从ISO/IEC27001_2022漫谈甲方安全治理｜安全村

00 前言

本文适合于阅读过ISO/IEC27001相关内容的甲方信息安全部门从业者，并不以对照ISO/IEC27001:2022具体变化为切入视角，也不会对文中的常规信息安全活动的实际落地全面性进行补充，文章将结合在甲方企业中从事信息安全治理、推动以及如何与业务达成共识的角度来理解具体内容。

甲方公司成立信息安全组织是一个组织层面的战略决策，自然也就应运而生我们这些人并获得了工作机会与相对丰厚的回报。目前还没有在甲方安全组织从业过的乙方安全从业者可能还不太能理解，这两种同职能间不同工作角色带来的最大转变不只是停留在工作内容上或具体方式方法上，工作出发点的不同造就过程中风景各不相同，这往往也是曾经造就乙方安全从业者转变成为甲方身份后出现“水土不服”的主要原因。

注：如果对于《ISO/IEC27001:2022》感兴趣可自行通过BSI订阅，也可以通过回复公众号“ISO_IEC_27001_2022_CN”获取中文版本PDF进行阅读（下载来源于互联网部分译文并不准确请结合具体场景理解，无英文阅读障碍者推荐阅读原版）。

• 确保信息安全制度和安全要求明确并成为组织的基本原则
• 确保将信息安全管理制度具体要求纳入组织的基本流程
• 确保信息安全管理过程中得到所需的基本资源

• 确保在组织中传达与宣贯信息安全管理制度的重要性

不论你目前所在安全组织的规模有多大规模，持续获得新的安全投入都是一件很有必要的事情，因为这关乎你所在部门在内部的话语权、关乎你每天的工作量也关乎你最终是否能与现在的团队一起取得成就感，毕竟截止目前所知国内所有的公司安全人力与业务人力之间的配比都存在巨大鸿沟。我们应该经常听到身边有同事抱怨老板们对整体安全投入不够或对具体细分领域的安全工作投入资源不足这样的说法，或许我们更应该反过来思考为什么不重视信息安全或细分领域的安全工作，当然这可能是一道贯穿我们整个职业生涯的问题，如果抓其中的主要矛盾的话可能都可以归功于自身向上管理能力不足上，不管现在处于什么层级其实都不应该幻想老板会时时、事事为自己站台，要深刻明白的一点根本逻辑是：只有你的想法与老板不谋而合时或风险投入赢面足够大并且对于“胜利果实”感兴趣时他才会为你提供资源。一定要了解并想清楚你老板的真正诉求、痛处，同时哪怕安全工作是一项技术工种也需要具备相当程度的政治敏感性，去感受、观察公司内部和部门内部的变化（包括外在信息），剥茧抽丝出更深层次的原因是唯一的致胜法宝。

说服他人从来不是一件容易的事情，尤其是需要对方配合我们完成某项本来其可以不做的事情时，这也是为什么需要管理层签署并发布信息安全文件的原因。在一家企业内开展安全工作可以肯定的是必然不存在不依赖其他业务团队能够完成最终的安全目标的，尤其是其中的基础设施技术团队。那么除了制度先行之外也可以与业务共同建立一些信息安全的身份角色并赋予对应的职责与管理责任，帮助和分担信息安全组织在治理过程中所需的庞大人力所需和精力。在日常的工作开展中虽然在安全制度的建立与发布上管理层要求所有雇员遵循内部制定的信息安全管理制度并配合工作，但安全组织也不可能所有安全策略的推进都依赖于管理层的尚方宝剑，那样的话就显得安全组织很“无用”，总会有些场景是我们无法评判的，例如内部运营系统的权限配置与定期检查、督促并确保研发团队按照安全组织制定的SLA来修复漏洞等。这种情况下我们可以与业务一起仿照HRBP等形式创建出一个专属于信息安全的身份角色与文化——“安全BP”，对应在安全组织内部由安全治理团队（“安全管理团队”）设立安全BP职能专人转岗与业务的安全BP人员进行需求对接，了解挖掘并解决来自于业务的实际安全问题与诉求，建立风险管理的“共同语言”，让业务的思维方式顺应你所预期的方向发展，同时也可以通过这一群体与机制确保集团安全制度与要求最大可能落实到位。

