oaktomber的个人博客

作者：李鹏飞

前面讲到了管理体系的内在特质之一，那就是标准的工序流程化，那么，仅仅进行标准的工序流程化就足够了吗？如果不足够的话，我们还需要什么？

当然不足够，这一点很明确，因为标准的工序流程化并不是我们的根本目的，而是我们为了达到目的的一种手段，是达到目的的基础。我们的目的是什么？是改进。我们来看看各管理体系是如何改进的。

ISO族的标准通常都提倡PDCA，本身通过PDCA的循环来进行的不断提高与改进；而CMMI是通过成熟度的概念来进行改进；制约法同样强调改进，通过消除制约因素来提高效率，但消除一个制约因素通常会产生其它的制约因素，所以就需要不断的改进。

所有的体系都强调改进，只是改进的方式方法不同而已，虽然有些体系并没有强调了“改进”这个词。我们可以说管理体系的第二个内在特质，那就是改进，也就是精益求精。

作者：李鹏飞

现在越来越多的企业依据各种标准、模型来建立管理体系，如ISO标准、CMMI、ITIL等，还有一些企业进行ERP整合、产业链整合等，那么，如此众多的管理体系到底有没有本质的特征呢？如果有是什么呢？

在说明这个问题之前呢，先简单的说明一个例子，有理工科背景的人都很容易理解，数学、物理、化学到最后几乎是没有明显的界限了，也就是说他们有共同的内在特质。那么，管理体系也应该一样，它们也具有共同的内在特质，是什么呢？那就是标准的工序流程化。

ISO族的标准都是要求先对所有的工作进行标准化定义，这就是工序流程化的典型思想，例如质量管理一定是对所有的操作步骤进行标准定义，然后严格执行，如ISMS管理体系可以将各个控制点嵌入到各个标准的工作流程。其它的如CMMI、ITIL的思想都是一样，都是进行标准的工序流程化定义。

我们再来说一下产业链整合和制约法的思想，乍一看和标准的工序流程化没什么关系，但是如果仔细的想想，它们的本质同样是标准的工序流程化。如产业链整合，是将企业的所有产业链从上游到下游进行有效的整合，提高企业的运转效率，那么整合的前提是什么呢？就是标准的工序流程化。同样的道理，制约法的思想也是一样，为了找到生产环节个制约因素，那么同样要进行标准的工序流程化。

理解了各管理体系的内在特质，就不会为了做体系而做体系，同样，深刻理解管理体系的内在特质，各个管理体系的整合也就顺理成章，因为，我们有了清晰的指导原则，那就是标准的工序流程化。

作者：李鹏飞

时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个企业而言毋庸置疑，重要性也与日俱增。越来越多的企业通过实施信息安全管理体系，来保证信息的保密性、完整性和可用性，保护信息免受来自各方的威胁，从而确保一个企业或机构可持续的发展。

通常企业都会通过聘请外部顾问以项目的形式，来进行自身信息安全管理体系的建设，咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划，当体系建立完成后，最终由企业内部推行人员自行维护，推动体系的正常运转。通过这种方式来进行体系的建设，能够最大程度发挥咨询顾问的经验，使企业不会在体系的建设过程中迷失方向，但是，在项目结束咨询顾问撤场后，企业内部体系推行人员却显得无所适从，或者在体系的推行过程中显得并不是非常的得心应手，问题在哪里呢?主要是以下几个方面：

首先，在风险处置过程中所输出的众多信息安全管控措施难以统一规划，并且缺少各项控制措施与信息安全风险的一一对应。

众所周知，在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析，系统的分析出企业所面临的各项风险，并对各项风险采取合理、有效的管控措施。在风险评估的过程中，企业所面临的信息安全风险的类别，以及每一类信息风险中实际风险的个数无疑是非常大的，并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别，如何对数量庞大的风险及管控措施进行合理的规划，对于企业来说无疑是一个很大的难题，尤其对于组织规模比较庞大的企业更是如此，因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。

其次，信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。

信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度，并在体系运行的过程中将产生大量的记录，如何对这些文件进行分门别类的管理，并且很好的对其中的逻辑性与一致性进行控制，这对于体系维护人员来讲是一个不大不小的难题。

