的處理可能會隨著環(huán)境的變化以及技術的發(fā)展不斷更新，所以安全專員還需要不斷學習來提高自己的業(yè)務能力。

ITRM系統(tǒng)核心功能之一就是風險評估模塊，系統(tǒng)中固化了風險評估方法論和具體工作流程，同時還針對不同行業(yè)，把谷安天下多年來積累的咨詢經(jīng)驗匯總成風險推薦放在知識庫中，用戶可以選擇自己行業(yè)的知識庫，在錄入完資產(chǎn)后就能夠看到針對本行業(yè)最容易出現(xiàn)的風險，用戶站在巨人的肩膀上再進行風險評估將會有更好的準確性和效率。 

圖4

圖5

#p#

五、內(nèi)審及其他安全檢查

完備的檢查機制是保證體系正常高效運行的手段，通常組織會根據(jù)自身情況制定管理規(guī)定，規(guī)范檢查機制和內(nèi)審機制。在體系運維過程中，檢查是非常重要的一項工作，要在保證業(yè)務正常運行的條件下，高效、全面、客觀地檢查組織內(nèi)部在執(zhí)行過程中的真實情況，以便制定糾正和預防措施，并對管理體系進行必要的改進。另外內(nèi)審和安全檢查的過程本身也是非常值得探討的，如何準確的找到問題點，如何對不符合項進行跟蹤改進，改進效果如何等等，不但需要大量的文檔工作，也需要不斷跟進科技時代的步伐，了解當前***的技術。

ITRM系統(tǒng)內(nèi)置了內(nèi)審流程和安全檢查功能，能夠為內(nèi)部審核與安全檢查工作提供輔助與記錄。 

圖1

#p#

六、有效性測量

每當提到ISMS的有效性測量時，大家都會感覺有些茫然或力不從心，但有句話叫做“你不能改進你不能測量的東西”，這充分說明了有效性測量的重要性，因為有效性測量能夠?qū)π畔踩芾砟繕诉M行考核，是ISMS持續(xù)改進的重要依據(jù)，也是對信息安全管理工作的績效考核，同時滿足符合性的要求。而且有效性測量體系需要融入到ISMS體系的PDCA過程中，首先有效性測量的目標要與ISMS的Plan階段制定的目標吻合，并收集豐富的資料信息；在ISMS的Do運作階段要針對有效性測量體系進行詳細設計，對有效性測量的需求進行分析，分解測量指標，制定測量指標采集方案，收集指標并進行記錄；在ISMS的check階段，根據(jù)有效性測量的結果對ISMS進行評價，另外也需要對有效性測量體系本身進行評價；在ISMS的Act改進階段，對ISMS及測量指標體系分別進行改進，使之更好地為ISMS服務。   ITRM系統(tǒng)支持對ISMS體系的有效性測量工作，將有效性測量的目標、年度計劃、測量指標、測量計劃、測量結果等過程固化在系統(tǒng)中，并在知識庫中預設了常見的有效性測量指標。

七、管理評審

定期對ISMS進行管理評審，以確保ISMS范圍保持充分，ISMS過程的改進得到識別。

ITRM系統(tǒng)內(nèi)置了管理評審的工作流程，能夠?qū)芾碓u審工作提供輔助與記錄。

八、糾正預防，持續(xù)改進

糾正措施是要消除與ISMS要求不符合的原因，并防止再次發(fā)生；預防措施是確定措施消除潛在的不符合的原因，防止其發(fā)生。而持續(xù)改進則是通過使用信息安全方針、安全目標、審核結果、監(jiān)視事件的分析、糾正和預防措施以及管理評審等方式，持續(xù)改進ISMS的有效性。

ITRM系統(tǒng)內(nèi)置了糾正預防措施的工作流程，能夠?qū)m正預防工作提供輔助與記錄，這也是保證體系持續(xù)改進的方法之一。

以上這八項活動只是維護信息安全管理體系中比較重要的幾項必須要做的工作，而且是不斷循環(huán)往復的，如果能得到谷安天下ITRM系統(tǒng)的支撐，將會極大的減輕工作量，提高工作效率和準確性。當然這是這只是對體系進行維護的手段之一，今后我們還將探討更多的體系維護經(jīng)驗和手段，來保證信息的真正安全。