00
—
前言
本文适合于阅读过ISO/IEC27001相关内容的甲方信息安全部门从业者,并不以对照ISO/IEC27001:2022具体变化为切入视角,也不会对文中的常规信息安全活动的实际落地全面性进行补充,文章将结合在甲方企业中从事信息安全治理、推动以及如何与业务达成共识的角度来理解具体内容。
甲方公司成立信息安全组织是一个组织层面的战略决策,自然也就应运而生我们这些人并获得了工作机会与相对丰厚的回报。目前还没有在甲方安全组织从业过的乙方安全从业者可能还不太能理解,这两种同职能间不同工作角色带来的最大转变不只是停留在工作内容上或具体方式方法上,工作出发点的不同造就过程中风景各不相同,这往往也是曾经造就乙方安全从业者转变成为甲方身份后出现“水土不服”的主要原因。
注:如果对于《ISO/IEC27001:2022》感兴趣可自行通过BSI订阅,也可以通过回复公众号“ISO_IEC_27001_2022_CN”获取中文版本PDF进行阅读(下载来源于互联网部分译文并不准确请结合具体场景理解,无英文阅读障碍者推荐阅读原版)。
01
—
不同角度看待信息安全管理制度与标准的正确使用
不论是在甲方还是乙方,我们都会有一项工作内容是为企业编写并提供一些列的信息安全管理制度,这部分工作在甲方普遍有一类专职细分领域的职能来完成(“安全治理岗”或“安全管理岗”),对于许多以技术出身的同学来说会觉得这是一份较为务虚的工作,普遍会认为做此类工作的同事没有什么技术价值,当然早期从业的我也是如此。如果你站在一个更高的层面去理解这份工作内容或许就会带来不同的理解,在我们开展日常的一系列安全工作或活动时有一份“正名”在大型组织当中一定是事半功倍,反之大概率事倍功半。假设这样一个场景,你刚刚加入一家雇员规模在数万乃至数十万的企业当中,正处于人生地不熟的你想找到业务部门让他配合你的工作进行一些整改,你认为与陌生的、没有安全背景的同事沟通清楚安全价值使其配合你工作来的容易还是和对方说根据公司信息安全规定需要完成这一项规定来的成本更低?
我们有了基础共识后下面的内容也更容易接受起来,相信只要曾在工作内容当中接触过编写和发布信息安全管理系列制度的同学都会有过这样一种想法,这些制度在互联网找一找、抄一抄、有就可以了等想法,其实这种想法笔者也并不觉得有什么不对,确实在实际工作当中在一家企业新建信息安全管理制度也是以这样的方式进行的,下载一份制度或找其他公司的朋友要一份修修剪剪就完成了定稿。同样如果换一种角度来看这个问题可能也会很不一样,我们都清楚知道制度在日常中是没人看的,我们所身处的不同公司都有着海量的制度平时我们自己也不会去阅读,但如果它可以帮助你建立新安全产品后作为“推广宝典”是不是就意义不同了?将部署你的安全产品作为具体细分领域的安全管理要求中的一部分,如果你本身的情商与技巧也没有很差,大概率你会得到一个正向的结果。曾经笔者在某家大型互联网公司跟随时任老板从0到1建立安全体系时提前半年使用了这一方法,在产品可用性得到验证后用了半年时间实现了该细分领域内的全量业务资产覆盖,当然这并不是说满足了这一前提后你就可以半年复制这一结果,这和你本身的情商与技巧十分相关。另一方面来看我们也应该为了保证制度有效性将要求中可通过产品自动化校验的要求进行违规发现,笔者一直认为当你颁布了一套“规矩”时一定要配套“关门打狗”的能力(注:用词不准确但生动形象),不然信息安全管理制度真的就只是一堆Word文档而已。