最后，体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化。

信息安全管理体系在进行PDCA循环运行中，控制措施测量、内审及管理评审是体系进行持续改进的发动机，但是，由于这些活动关系到企业的各个部门，组织、策划、协调起来非常的困难，因此，如何将这些活动的组织策划自动化、实施程序系统化，并且实施过程记录完整化是体系推行人员一个非常大的挑战。

如何对上面提到的这些问题进行有效的规避，即要发挥传统咨询模式的优点，又能够避免传统咨询模式的不足，使企业的信息安全管理体系实施更加有效呢?谷安天下经过多年的沉淀积累，总结了相关领域咨询经验，形成完善的信息安全体系建设方法论，通过结合IT风险控制体系建设流程及知识库，GooISMS能满足各级组织的IT风险控制体系建设需求。

GooISMS-信息安全体系建设系统包括安全体系规划、安全体系设计、安全体系实施、安全体系保障四个主要模块。这四个主要模块的功能说明如下：

　　1) 安全体系规划：分析识别出的信息安全改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

　　2) 安全体系设计：建立体系相关部门、人员、职责及联系信息，体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

　　3) 安全体系实施：将各个任务实施的情况记录到系统中，对各项任务的实施的状态执行有效跟踪，并且评价各个任务实施的有效性。

　　4) 安全体系保障：对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调，并对内审、外审、管理评审的过程进行记录，对各不符合项及预防措施进行记录及状态跟踪。

GooISMS-信息安全体系建设系统充分与信息安全管理体系咨询方法论进行结合，对体系建设过程提供完整的安全规划方法论，有效提高安全规划的合理性，提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。

前面已经涉及到了在策划阶段与运作阶段的实施过程，这两个阶段基本上就是主题，在Check阶段和Act阶段的主要任务就是检查改进。

在ISMS的控制(Check)阶段，需要做的事情有两个方面，一是根据有效性测量的结果对ISMS进行评价，另外一个需要对有效性测量体系进行评价，两方面的工作具体来说为：

1. 评价ISMS运作：体系管理组根据指标分解的层次，对指标进行计算、整合及分析，检查各层次指标是否满足目标要求，并对整体状况进行评估，得出ISMS做的好的方面以及需要改进的方面。
2.  评价测量指标：根据测量、分析结果，评价有效性测量体系的贡献，并从中找到需要改进的区域，调整测量指标体系，为ISMS有效性的测量更好的提供服务。

在ISMS的改进阶段，基于控制阶段的分析，对ISMS及测量指标体系分别进行改进，使之鞥好的为ISMS服务。

在对ISMS进行有效性测量的时候，我们应该遵循什么样的原则呢？我认为只要遵循“有依据、可操作、能比较”这三点原则，那么设计出来的有效性测量体系就是比较好的。这三点原则说明如下：

 1) 有依据：有效性测量的过程中，不是为了测量而测量，不是为了标准而测量，各项指标的设定一定要有理有据，每个测量的指标都应当能够具体反映出ISMS的运行状态。

2) 可操作：一个不能操作的测量指标体系是没有意义的，所以有效性测量指标体系一定是清晰、明确，具体可操作的，而同时又是容易收集、不能花费太大的成本的，否则设计再好的测量指标体系都无法真正的贯彻执行。

3) 能比较：有效性测量的结果一定是可比较的，可以通过量化的数值、图形化的参考来展现测量的结果，这样能够清晰、直观的观察到ISMS的状态趋势。

今天早上一个客户问这方面的问题，其实一直以来都想写几篇在ISO27001实施的文章，一直拖着没写。定个目标吧，下周末写一篇法律符合性管理的文章，在过两周写一篇有效性测量的文章。法律符合性的今天先写个头吧。

所谓法律符合性管理，目的是对适用于公司法律的识别，并对需要遵从的条款与公司ISMS体系文件条款进行符合性的检查，即证明公司的信息安全管理已经能够充分的满足法律条款的要求。

