以管理促安全，浅谈企业安全管理体系建设

安恒信息安全咨询讲武堂

讲武堂，带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”，与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。

本期聚焦“企业安全管理体系建设”提出五大步骤，欢迎大家文末留言探讨。

以往企业进行网络安全建设工作，更侧重于安全产品和技术方面的应用，对安全管理体系方面缺少必要的研究与实践。管理制度被束之高阁、管理组织只停留在纸面、管理体系与技术体系割裂等安全管理问题，使得管理制度与安全体系貌合神离，严重影响企业的整体管理策略和质量，安全管理体系也无法赋能企业管理与安全防护。

随着网络安全法律法规与标准体系的不断完善，安全监管检查力度不断加大，安全管理体系作为合规符合性的必要内容，已逐渐成企业内部安全建设的重点内容之一。

新的安全管理体系建设势在必行

随着业务与IT场景的多样化演变，企业规模不断扩大、内部组织结构越发冗杂，缺乏统一集中的管理，传统的安全技术与产品已无法全面覆盖各类风险，企业不得不重新设计并建立覆盖自身组织结构、业务活动场景、风险威胁类型的安全管理体系，用以约束并指导安全策略与行为，保障整体网络安全。

“三分技术，七分管理”，建立一套完整、科学、符合企业自身需求的安全管理体系并有效运行已逐渐成为行业共识。

安全管理体系核心要素内容

针对安全管理体系内容建设，必须依赖安全标准和规范的有效输入。现阶段等级保护要求、ISO 27000系列、关键信息基础设施保护相关要求等相关建设标准不断输出，客观上要求企业按照相关标准来建设，但需要梳理与自身安全管理工作有关的国家、行业、业内实践安全标准要求，依据自身基于自身业务场景与面临的风险进行合并融合，确立安全管理体系的要素内容，用于整体安全管理体系的建设。

管理体系内容示意图

以ISO27001为例

如何构建企业安全管理体系

ISO/IEC27000系列标准不断丰富和完善信息安全管理体系，为组织解决信息安全问题提供良好的方法和机制，是全球安全管理体系的最佳实践。

安全管理体系的建设是一个系统工程，采用PDCA模型四个步骤成为一个闭环，通过闭环的方式不断运转，使信息安全管理体系得到持续改进、信息安全绩效螺旋上升。

建立完善的安全管理机构

强有力的安全管理机构，是安全管理体系建立的基础保障和前提。

决策层，是企业信息安全工作的最高管理机构。负责对企业的信息安全规划、策略和重大建设方案等进行审批，并为企业信息安全工作提供各类必要资源。

管理层，主要负责企业日常信息安全的管理、监督以及考核与教育，大型企业往往会设立专门的信息安全管理部门负责此类工作，中小型企业IT部门兼职承担此类工作居多。

执行层，负责应用具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理，执行层人员由IT部门技术人员与各部门专职或兼职的信息安全人员组成。

建立ISMS

✓

制订信息安全方针及策略

制定总体的安全方针，以明确企业安全管理的方向和原则。方针制订需要考虑企业未来的发展战略、内外部环境因素及自身的安全义务，还需要制定更加具体的安全策略，明确规定具体的控制规则。

✓

定义ISMS范围

由于企业的资源是有限的，因此企业在建立信息安全管理体系时需要明确定义管理的范围。通常企业可以通过识别核心组织、人员、技术、设备及数据，从组织边界、业务边界及物理边界三方面分析形成信息安全管理体系的范围边界。

✓

开展风险评估

安全管理体系本质上是对风险的管理，对企业现有的信息安全框架进行评估，风险评估的对象是体系管理范围内的信息资产，包括软件、硬件、服务、流程、数据、人员、文档等，评估考虑的因素包括资产所受的威胁、脆弱性及威胁发生的可能性和影响。

✓

实施风险处置

企业根据风险评估结果和业务需求制订风险管理准则，确定所要处置的风险及控制措施。制定相应的风险处置计划，落实相关处置任务、职责、管理责任人、风险管理的优先级等。

✓

编写管理体系文件

安全管理体系的方针、策略、范围及各种控制措施都应形成文件，信息安全管理体系文件编制须注意以下原则。

(1)体系文件的相关内容应符合企业的实际情况，具有可操作性。

(2)体系文件应分级编制，按照逐级细化的原则，最终至模板级，使文件具备可读性。

(3)体系文件的相关内容应无重复和矛盾之处，文件理解无歧义。

实施和运行ISMS

通过文件的控制要求以正式的程序批准并发布实施，企业应在全体员工中广泛开展安全管理体系文件的宣传和培训，将安全方针、目标、策略及管控要求全面传达至企业内部全体员工和利益相关方，提高员工信息安全的意识，保障信息安全管理体系运畅运行。

监控和评审ISMS

体系的监控通常是在日常的体系运行过程中同步开展的，体系评审通常为周期性的审核，包含体系内审、管理评审和外部审核(第三方审核)。管理评审由体系的决策层和管理层参与，通常以会议的形式识别体系可以改进的地方，并采取措施，以保持信息安全管理体系的适宜性和充分性。外部审核由企业聘请外部独立的机构对企业信息安全管理体系是否符合ISO/IEC27001等标准要求进行最终审核。

保持和改进ISMS

为了实现体系的持续改进，保持体系的适宜性、充分性和有效性，应进行管理体系的纠正和预防措施。无论是日常的监视与检查或者内审与管理评审等识别出与信息安全管理体系要求不符合的事项，在确定需要改进后，都应针对每项不符合的事项制订改进措施和预防措施，其目的不仅是消除当前出现的不符合事项，更重要的是通过预防措施的实施杜绝类似不符合的事项的再次发生，使安全管理体系不断完善。

从企业宏观角度，安全管理体系是企业整体管理体系的重要组成部分，是发挥保障业务发展与战略实现的关键要素；从安全体系角度，安全管理体系能够将内部各类资源进行整合的同时，约束并指导其运行机制与行为，确保安全水平符合企业客观安全保障需求。安恒信息经过多年的安全服务经验与安全合规性研究，结合安全实战的不断沉淀，能够为各行业客户提供全方位的信息安全管理体系建设及风险评估的能力，最大限度帮助企业预防和降低安全风险所带来的潜在威胁与损失。

往期精彩回顾