ISO27001在日企外包行业的实践探讨（3）

foreverlion0725

ISO27001在日企外包行业的实践探讨（3）

4.   管理层如何体现对ISMS（信息安全管理体系）支持
管理层的明确有力支持对推动企业ISMS的有效运作发挥极其重要的作用。所谓兵熊熊一个，将熊熊一窝；如果公司高层在ISMS中无所作为的话，那整个企业的ISMS就是徒有空壳，无血无肉，谈何有效运行呢？至于如何获得管理层对信息安全的认可，需要向管理层推销安全，这是一个非常有趣的话题，已超出本文的范围，在此就不多说拉。
ISMS在企业应“自上而下”推行，高层管理在公司以下活动中向全体员工传递积极信号：
1)        投入足够的人员和资金支持ISMS过程改进，建立过程改进组织机构，并充分授权；根据实际情况，投入专职人员进行过程改进；向各部门传达过程改进的信息和得到各部门主管对过程改进支持的承诺。
2)        对参与过程改进人员投入ISMS改进的工作量和本职工作的平衡的支持。
3)        对绩效考核与ISMS过程改进结果挂钩的支持，对项目成功后人员的奖励
4)        在ISMS过程改进期间，对过程改进活动的持续关注，可通过公司例会上对过程改进活动的讨论，或者不定期对ISMS过程改进的状态进行评审。
5)        当过程改进取得阶段性成功时，表达对过程改进参与人员的感谢和鼓励，并在全员面前宣布成功和并进行鼓励。
5.  ISMS如何做过程改进
ISMS（信息安全管理体系）的过程改问题进不仅仅在日企外包行业，可以说几乎所有行业所有的过程改进都存在相关问题。ISMS的过程方法强调需要理解企业的信息安全需求，以此建立企业的信息安全策略和目标，接下来要去实施和运用安全控制把企业安全风险降低到一个可以接受的水平，并且不断监视和审查以及回顾安全控制的有效性以及执行的符合性，对照之前的安全目标，发现问题，明确差距，不断改进提高。每个环节都有输入和输出，下个环节的输入就是上个环节的输出。ISO27001标准采纳了PDCA的过程方法；PDCA的特点是：
1)        顺序进行，周而复始：解决了一部分问题，可能还有问题没有解决，或者又出现了新的问题，再进行下一个PDCA循环。
2)        大循环套小循环：组织中的每个部分，甚至个人，均有一个PDCA循环，大环套小环，一层层地解决问题。
3)        阶梯式上升：每经过一次PDCA循环，都要进行总结，巩固成绩，改进不足，并提出新的目标，再进行下一次PDCA循环。

目前在企业的ISMS的过程改进中，无论是企业内专业人士还是咨询顾问，大家普遍认为比较难，之所以难，归纳原因，大致有三：
1)        过程改进首先意味改变。
对于外包软件开发项目，除了软件开发过程本身的改进任务之外，还增加了在安全的环境中开发出安全的软件的新的过程改进要求，这无疑加大了改进的难度，增加了开发人员的抵制情绪。比如以前可以随时访问Internet，以查阅相关资料获取信息，而现在由于保密性的要求而限制访问Internet。
2)        过程改进是一项额外的工作，重要但不紧急。
按照ISMS的要求，一个新的软件项目立项之后，势必将产生各种各样的数据和文档，需要依赖相关的信息系统，而这些数据文件以及系统就是企业需要保护的信息资产。这些信息资产要纳入风险管理的范围，资产识别、分类分级、弱点和威胁的识别和评价等等随之而来。人们往往会忽略那些重要的但是不紧急的工作，因此这项目工作常常被推迟甚至被取消；
3)        过程改进部门与业务部门沟通存在问题
在业务部门的眼中，信息安全是可有可无的东西，甚至被认为是业务的绊脚石，太多的安全控制降低了他们的工作效率，因此想法设法来阻碍信息安全过程的改进，甚至歪曲现有的安全控制效果；
已知病症，对症下药即可：
1)        改变先从一个项目入手，建立成功的典范，然后再推广。
一来通过试点可以积累经验，面对的阻力较小，二来有了成功的典范之后可以给其他项目以信心，项目组找不到更好的理由来拒绝改变；大家都知道，中国移动在推出新业务时，先在某个省试点，成功之后然后在全国推广。其实这应该是典型的做法。企业的信息安全有很多工作要做，所谓欲速则不达，对于从业人员来，不要尝试把整个海洋煮沸。
2)        把过程改进中的任务加入到项目计划当中，
信息安全工作成为项目中不可或缺的一部分，这样的话，信息安全不再是额外的工作，而是分内的工作。项目组除了完成之前的开发任务之外，还有过程改进的目标。改进目标的设定应该在企业信息安全整体目标的指导下，且是符合企业实际需要的，可以采取平均代码重大安全漏洞数，项目组信息安全事故次数等等来衡量。
3)        过程改进本身也是一项重要的管理工作
信息安全的效果是通过业务部门的参与得以体现，改进的信息安全过程能够增加公司核心业务和产品的附加值(客户更加信任)，让业务部门从安全改进中尝到了甜头，才能更积极的参与到改进中来。
过程改进需要全体员工的参与，上到管理层，下到普通的工程师。上文我们提到，过程改进就是过程改变，员工的参与也就是要改变之前的做事方法。人们为什么要做出改变呢，只有让人看到好处，让参与的各个级别的人员能够满足其诉求。因此，信息安全经理要仔细分析他们的关注点。在信息安全改进过程中，在企业内部，安全经理需要与三个方面的人员做好沟通：高层管理者，中层业务经理，工程师。高层管理者关注信息安全对于企业长期的重要性，一般在各种场合都会表示对信息安全工作的支持。而中层业务经理则要关注多项指标，项目进度和质量、人员技能提升等等，信息安全只是其中指标之一，而他们需要在多项指标中寻找平衡。工程师在项目压力不是很大的情况下，还是非常乐意学习新的技能和方法。
了解他们的关注点之后，信息安全经理再与他们的沟通时要有针对性。对于高层管理者，只需说明新方法概况，目的和初步计划，人员投入等，无需过多细节。面对业务部门经理，除了上述要点之外，还要说明信息安全工作如何与他们的目标挂钩，这一新方法不仅是为了满足客户安全需求，还能帮助完成更安全的软件，并且就投入多少时间，涉及哪些人员，风险降低何种程度进行讨论。如果与高层管理者和业务部门经理都已经达成共识，再与工程师来讨论新方法的推行就会很顺畅。
ISO27001国际标准做为全球在信息安全管理方面的最佳实践之一，是他人的经验总结。在当前国内企业管理水平整体相对较低的情况，我们唯有努力学习他人经验，并切实结合自身的实际情况，打造有效的ISMS（信息安全管理体系）。