安全管理 | 淺談資訊保安管理體系建設

資訊保安管理體系（ISMS)是組織在整體或特定範圍內建立的資訊保安方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程式、過程和資源的集合。  

雖談不上”一個人的安全部門”，但是“唯一”的安全管理崗在資訊保安管理體系所承擔的職責完全不亞於那些孤軍奮戰的“一個人的安全部門”，縱然知道前路漫漫遍地荊棘，也要摸爬滾打著前進，頗有“天將降大任於斯人也……”的既視感，給那些奮戰前線的安全管理先驅者致以最崇高的敬意。

公司只有在達到一定的規模後，才會存在“安全管理崗”這個坑位。很多小型公司普遍還是“一個人的安全部門”，附屬於運維部門底下，一個人身兼安全運維、安全管理、應用安全（程式碼審計、滲透測試）、安全開發，甚至還需要去承擔部分運維的職責。對於規模稍微大一點，對資訊保安比較重視的、較有前瞻性的企業，亦或是合規性要求比較嚴格的企業，方才會設定專門的安全管理崗，甚至是成立獨立的安全部門。本人就自己的專業範疇，工作職責淺談安全管理崗。

常說“三分靠技術，七分靠管理”，不去深究技術與管理具體的比例是否準確，但至少我們需要形成一個共識——資訊保安問題不能單單僅僅作為技術問題來處理，安全管理的作用無可厚非。

作為承擔安全管理責任的安全管理崗，核心工作是建立、實施、保持和持續改進資訊保安管理體系。透過合理的組織體系、規章制度和管控措施，把具有資訊保安保障功能的軟硬體設施和管理以及使用資訊的人整合在一起，以此確保整個組織達到預定程度的資訊保安。

不同企業對於資訊保安管理體系的建設需求也不甚相同：

1. 可能是從無到有，從0到1建立資訊保安管理體系；

2. 可能企業已有“資訊保安管理體系”，但僅僅是冷冰冰的制度規範，就躺在管理者的電腦之中，直至面對監管機構檢查才開始發揮作用，未發揮該有的約束力、管控力；

3. 可能企業已有資訊保安管理體系，但是實時性無法滿足企業日益變化的安全需求，待進一步最佳化改進；

4. ……

體系建設之初，我相信大家的初衷都是抱著建立建成可落地的資訊保安管理體系。但我們都清楚，沒有絕對的安全，也沒有絕對的可落地。ISO27001也沒有定義所謂的絕對安全可落地的資訊保安管理體系，它推崇的是PDCA過程模式，保證管理體系持續改進的有效模式。PDCA迴圈將一個過程抽象為策劃、實施、檢查、措施四個階段，四個階段為一個迴圈，透過持續的迴圈，使資訊保安管理持續改進。

資訊保安管理體系的有效落地程度很大程度上決定了資訊保安管理水平。如何建立相對可落地的資訊保安管理體系，是貫穿安全管理崗工作的核心問題。關於這個問題，是本人在整個體系建設過程中一直思考反思的問題，本人還在探索摸索的路上，無法給出完整精準的答案。但基於個人在整個體系建設過程中所思所感所想，總結了若干點。

一、來自高層的明確支援，以及相關資源的保障

在一個組織內建設資訊保安管理體系必須得到高層管理人員的承諾與支援！為何？

1. 從上之下高效推動

我相信絕大多數安全管理崗都有著相同的經歷與感受：我們竭力去推廣某個流程規範，期望能在某些方面上從流程規範上改善企業的資訊保安問題，但是我們同各個部門溝透過程中卻四處碰壁。其他部門不一定願意採納流程規範，或是出於工作效率的考慮，或是出於對新事情的排斥。往更直白的說，每個部門都有各自部門的KPI，對於資訊保安部門而言，資訊保安管理體系的建設落地確實是一項重要的KPI考核指標，但是對於業務部門，他們更看重的可能更多地是業務穩定執行，而資訊保安管理體系只是輔助業務安全穩定執行的工具。如果高層管理人員能夠出面處理跨部門之間的協調問題，相應的安全方針政策、控制措施方可在組織的上上下下得到更有效的貫徹，體系建設會事半功倍。也正好體現了ISO27001中所提倡的“領導力”的概念，資訊保安需要從上至下推動，需要從上而下全員參與。

2. 有效的資源保證

另外一個層面，引用一句俗語“巧婦難為無米之炊”，資訊保安管理體系建設過程中，可能會涉及到外部諮詢機構、測評機構的引入，可能會涉及安全裝置的採購……錢！錢！錢！是任何專案開展的基礎，需要領導層在實施有效安全過程的必要的資金支援。

我們確實見過有些企業可能不聘請任何外部第三方的諮詢機構，內部人員自行建設資訊保安管理體系；

我們也見過有些企業不購買實施有效安全過程所必要的安全裝置（防病毒軟體、WAF……），內部人員自行開發或基於開源軟體二次開發以滿足安全需求；

以上做法可行嗎？只要企業內部的人力資源能夠滿足現有需求，當然可行！歸根到底，人力資源的投入與資金的投入的平衡，才是最可行的方案！

但人力資源的投入也好，專案裝置資金採購也罷，都離不開領導層的高度支援。

二、適合自己的，才是最好的

為什麼要建立資訊保安管理體系？企業面臨哪些問題和風險？企業現在處於什麼安全管理水平？每個企業資訊保安工作的出發點和關注點不同，後續安全工作的重點自然也不同。我們確實見識過很大大型企業擁有完善的安全管理體系，處於行業的前沿，引領著安全的發展趨勢，但出自以上公司的管理體系不一定適用於自己的公司，我們可以參考他們的管理模式，在我們內部做一定的調整適用，但卻無法完全效仿大公司的管理模式，去照搬，去複製。管理50人與管理5000人適用不同的管理方式。或許既然都有能力有效管理5000人，那確實也能去管理50人。但是某種程度上，殺雞焉用牛刀？ 如果一個安全要求不是很高的企業，效仿具備極其嚴格安全要求的公司，釋出各種安全制度政策，上各種安全流程控制，做各種安全審計和檢查，理論上確實安全了，但搞得民怨沸騰，往往效果也不好。投入與產出是亙古不變的話題，是安全管理崗需要去衡量的。安全終究是為業務服務的，資訊保安管理體系必須從業務目標出發，反映業務的安全需求。只要能夠滿足業務的安全需求，哪怕管控程度不如其他行業，也是一套好的管理體系。適合自己的，才是最好的！

* 本文轉載自"FreeBuf.COM" 原文作者：oumeixi2