就像是上面所说建立安全制度、标准、策略等都是相对简单的事情,但是让雇员长久的遵循规矩是困难的事情。我们最终目标肯定是要建立一个相对和谐、高效的制度执行氛围避免安全制度仅成为一堆Word文档,创建治理结构并去培养这个氛围与土壤的建立和推动是需要一些智慧的,这是甲方安全的生存核心。在ISO/IEC27001中要求中其实给出过一些提示(“在ISO/IEC27001中要求信息安全管理制度应由管理层批准、公布并传达给全员”),但很可惜看到的是国内很多中小型安全组织没有执行下去或没有意识到,当然如果你所在安全组织的组织层级还不能触达至管理层那么不这一讨论范围,当保障了日常安全工作或活动开展的名正言顺后需要继续进一步思考如何推动形成安全与业务绩效之间的关联方式并使其在企业内落地下去,这也是保障安全制度另一个层面鲜活性的必要动作,普遍只有在一项会影响到自己、老板的时候才会形成长久的实际效力。
最高管理层应通过以下方式展示对信息安全管理的支持与承诺(节选,较为重要的四条):
确保信息安全制度和安全要求明确并成为组织的基本原则
确保将信息安全管理制度具体要求纳入组织的基本流程
确保信息安全管理过程中得到所需的基本资源
确保在组织中传达与宣贯信息安全管理制度的重要性
02
—
持续获得安全投入与重视
不论你目前所在安全组织的规模有多大规模,持续获得新的安全投入都是一件很有必要的事情,因为这关乎你所在部门在内部的话语权、关乎你每天的工作量也关乎你最终是否能与现在的团队一起取得成就感,毕竟截止目前所知国内所有的公司安全人力与业务人力之间的配比都存在巨大鸿沟。我们应该经常听到身边有同事抱怨老板们对整体安全投入不够或对具体细分领域的安全工作投入资源不足这样的说法,或许我们更应该反过来思考为什么不重视信息安全或细分领域的安全工作,当然这可能是一道贯穿我们整个职业生涯的问题,如果抓其中的主要矛盾的话可能都可以归功于自身向上管理能力不足上,不管现在处于什么层级其实都不应该幻想老板会时时、事事为自己站台,要深刻明白的一点根本逻辑是:只有你的想法与老板不谋而合时或风险投入赢面足够大并且对于“胜利果实”感兴趣时他才会为你提供资源。一定要了解并想清楚你老板的真正诉求、痛处,同时哪怕安全工作是一项技术工种也需要具备相当程度的政治敏感性,去感受、观察公司内部和部门内部的变化(包括外在信息),剥茧抽丝出更深层次的原因是唯一的致胜法宝。
如果此时你是一位信息安全负责人,那么对你来说需要考虑和完成的事情就更多一些,说服高层管理者从来不是一件容易得事情,对你的知识背景和能力都是一个很大的挑战。对于一家企业来说每年的投入都源于这家公司定下的战略目标与选择,绝大部分公司的信息安全往往还没有进入高层管理者们的视野,其实也并不是说信息安全这件事情不重要,这其实是一个屁股决定脑袋的事情,就如目前笔者所在公司来说哪怕是拆分上市的子集团每日的营收经营情况和与之对应需要决策的问题相信对于任何人来说都是一件复杂的事情,那么当你要面对的是这个政府合作和减免多少税收、那个人事决策会影响十几万基层雇员时信息安全的事情可能真的没有那么重要。信息安全确实很重要但是普遍有这样想当然想法的人很大程度上因为我们自己是做安全的,受限于自身知识结构而陷入了一种认知误区,与管理层对话说明安全的重要性往往不在于安全或是风险管理的知识,而在于你是否在双方的信息不对称,视点不对称,思维方式不对接的情况下想清楚对方的逻辑体系下可能出现的问题以及尽可能的使用方便对方理解的话术来改变我们在观点营销的过程中的弱势地位更进一步地营销我们的观点,毕竟只有博弈发生在同一个层面时才是有效的。
03
—
建立安全与业务间的合作模式并具有力量
