片面地聊一聊信息安全管理的建设｜科技专刊

---

前言

企业安全建设是一个老生常谈的问题，由于每个人的工作经验和心得体会不同，因此看法和实践通常也不一样。

信息安全管理体系（ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

所谓体系思考，就是通过自身的知识和经验的积累，结合企业的现状，对存在的安全问题进行分类和整理，并总结出一套适合的安全建设体系的思考方式。有了这样的思考能力，就可以帮助我们形成合适的安全方法论来快速解决安全建设过程中的种种问题，做到目标明确，思路清晰，步步为营。

一、自上而下的推动，领导层的支持

为什么我们需要管理层对信息安全的支持？IT部门不是负责信息安全吗？技术方面很重要，但管理层的作用也不能忽视。管理层必须推动信息安全。为什么管理层需要推动这一政策？管理团队在法律上对任何发生的违规行为负责。另外，高级管理层对公司的资产有信托责任。我们的管理层可以提供执行政策所需的必要资源，包括财政和人员。当利益相关者有不同意见时，高级管理层可以提供明确的方向。最后，当高级管理层重视信息安全时，它就会创造一种文化，让员工也认识到其重要性。

那么，我们如何为我们的信息安全举措获得高管的支持？首先，我们需要与高级管理层讨论。我们的目标是让他们注意到信息安全政策的重要性。我们可以通过传达合规的需要、不合规的后果，以及最后公司对各类干系人的责任来做到这一点。这些都是旨在吸引管理层支持我们的安全政策的因素。

我们应该向管理层表达影响企业的各类合规问题，这些问题可能来自所有关于信息安全政策和法律，对不合规所带来的主体监管责任也会引来管理层的支持。至少，不合规会损害企业的声誉，尤其数据泄露事件近年持续暴雷。一个有效的信息安全政策可以有效预防对企业声誉的损害，因为它规定了在发生漏洞时应采取的方案。不良的安全控制也会导致法律风险和补救费用造成金钱上的损失。据不完全统计，涉及个人数据泄露的成本每条约1300余元。想象一下，补救涉及一百万条记录的漏洞的成本会对一个企业造成什么影响。这类数字应该让高级管理层看到支持不足的安全策略所带来的威胁。更严重的后果是，一些法律可以包括对高级管理层和信息安全负责人的刑罚。

另外，我们应该强调和承诺对客户的职责，作为管理层支持我们安全策略的另一个理由。我们希望创造客户，而数据泄露可能会损害客户对我们的忠诚度。我们可以指出，保护客户的数据安全是道德上的事情。客户关系是获得高管支持的最终动机。优秀的策略表明我们关心客户的隐私，并且我们正在采取必要的措施来保护他们。同时，通过保护我们的客户，我们也保护企业的生存能力。这些问题旨在使管理层对信息安全策略的支持达到前所未有的高度。你应该强调，管理层对这项工作该持有“应尽职责”和“应尽关注”的态度，他们的支持是这项工作成功的关键。你也不能轻易放弃，因为这是一条通往成熟的信息安全实施的漫长道路。在与高管的会议上，描述这些策略将如何保护企业和客户，并准备好被反对的应急预案。同时，对员工进行信息安全意识教育会调动其积极性与主人翁意识。

二、企业的各类外部威胁源管理

企业的供应链安全近年也得到了前所未有关注，也应在信息安全策略中予以解决。我们应该对拟议中的企业开发和制造的外包进行风险评估。需拟定风险评估过程，研究有哪些可能存在的威胁、可能产生的后果、发生的可能性，以及可能的风险缓解策略。我们的现行策略应该在风险评估完成后进行审查，以完善且可运行PDCA。威胁是任何可能对资产造成损害的东西，如我们的专利设计、软件、数据、流程和声誉。我们还必须考虑内部和外部的威胁来源。下文中将列出所确定的一些常见威胁。

第一个主要威胁是知识产权。知识产权在内部和外部都面临着这一拟议变更的风险。在内部，我们将有心怀不满的员工可以接触到我们的知识产权；在向外部开发和制造伙伴分享知识产权方面，面临着外部风险。如果我们的合作伙伴的信息安全政策不够完善，将面临外部对知识产权的窃取。这表现在缺乏访问控制，对数据安全建设不足，缺乏网络安全，以及密码管理差。可能后果是严重的，我们会发现知识产权被竞争对手利用，从而失去了市场份额。知识产权被盗或丢失的可能性很高，因为每个国家关于信息安全的法律与监管力度不尽相同。大多数与信息有关的犯罪是来自内部的，员工的不满是强大的动机。可能的缓解策略包括为我们的员工和合作伙伴制定保密协议。我们应该定义谁拥有我们的机密信息，以及合作伙伴将如何保护它。还应该检查合作伙伴的安全策略，看他们是否至少与我方的策略相近。我们需要在合作伙伴的协议中加入约束条款，包含确定他们将储存我方机密数据的区域和方式。我们还可能要求对数据进行加密，以防止因外部不可控因素而造成的损失。该协议还应该涉及到如果这些策略被破坏应该有什么惩罚，以及提供一个审计对方安全的手段。

知识产权损失的另一个方面是来自于合作伙伴对我方产品进行逆向工程，他们很容易接触到我们的制造过程，这将导致合作伙伴未来成为我们的竞争对手，拥有我们所有的知识。我们可以通过上述强有力的保密协议和挑选一个在无窃取知识产权方面有良好信誉记录的合作伙伴来减少这种情况。