另一方面除了内部安全的原动力外，ISO/IEC27001中也提示我们应建立并保持与监管的紧密联系，保证在经营过程中信息安全监管的要求得到有效执行，这其实与安全业界的普遍共识不谋而合，正所谓安全只有两种驱动力“事件驱动、合规驱动”，合理正当的运用好监管部门这杆大旗在企业内部开展工作无往不利。近几年不同以往外部监管态势愈发趋严，将其他公司受到的监管通报处罚作为警示作为内部游说的素材再合适不过，适当的营造危机感也是营销安全重要性这一观点的必要措施，当然如果自身企业业务因违规遭受监管处罚或发生信息安全事件、事故是我们不愿意看到的，但如果真的客观发生换个更积极地角度来看这也是一次难能可贵可以借题发挥的好时机。出了问题不要第一时间去思考如何推卸责任，已然发生就让错误换个方式变得有价值起来，能否抓住机会取决于你是否能因势利导的做好内部营销工作，当然如果可能的话也可以在这时候委婉的表达一下目前人力等资源投入、流程制度、技术现状上的一些列问题为安全组织获取更多资源。

整体大的原则上信息安全与业务之间的合作模式出发点肯定还是建立在利他性上，在国内的企业内搞定事情的前提一定是搞定人，人的因素有时候决定一切。不论是什么阶段加入安全组织，在业务拜访的过程中尤其是初始拜访阶段更多地倾听来自业务的抱怨与牢骚肯定是没错的，分析他们的牢骚的原因先与业务的核心干系人成为朋友然后再把从“营销你的安全观点”变成“我在帮助你解决问题”，不然很容易变成闭门造车并且业务需求与安全诉求产品平行但不相交。当然并不是所有的业务都是可以公关下的，有些“硬骨头”是一定会在推进的过程当中无法避免，这时候就如ISO/IEC27001中给出的建议一样（“在ISO/IEC27001中要求信息安全管理制度应具备相对正式的通报与处罚制度，已对违反信息安全制度的人员和其他相关方采取行动”）推动信息安全违规惩处的落地，就像是“大棒胡萝卜政策”一样运用奖励和惩罚两种手段以诱发业务按照安全组织所要求的方式配合工作，在今年笔者在目前所在公司也全面推动落地了这一举措，对于在业务合作间加强安全组织话语权起到了积极的作用。

划清界限有时候对安全组织来讲也是一件自我保护的事情，并不是一味的尽可能管辖范围无限大就是好的，更多的应该要考虑目前所在安全组织的资源、阶段是否合适进一步扩张，盲目无序的扩张最终只会害人害己。对于一个大型企业的信息安全组织来说，确定安全工作边界、摸清资产情况、掌握投后公司与上下游供应商情况尤为重要，这在ISO/IEC27001中也有明确的提示（“在ISO/IEC27001中要求应对信息安全管理范围、相关方、责任人相对明确，同时也要求并建议对于投后公司与上下游供应商确定信息安全整体策略与基本要求，并向供应商与投后企业下放安全要求）。如果你所处一家大型企业可以会遇到这样的情况，在企业内部存在多个不同隶属关系的安全组织且存在一定的模糊地带与竞争关系，那么正确的做法绝不是即可与其他同职能团队展开厮杀互相压迫生存空间，就目前国内的企业信息安全组织工作量来说远远没有到达这种“你死我活”的抢着消化需求的地步，大部分情况下来说都是处理不完的安全需求，那么大家完全可以坐下来谈清楚安全职责边界，这个问题只要是建立于“权责利”对等的情况下谈判基本都是行得通的。

那么在确定好安全的边界后，摸清企业资产就是下一个你需要面临的实际难题了。很多从业者天真的以为可以通过企业内部已有的资产管理数据来实施整体安全策略，其实这是远远不够的，可以肯定的说依照这种方式实施整体安全策略一定存在较大安全视野盲区，安全能力的部署一定存在诸多盲点。另一方面来说绝大部分企业内部的基础技术设施都不统一，信息化、数字化能力都相对并不完善，存在并行的同职能基础技术设施分治再正常不过。笔者建议的方式是率先推动实现统一，这是一切安全策略全面实施的基础，当然也不能不开展安全工作每天与这些部门谈论技术统一的事情，具体还是需要结合企业实际情况因地适宜，过程中找到一类基础技术设施找到一位合作伙伴帮助其实现统一，同时收获友谊也更容易在长期来看的安全策略落地更加顺利。需要提醒的是基础设施的统一是一个极其困难的工作，同时资产规模数量也是影响周期的重要因素，笔者所在公司也是花费了一半多的时间才终于趋近于全面完成。