一、引言
自从2003年国家出台第一部信息安全纲领性文件(中办发[2003]27号文——《关于加强信息安全保障工作的意见》)以来,我国的“信息安全”工作就红红火火地开展起来。以中国信息安全产品测评认证中心为代表的认证机构为近千家信息安全企业和个人颁发了信息安全产品认证资格证书、信息系统安全认证证书、信息安全服务资质认证证书以及信息安全专业人员资格证书,从而打开了我国信息安全务实推进的新局面。国信办应时成立了风险评估课题组,联合公安、保密、解放军、中科院等部门及科研院所开展信息安全风险评估的研究与实践工作。经过两年多的试点,取得了一定的成绩,积累了一些应对信息安全风险的经验。在此基础上,国家信息中心组织十几个单位起草了《信息安全风险评估指南》和《信息安全风险管理指南》的标准初稿,以此规范信息安全风险评估的管理和流程,使其更趋科学、规范和有效,从而促进我国信息安全保障体系的建立,推动国家信息化建设的进程。国内数十家信息安全服务厂商近两年都加大了信息系统咨询服务的成本投入,尽管如此,仍然不能满足社会各界的需求。尤其是政府、金融、电信、银行、保险、保密等一些安全要求较高的企业,更是长期保持着旺盛的信息安全服务需求。
与此同时,信息安全的管理工作也越来越受到人们的重视。大家在经过不断地对信息安全相关标准(如BS 7799、ISO 15408、COBIT、ISO/IEC 13335)的应用和实践之后,发现技术并不是万能的。许许多多的信息安全事故不是单纯依靠技术手段就能够避免的,必须辅以相应的管理手段和制度,提高安全意识,明确岗位职责,加强培训力度,规范操作行为,才能够最大限度地保障信息的安全。
经过全球5000多家政府机构和知名企业组织的实践,目前认可程度较高的、认证流程较完善的当属英国标准化组织颁发的信息安全管理体系实施规则和管理规范。我国目前已经有十余家企业依据BS7799-2:2002《信息安全管理体系-规范》建立了信息安全管理体系(ISMS)并通过了相关组织的认证。
信息产业部软件与集成电路促进中心(CSIP)于2004年开始着手建立ISMS 。经过一年多的努力,CSIP终于顺利地通过了ISMS认证。
在一年多的ISMS建立与寻求认证过程中,我们有一些体会,积累了一些经验,愿与各位同行交流,共同做好信息安全管理体系的工作。
二、建立ISMS的关键
ISMS类似于质量管理体系(QMS),其建立、实施和运作模式同样遵循PDCA循环。不同的是,ISMS更关注信息安全风险评估、安全设计与实施、安全管理与再评价、业务持续性计划等密切关系到信息安全的方方面面。
1. 调研与可行性分析
CSIP抓住国家深化信息安全工作的契机,对国内的信息安全现状作了调查和分析,对国家的认证认可政策和领域做了详细的研究和探讨,对有资格实施信息安全管理体系认证的机构作了对比和评价,对本组织的业务性质及客户群体进行定位和确认。在客观事实与主观意愿相结合的情况下,作出了依据BS7799-2:2002建立并实施信息安全管理体系的决定。
2. 准备与策划
为了实现建立ISMS并通过认证的目标,CSIP成立了ISMS领导小组和工作小组,CSIP负责人亲自担任领导小组组长并兼任ISMS管理者代表,各部门负责人任小组成员,体系部门结合公司的实际状况制定ISMS认证计划和进度安排。
此阶段的关键是信息安全组织架构的保障和总体策划。合理的组织架构将有利于ISMS的建立和运行,总体计划和进度的安排适当将有利于目标的实现。
3. 深入学习信息安全管理体系认证相关的标准