说服他人从来不是一件容易的事情,尤其是需要对方配合我们完成某项本来其可以不做的事情时,这也是为什么需要管理层签署并发布信息安全文件的原因。在一家企业内开展安全工作可以肯定的是必然不存在不依赖其他业务团队能够完成最终的安全目标的,尤其是其中的基础设施技术团队。那么除了制度先行之外也可以与业务共同建立一些信息安全的身份角色并赋予对应的职责与管理责任,帮助和分担信息安全组织在治理过程中所需的庞大人力所需和精力。在日常的工作开展中虽然在安全制度的建立与发布上管理层要求所有雇员遵循内部制定的信息安全管理制度并配合工作,但安全组织也不可能所有安全策略的推进都依赖于管理层的尚方宝剑,那样的话就显得安全组织很“无用”,总会有些场景是我们无法评判的,例如内部运营系统的权限配置与定期检查、督促并确保研发团队按照安全组织制定的SLA来修复漏洞等。这种情况下我们可以与业务一起仿照HRBP等形式创建出一个专属于信息安全的身份角色与文化——“安全BP”,对应在安全组织内部由安全治理团队(“安全管理团队”)设立安全BP职能专人转岗与业务的安全BP人员进行需求对接,了解挖掘并解决来自于业务的实际安全问题与诉求,建立风险管理的“共同语言”,让业务的思维方式顺应你所预期的方向发展,同时也可以通过这一群体与机制确保集团安全制度与要求最大可能落实到位。
另一方面除了内部安全的原动力外,ISO/IEC27001中也提示我们应建立并保持与监管的紧密联系,保证在经营过程中信息安全监管的要求得到有效执行,这其实与安全业界的普遍共识不谋而合,正所谓安全只有两种驱动力“事件驱动、合规驱动”,合理正当的运用好监管部门这杆大旗在企业内部开展工作无往不利。近几年不同以往外部监管态势愈发趋严,将其他公司受到的监管通报处罚作为警示作为内部游说的素材再合适不过,适当的营造危机感也是营销安全重要性这一观点的必要措施,当然如果自身企业业务因违规遭受监管处罚或发生信息安全事件、事故是我们不愿意看到的,但如果真的客观发生换个更积极地角度来看这也是一次难能可贵可以借题发挥的好时机。出了问题不要第一时间去思考如何推卸责任,已然发生就让错误换个方式变得有价值起来,能否抓住机会取决于你是否能因势利导的做好内部营销工作,当然如果可能的话也可以在这时候委婉的表达一下目前人力等资源投入、流程制度、技术现状上的一些列问题为安全组织获取更多资源。
整体大的原则上信息安全与业务之间的合作模式出发点肯定还是建立在利他性上,在国内的企业内搞定事情的前提一定是搞定人,人的因素有时候决定一切。不论是什么阶段加入安全组织,在业务拜访的过程中尤其是初始拜访阶段更多地倾听来自业务的抱怨与牢骚肯定是没错的,分析他们的牢骚的原因先与业务的核心干系人成为朋友然后再把从“营销你的安全观点”变成“我在帮助你解决问题”,不然很容易变成闭门造车并且业务需求与安全诉求产品平行但不相交。当然并不是所有的业务都是可以公关下的,有些“硬骨头”是一定会在推进的过程当中无法避免,这时候就如ISO/IEC27001中给出的建议一样(“在ISO/IEC27001中要求信息安全管理制度应具备相对正式的通报与处罚制度,已对违反信息安全制度的人员和其他相关方采取行动”)推动信息安全违规惩处的落地,就像是“大棒胡萝卜政策”一样运用奖励和惩罚两种手段以诱发业务按照安全组织所要求的方式配合工作,在今年笔者在目前所在公司也全面推动落地了这一举措,对于在业务合作间加强安全组织话语权起到了积极的作用。
虽然信息安全违规惩处的落地可以帮助安全组织在日常工作当中形成一种力量,但如果尺度掌握不好极端强势的作风就会形成一种隐秘的反作用力,除非你可以一直保持“顺风局”,不然在安全组织的决策或出现安全事故等马高镫短之时这种反作用力就会以一种你无法感知的速度推动你离开这家企业。甲方安全的工作氛围因为周遭的业务合作部门及同事都不是信息安全出身或拥有信息安全知识结构很容易出现一叶障目,但很多时候安全策略没有绝对正确,在你无法想象的一线业务逻辑当中会因你想当然正确的安全策略陷入被动,以笔者所在公司举例当你出于保护用户隐私的目的去建立一条安全策略不允许物流配送站点的工作人员跨站点、跨区域查询用户运单信息时看起来是正确且正当的,但这一策略会给基层工作人员与用户的日常工作和客户体验带来多大的负担与困扰,而这些就是最初你没有考虑全面所造成的,制定安全策略一定要仔细斟酌有些问题从你的角度是对的,但从别人的角度未必是对的。要时刻谨记是安全职能向公司的业务推策略而不是你在向别人推策略,不遵循这一原则很容易最终从两个部门解决问题变成两个部门互相解决对方至使安全工作无法推进。
