ISO27001在日企外包行业的实践探讨（1）

foreverlion0725

ISO27001在日企外包行业的实践探讨（1）

《ISO27001:2005信息安全管理体系规范》国际标准发布之后，ISO27001成为炙手可热的企业信息安全管理体系建设蓝本，各行各业，特别是外包行业，开始广泛参照该标准并结合企业的实际情况，对信息安全活动进行全面的管理，期望提升安全管理水平。但是现实与理想总是存在差距，尽管可以用ISO27001指导各行各业的安全管理活动，但是并不是包治百病的良药，比如制度难以落实，控制失效等等。是洋标准水土不服还是“病人”身子板太差？作为信息安全咨询顾问，本人有幸主导实施了多个软件外包公司的ISMS（信息安全管理体系）建设项目并跟踪了ISMS在企业的推进情况，颇有感受，在此与大家探讨。
1.        ISMS如何结合企业环境
企业按照ISO27001建立组织的信息安全管理体系时，要么聘请外部咨询顾问，要么让企业内部有体系建设经验的专业人士实施，当项目完成之后，企业的安全管理框架基本建立，但是在体系运行过程当中还存在种种问题，主要表现如下：
1)        安全制度难以落实执行；
2)        推行过程困难重重，很多活动留与形式；
ISMS（信息安全管理体系）运行成果的好坏，诚然，由两个方面所决定，一方面是ISMS搭建者的能力，另一方面是企业的内部环境。从PDCA的思路来看的话，归根到底还是取决与企业的内部环境。人们常说要量体裁衣，建设有效的ISMS必须考虑企业的实际情况。那么建设ISMS时，需要考虑哪些企业环境信息呢？
1)        企业组织架构，包括决策，权利分配，责任分工；
曾经碰到这么一个客户，他们的ISMS建设由质量管理部门来主导实施，但是质量管理部门由开发本部直接领导。试想一下，下级部门督促监督上级部门做某项“费力”的工作，在这么一个环境中推行安全改进其困难何其大。
2)        全体员工的安全意识水平
员工的信息安全意识简单说是能够对可能发生的安全事件保持一定的警惕心；发散开来可以理解为以下几个层次：就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施；
3)        企业文化
企业环境的因素中非常重要的是企业文化，企业文化主导了员工行为方式和企业对外形象，或规范、或随意等等。在华日企外包企业应该说传承了日本企业的基本的文化特点，体现在：
1)        看重企业诚信，诚信可以成为企业成败的关键
在日本，企业如果发生信息泄露等信息安全事件，按规定是要主动向有关政府部门报告的，如果隐瞒不报一旦被发现将会严重影响公司信用，后果是十分严重的。不二家这个创立于1910年的西点食品连锁企业，就是因为隐瞒使用过期原料进行生产的事实被曝光而发生严重的信用危机，砸了自己的百年老字号，现在超市已经看不到不二家的东西了。
2)        企业非常重视信息安全
从ISMS International User Group对全球通过ISO27001认证的企业数目上可以看出，日本到当前为止已有2800家企业，占全球通过企业数的50％以上。参看来自下表。由此可见日本企业对信息安全的重视；另外，在05年4月生效的《个人信息保护法》是日本保护个人信息安全的根本法律，企业从各种方面加强了对个人信息的保护。在华日企外包公司主要为日本提供外包服务，客户如此重视信息安全，外包企业不跟上行吗？

Number of certificate per country (来自ISMS International User Group)

那么建设ISMS（信息安全管理体系）时如何考虑环境因素并最终把安全体系嵌入企业环境中呢？
1)        建立合理的信息安全组织架构
合理的信息安全组织架构应该包含三个层次，决策层、管理层和执行层；从角色上来讲可以分为普通员工、信息安全专业人员、安全审核员；信息安全是“一把手”工程，由企业的总经理直接挂帅领导。
2)        建立全员信息安全教育和培训制度
一方面按照企业人员级别以及业务性质的不同，对不同人员实施不同侧重内容的培训，关注不同级别人员对信息安全的关注点；另一方面，实现员工在企业整个就业期间，实施不间断的持续培训，从员工入职到最后离开企业。当然，在安全教育和培训方面，不必拘泥与形式，除了正常的集中人员面对面的培训之外，还可以采取网络教程，flash动画、张贴墙报、定期发送电子报、开展信息安全知识竞赛等等。通过多方式，全方位的宣传和教育，把信息安全融入到企业文化当中。
3)        让员工承诺负责
让员工咨询阅读与其业务相关的安全策略，让员工承诺遵守公司的安全制度并签字；