为了了解员工对信息安全的知晓程度,CSIP做了一次深入的员工调查,从反馈回来的调查信息,不难看出,员工对信息安全有一定的了解,但几乎没有人接触过BS7799标准,更不知道ISMS是怎么一回事。针对这种情况,我们邀请了外部资深信息安全专家为全体员工讲述信息安全基础知识、信息安全标准、信息安全管理体系、风险评估以及体系运行相关的内审和管理评审等必备知识,培训结束还进行了书面考试。此举普遍提高了全体员工的信息安全知识水平,同时发现了信息安全管理体系的骨干力量。
4. 组建名副其实的内审员队伍
结合标准知识的考试情况以及员工在接受标准培训时的现场表现,我们挑选出十余名骨干员工将其培养成ISMS内审员。在体系部门的组织和指导下,这些内审员同时肩负着建立体系文件和审核体系运行效果的双重责任。通过多次现场内审实践,不断发现问题并积极改进工作,收到了良好的运行效果。
三、有效运行体系的关键
1. 各级领导的高度重视
体系是否正常运行的一个标志就是组织的各项业务的开展是否能够严格遵循ISMS的规定执行,而遵循体系的规定是以改变许多以前熟悉的工作习惯为代价的。在此改变过程中,势必会影响到工作的效率。我们在多次的内审中发现,凡是部门负责人对体系的重视程度高的,这个部门的体系运行效果就比较好。同样的道理,一个组织想通过建立ISMS增强各种信息的安全性,降低各种业务风险,实现可持续的发展,组织的高层领导就必须狠抓各种规章制度的执行力度。这样才能避免制定的信息安全规范形同虚设。
2. 畅通的沟通和交流机制
体系运行过程中暴露出来的问题是随机的,因此需要随时与各方面沟通,了解实际情况,分析问题发生的原因,及时采取必要的措施防止问题进一步扩大。CSIP设置了良好的沟通机制,体系主管每周第一个在工作例会发言,汇报体系的运行状况,特别是安全隐患。对于改进难度较大的问题,当场在例会上商议并由组织的最高管理者确定主责部门,体系部门负责跟踪主责部门的任务完成情况,并负责协调各部门之间的关系。
各部门在体系运行过程中无论发现什么问题,或者有什么疑难,都可以直接找体系主管反映或咨询,体系主管有责任帮助提出解决方案并提供各种便利条件。
3. 奖惩严明
为了减少信息安全事故的发生频率,我们在不断为员工提供各种培训以增强信息安全意识的基础之上,辅以奖惩措施。对自觉遵守各种规章制度并能够积极主动为体系建设献计献策的员工予以奖励;对于违反信息安全制度、造成较严重后果的员工,按照事故的性质和影响程度,处以不同程度的惩罚。
四、顺利通过认证的关键
1. 保留各种体系有效运行的证据。如内审计划、内审报告、不合格报告、内审现场原始记录;管理评审计划、管理评审输入、管理评审报告;信息安全事件报告及处置记录;各种培训申请、培训计划、培训签到、培训讲义、考核记录、培训总结;业务持续性计划;信息安全事故的奖惩记录等等。
2. 创造和谐的现场审核的氛围。由于认证机构的审核员对接受审核组织的业务不是很了解,而组织内部的员工对标准、体系、审核等专业用语不太熟悉,往往会造成双方交流的困难。为了预防因交流障碍造成误解,我们审核之前对全员做了培训,要求大家在坚持原则的同时,尊重审核员;在精通业务的同时,温习信息安全的相关知识。为了确保审核的顺利进行,取证的准确完整,我们为每一个现场审核小组配置了一个熟悉组织各项业务的陪同人员。陪同人员一方面见证审核的全过程,另一方面负责帮助审核员联系最适当的接受审核的人员。这样减少了双方的误会,提高了审核的效率。
五、结束语
认证通过只完成了整个体系持续有效运行的40%,大量的工作还在于如何真正做到体系的持续改进,如何保证认证资格的持续有效。
2005年10月,英国信息安全标准BS7799-2:2002《信息安全管理体系-规范》已经上升为国际标准ISO 27001。这意味着信息安全管理体系越来越受到世界各国的重视和认可,我国“信息安全热”也已经从政府、各部委、各科研院所等部门渗透到各企、事业单位,信息安全从业人员队伍迅速扩大。在国际信息安全日趋变热的大环境下,相信在不远的将来,我国也将迎来信息安全建设的高潮。