第二个威胁是可能失去对我们产品的质量控制。新的合作伙伴可能不具备按照我们的标准来制造产品的人员或流程。其后果是由于退货造成的利润损失，降低我们的竞争优势，并损害我们的声誉。只要我们的合作伙伴在开发和交付方面经验丰富，这种威胁的可能性是低到中等的。我们可以通过完备的服务水平协议来减轻这种威胁，里面应约束对不良的质量控制进行的惩罚。同时，这可为我们提供监督合作伙伴条件，并要求员工接受培训，达到可接受的标准。我们必须包括一些规定，让我们的合作伙伴在软件开发期间审计他们的变更控制。我们需要能够跟踪这些变化，以防出现问题。

第三个威胁是合作伙伴的制造延误。我们无法保证这个合作伙伴能及时交付我们的产品。延迟交付会严重影响我们的供应商关系，失去潜在客户，并损害我们的收入来源。另外，如果我们的规模较小，意味着不会有那么大的需求量，而且由于大企业使用同一制造商，我们可能被推后。这种威胁可以通过一个良好的服务水平协议来缓解，如果产品不能按时交付，就会产生惩罚。

第四种威胁是软件数据因丢失而受到影响。这种损失可能是由于基础设施落后造成的停电。开发人员的计算机或网络断电可能造成数据丢失。这可能影响开发周期并导致产品延误。缓解策略应包括一个良好的备份策略以及完善的应急响应措施。

第五种威胁还涉及到由于外包而导致的未来能力的丧失。我们可能发现自己无法开发软件和产品。更有甚者，我们会因为外包开发而失去创新的能力。其后果是严重的，因为它将削弱我们未来的生存能力。鉴于其他企业丧失开发能力的历史记录，这种可能性是中等偏高的。缓解这种风险的方法是不允许我们的知识产权过多地流向外部，并将我们的一些核心人才留在内部。

变更为我们以前未曾面临的一些风险打开了大门。其中一些风险带来的后果可能会给我们公司带来灾难性的影响，但通过适当的规划、沟通和管理层的指导，如果这些威胁发生，我们可以减轻损失。

三、传统信息安全管理的进化

我们如何提升到更成熟的信息安全管理体系？仅仅拥有一项策略就能使我们安全吗？策略需要有所有相关人员的意识才能真正有效。作为高级管理层，有责任和义务支持我们的信息安全倡议。可以推动几个步骤，从查缺补漏传统的合规性转变为创造一种信息安全的文化。这涉及到审查我们的策略，确保我们制定的规则能够成功，并符合企业文化。

在审查我们的策略时，可以采取步骤是约见关键的利益相关者，如IT人员和其他高级管理层。IT人员将包括那些直接参与需要符合各类标准的系统或基础设施的人员。高级管理层将帮助确定作为利益相关者的其他人员。人力资源和法律顾问也是需要参与的其他利益相关者。这些群体中的每一个人都在健全的信息安全策略的整体架构中发挥着作用。

利益相关者将检查策略中与他们的专业知识有关的领域。这种审查可以确定策略中不相关或需要改进的领域。来自IT部门的专家可以检查涉及数据安全和数据隔离的策略，会负责梳理暴露在外的所有敏感数据，可以提出建议，保护任何未受保护的数据，也可以对我们的IP和客户数据进行任何加密。人力资源可能会审查任何与员工违反政策有关的惩罚措施，也可以提供一个培训计划，对员工进行政策和意识教育。在这个完善政策的过程中，应该让每个利益相关者都感到自己很重要。

作为高级管理层，有责任对这些策略表示支持，并鼓励我们的同事也支持这些策略。这种支持对于鼓励员工拥护政策至关重要。可根据需要的鼓励分配资源，高级管理层也应该在有冲突的地方为这些策略提供指导。

还可以研究在我们的同行业同领域内的其他企业成功的安全政策。可以对我们的策略与他们的进行差距评估，并在必要时修正我们的策略。还可以聘请外部专家来审计内外部合规性，测试我们的漏洞管理流程，并改进任何不符合标准的流程。

需要确保这些策略不会对某些人造成负担或惩罚过当，还需要测试我们的安全计划，确认它符合企业需求。通过持续审查，至少每两年一次，以更新安全策略。还应持续与关键利益相关者谈话，以保持高度的信息安全意识；然后，关键利益相关者应该与基层员工进行对话，告诉他们为什么要做这些事情；也需要听取反馈意见，并保持讨论的开放性。信息安全策略应该包括一个调整期，违反策略的用户会需要重新培训，温故而知新。为了使大家保持一种信息安全的文化，策略应该是一个持续更新的文件，由相关利益相关者不断地审查和改进。

后记

引用一段《中国超越》的作者张维为教授曾经在其书中提到的一段话：

邓小平说过，一个听过枪声的士兵和没有听过枪声的士兵就是不一样，实地考察过一个地方和没有考察过也是不一样的。

我认为这句话同样适用于这个议题的主题，如果没有亲身参与过体系化的安全建设或进行过体系化的安全思考，那么本议题所提到的内容可能并不能使您感同身受或者有所收益，但期望这篇拙劣的文章可以给您带来一丝思考和启发。

有些企业有管理、技术、运营三个体系是不够的，应该还有一个安全审计体系，实现“权责分离”，安全审计将对安全组织的权利进行制约，同时对安全体系建设的成果进行考核和审计，会使安全体系更加有效。

罗马也不是一天就能建成的，安全体系建议也不是一下子就建好的，需要打好基础，循序渐进，一步一步来。

作者介绍

**李鑫，**跨国两民族混血开过酒吧做过背包客的单身摇滚学渣，获得CISSP\CISM\CISA\CCSP\OSCP\DPO\IAPP\日本RC2商业安全&隐私保护\CSO研修班\AWS-SAP\CCIE\OCP\RHCE\PMP认证，前碧桂园集团信息安全总监。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org