企业建立持续运转的信息管理体系，应该投入什么？企业建立持续运转的信息安全管理体系，应该投入什么？本文编者：北京谷安天下科技有限公司网址：www.gooann.com地址：北京市海淀区中关村南大街2号数码大厦A座806电话：010-51626887（北京）021-51379800（上海）0755-82024056（深圳）0991-6999166（新疆）手机：13581709033www.gooann.com1企业建立持续运转的信息管理体系，应该投入什么？企业建立持续运转的信息安全管理体系，应该投入什么？作者：黄震谷安天下咨询经理根据官方统计数据显示，截止到2009年3月中国国内已经有180家企业通过ISO27001国际认证，获取证书。同时还有很多企业已经建立了信息安全管理体系（以下简称“ISMS”），尽管没有选择此项国际认证，对于这些企业及未来即将建立ISMS的企业，为了持续运转ISMS，应该在未来投入哪些？人员人员对于企业来讲是至关重要且必不可缺的，在ISMS建立过程中，选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中，人员都应该投入多少呢？通常在体系建立过程中，我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施，且此名专员日后要持续保留，负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。但是做ISMS的持续运转仅需要投入这么多人力么，这项建议属于专门的人员投入建议。但很多事情是一种企业文化的培养，需要更多的人员甚至全员参与，例如面向全员的定期信息安全意识培训，面向专业人员的信息安全技术培训等，因此对于企业来讲，除了必要的体系维护人员，在ISMS持续运转过程中，若能将企业内的每名员工都纳入到信息安全管理范围内，培养出“信息安全，人人有责”的企业氛围，则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时，还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与，对外也树立起自身对重视信息安全的形象，大力降低外界给企业带来的风险。体系ISMS自身的持续维护，往往是企业建立后容易被忽视的内容，一套信息安全管理文档并不是在日益变化的企业中一直适用的，对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾，这项活动由于是在标准中明确指出的，企业通常不会忽略；但日常对于这些文档记录的更新也是必不可少的，尤其是重要资产发生重大变更，组织业务、部门发生重大调整时，都最好对ISMS进行重新的评审，必要时重新进行www.gooann.com2企业建立持续运转的信息管理体系，应该投入什么？风险评估，有助于发现新出现的重大风险，并且可以将资源合理调配，将有限的资源使用到企业信息安全的“短板”位置。唯一不变的就是变化，企业每天所面临的风险同样也不是一成不变的，在更新维护信息资产清单的同时，对风险清单的回顾也是不可疏忽的，而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转，有效控制企业所面临的各种风险。工具工具往往是企业在建立ISMS过程中投入大量资金的方面，工具其实是很大的一个泛指，例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具，即使没有实施ISMS，企业在工具方面的投入也是必不可少的，但往往缺乏整体的规划及与业务的结合，经常会出现如何将几种类似工具充分利用，如何在各工具间建立接口，使数据流通共用，哪些工具应该替换更新，数据如何迁移，甚至出现新购买的工具无人使用或无法满足业务需求等等问题，导致资金资源的浪费，因此在持续运转ISMS过程中，根据风险评估报告，及信息安全专员反映的各部门业务需求各种信息数据的收集，应对工具进行统一规划，尽量减少资源的浪费。同时在ISMS维护过程中，往往忽略体系维护所需工具，现有大部分企业对体系的维护并没有使用工具，很多记录都是采用纸质或简单的电子表格进行记录，甚至日常监控、账号定期检查也均采用人工检查记录的模式，对于业务规模不大、数据量较小企业此种模式仍可满足所需，但随着企业规模扩大，手工记录的模式将不能满足所需，记录和文件的版本控制及维护耗用信息安全专员大量的精力，选择一种合适的ISMS维护工具也是大势所趋并且至关重要的，目前市面上的专门用于体系，尤其是信息安全体系维护的工具还是较少的，各企业一方面可将ISMS的维护工作整合到正在使用的各类工具