总的说来就是要拿出充分的证明来保证公司的安全管理是满足法律法规的要求的。这样的符合性的管理，除了对法律法规有效外，同样适用于合同要求、客户要求、标准要求（如27001) 等。

由于发包方对信息安全要求的提高，越来越多的外包企业都遵循ISO27001标准，建立了自身的信息安全管理体系（ISMS）；然而，在ISMS建立及运作的过程，却很少有企业能够真正做到使ISMS与其外包业务相结合。如果不能与企业自身业务相结合，ISMS只能够徒有其形，最终不能很好的持续并且改进，那么，ISMS在外包企业如何做到与其业务很好的结合呢？作为一名信息安全咨询顾问，我很愿意将自己的一些理解与大家分享。

首先，信息安全目标应与企业业务目标保持一致。信息安全目标是否能够与企业的业务目标相一致，将直接影响到ISMS运行的效率和效果，因此，信息安全的目标必须要符合企业的业务目标。要保证信息安全目标与企业业务目标的一致性，可以通过以下两个方面来考虑：

1. 制定企业发展战略时，考虑业务目标的实现对信息安全的要求。在业务规划时，不仅仅分析业务需求，还应该同时进行信息安全需求分析，并且将这些信息安全的需求的实施内容加入到业务发展规划中。比如，企业将向某个新行业客户提供外包服务为企业的战略，那么在业务战略规划中应加入客户行业的安全需求调研、客户行业安全知识库建设、信息安全管理人才培养、外包服务车间的安全建设等信息安全内容。
2. 制定信息安全目标时，继承企业的业务目标。信息安全目标是信息安全管理体系前进的方向，因此，只有将业务目标层层分解，最终得出信息安全目标，再将安全目标分解到各信息安全控制措施的具体指标，并且进行有效的过程改进，才能保证ISMS的有效行。

其次，项目执行过程固化信息安全管理活动。信息安全管理活动能否固化到项目的执行过程中，或者说信息安全管理活动与项目运作的结合程度，已经成为了企业ISMS实施能否成功的关键因素。因此，企业想要建立并运作有效的ISMS，必须将信息安全管理作为项目管理活动的一部分，固化到项目实施的各个阶段。信息安全管理活动与项目执行过程的结合可以从以下方面考虑：

1. 项目售前阶段客户信息安全需求管理。从项目售前阶段开始，对客户外包项目的信息安全需求进行归纳、分析，并且形成正式的客户安全需求文档。这份需求文档应包含客户所有正式提出的安全要求，每项的安全要求需要有相对应的具体的安全管理活动，并且在项目的整个声明周期由专人进行维护、管理，真正做到客户安全需求的符合性管理。
2. 项目执行阶段信息安全管理活动实施。首先，在项目管理流程中，将项目运作过程中的信息安全管理职责明确定义下来，并且将各类项目所包含的信息安全管理活动定义下来。其次，在项目执行阶段，项目经理需要按照既定的项目安全管理活动进行操作，即从人、机、料、法、环的角度进行资产识别、风险评估、风险处理等活动。最后，在项目执行的过程中，需要审计人员定期或不定期的对项目的各个活动进行安全审计，从而保证项目安全管理活动的有效性。
3. 项目结束后信息安全管理措施。项目结束时，项目相关的信息资产需要妥善的得到处理，避免由于管理不善导致敏感信息的泄露、丢失等问题。

最后，在新业务开拓中考虑ISMS的附加价值。管理体系如何才能直接为企业创造价值，这一直都是每个企业所关心，并且非产困惑的问题，但是，信息安全管理体系却能够很好的为外包企业创造额外的价值。外包企业在提供通常的外包服务之外，还可以为根据不同安全等级需求的客户，提供不同安全级别的外包服务，为重点客户提供VIP的服务环境，例如：

1. 提供单独的物理场所作为工作环境；
2. 提供符合客户要求的网络环境；
3. 更为频繁的回顾与审计等。

信息安全管理体系如何与企业的业务结合，如何更好的促进企业业务的发展，这是一个非常大的课题，同时也是一个非常有意义的课题，我只是根据自己的经验来与大家分享一下我的一些感受和理解，希望能够起到抛砖引玉的作用。