04
—
确定信息安全管理的范围、边界和适用性
划清界限有时候对安全组织来讲也是一件自我保护的事情,并不是一味的尽可能管辖范围无限大就是好的,更多的应该要考虑目前所在安全组织的资源、阶段是否合适进一步扩张,盲目无序的扩张最终只会害人害己。对于一个大型企业的信息安全组织来说,确定安全工作边界、摸清资产情况、掌握投后公司与上下游供应商情况尤为重要,这在ISO/IEC27001中也有明确的提示(“在ISO/IEC27001中要求应对信息安全管理范围、相关方、责任人相对明确,同时也要求并建议对于投后公司与上下游供应商确定信息安全整体策略与基本要求,并向供应商与投后企业下放安全要求)。如果你所处一家大型企业可以会遇到这样的情况,在企业内部存在多个不同隶属关系的安全组织且存在一定的模糊地带与竞争关系,那么正确的做法绝不是即可与其他同职能团队展开厮杀互相压迫生存空间,就目前国内的企业信息安全组织工作量来说远远没有到达这种“你死我活”的抢着消化需求的地步,大部分情况下来说都是处理不完的安全需求,那么大家完全可以坐下来谈清楚安全职责边界,这个问题只要是建立于“权责利”对等的情况下谈判基本都是行得通的。
那么在确定好安全的边界后,摸清企业资产就是下一个你需要面临的实际难题了。很多从业者天真的以为可以通过企业内部已有的资产管理数据来实施整体安全策略,其实这是远远不够的,可以肯定的说依照这种方式实施整体安全策略一定存在较大安全视野盲区,安全能力的部署一定存在诸多盲点。另一方面来说绝大部分企业内部的基础技术设施都不统一,信息化、数字化能力都相对并不完善,存在并行的同职能基础技术设施分治再正常不过。笔者建议的方式是率先推动实现统一,这是一切安全策略全面实施的基础,当然也不能不开展安全工作每天与这些部门谈论技术统一的事情,具体还是需要结合企业实际情况因地适宜,过程中找到一类基础技术设施找到一位合作伙伴帮助其实现统一,同时收获友谊也更容易在长期来看的安全策略落地更加顺利。需要提醒的是基础设施的统一是一个极其困难的工作,同时资产规模数量也是影响周期的重要因素,笔者所在公司也是花费了一半多的时间才终于趋近于全面完成。
最后在这个章节提及一下投后公司与上下游供应商的安全治理,如果是几年前我们大可不必如此关注这两个领域,从企业业务自身的安全诉求解决程度来看绝大部分公司都尚未及格进入精细化运营阶段,更不可能有精力和资源去照顾自身的投后公司与上下游供应商,但是正如上文所提到的近几年不同以往外部监管态势愈发趋严,投后企业和上下游供应商的信息安全问题都会在监管层面影响到最上层企业,确定信息安全整体策略与基本要求并实施定期检查是极其有必要性的做法防止因小失大,笔者在刚刚加入所在公司时恰逢正是外部监管对于生态数据安全较为重视的时机,依托于内外部的天时地利人和协力完成了上下游数十万供应商的隐私信息脱敏,这在前几年在其他公司从业时是不敢想象的事情,推进安全策略的时机尤为重要。同时就像今年某监管部门所组织的涉密大型攻防演习也开始正式将投后公司与上下游供应商纳入到演习范围,另外的几个监管部门也在高频率、高强度的开展以检查供应链为主的执法检查,是一种明确的信号。如果资源投入允许的情况下可以雇佣乙方安全厂商来帮助解决问题,企业安全组织坐镇指挥就行了,这个问题也同样适用于企业内部的安全工作开展,并不是所有的工作都要有自己来完成一些事情可以交由其他部门来做,如果你管理安全组织并对最终目标达成负责,无论如何都要回到事情的本质上来,时刻明白自己在过程中所充当的“角色”和角色对应想收获的“结果”。