信息安全管理體系外包企業(yè)與業(yè)務(wù)的結(jié)合

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

信息安全管理體系(ISMS)建設(shè)對(duì)于企業(yè)業(yè)務(wù)順利開(kāi)展意義重大，然而在ISMS建立及運(yùn)作的過(guò)程，卻很少有企業(yè)能夠真正做到使ISMS與其外包業(yè)務(wù)相結(jié)合。

由于發(fā)包方對(duì)信息安全要求的提高，越來(lái)越多的外包企業(yè)都遵循ISO27001標(biāo)準(zhǔn)，建立了自身的信息安全管理體系(ISMS);然而，在ISMS建立及運(yùn)作的過(guò)程，卻很少有企業(yè)能夠真正做到使ISMS與其外包業(yè)務(wù)相結(jié)合。如果不能與企業(yè)自身業(yè)務(wù)相結(jié)合，ISMS只能夠徒有其形，最終不能很好的持續(xù)并且改進(jìn)，那么，ISMS在外包企業(yè)如何做到與其業(yè)務(wù)很好的結(jié)合呢?作為一名信息安全咨詢(xún)顧問(wèn)，我很愿意將自己的一些理解與大家分享。

首先，信息安全目標(biāo)應(yīng)與企業(yè)業(yè)務(wù)目標(biāo)保持一致。

信息安全目標(biāo)是否能夠與企業(yè)的業(yè)務(wù)目標(biāo)相一致，將直接影響到ISMS運(yùn)行的效率和效果，因此，信息安全的目標(biāo)必須要符合企業(yè)的業(yè)務(wù)目標(biāo)。要保證信息安全目標(biāo)與企業(yè)業(yè)務(wù)目標(biāo)的一致性，可以通過(guò)以下兩個(gè)方面來(lái)考慮：

1) 制定企業(yè)發(fā)展戰(zhàn)略時(shí)，考慮業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)對(duì)信息安全的要求。在業(yè)務(wù)規(guī)劃時(shí)，不僅僅分析業(yè)務(wù)需求，還應(yīng)該同時(shí)進(jìn)行信息安全需求分析，并且將這些信息安全的需求的實(shí)施內(nèi)容加入到業(yè)務(wù)發(fā)展規(guī)劃中。比如，企業(yè)將向某個(gè)新行業(yè)客戶(hù)提供外包服務(wù)為企業(yè)的戰(zhàn)略，那么在業(yè)務(wù)戰(zhàn)略規(guī)劃中應(yīng)加入客戶(hù)行業(yè)的安全需求調(diào)研、客戶(hù)行業(yè)安全知識(shí)庫(kù)建設(shè)、信息安全管理人才培養(yǎng)、外包服務(wù)車(chē)間的安全建設(shè)等信息安全內(nèi)容。

2) 制定信息安全目標(biāo)時(shí)，繼承企業(yè)的業(yè)務(wù)目標(biāo)。信息安全目標(biāo)是信息安全管理體系前進(jìn)的方向，因此，只有將業(yè)務(wù)目標(biāo)層層分解，最終得出信息安全目標(biāo)，再將安全目標(biāo)分解到各信息安全控制措施的具體指標(biāo)，并且進(jìn)行有效的過(guò)程改進(jìn)，才能保證ISMS的有效行。

其次，項(xiàng)目執(zhí)行過(guò)程固化信息安全管理活動(dòng)。

信息安全管理活動(dòng)能否固化到項(xiàng)目的執(zhí)行過(guò)程中，或者說(shuō)信息安全管理活動(dòng)與項(xiàng)目運(yùn)作的結(jié)合程度，已經(jīng)成為了企業(yè)ISMS實(shí)施能否成功的關(guān)鍵因素。因此，企業(yè)想要建立并運(yùn)作有效的ISMS，必須將信息安全管理作為項(xiàng)目管理活動(dòng)的一部分，固化到項(xiàng)目實(shí)施的各個(gè)階段。信息安全管理活動(dòng)與項(xiàng)目執(zhí)行過(guò)程的結(jié)合可以從以下方面考慮：

1) 項(xiàng)目售前階段客戶(hù)信息安全需求管理。從項(xiàng)目售前階段開(kāi)始，對(duì)客戶(hù)外包項(xiàng)目的信息安全需求進(jìn)行歸納、分析，并且形成正式的客戶(hù)安全需求文檔。這份需求文檔應(yīng)包含客戶(hù)所有正式提出的安全要求，每項(xiàng)的安全要求需要有相對(duì)應(yīng)的具體的安全管理活動(dòng)，并且在項(xiàng)目的整個(gè)聲明周期由專(zhuān)人進(jìn)行維護(hù)、管理，真正做到客戶(hù)安全需求的符合性管理。

2) 項(xiàng)目執(zhí)行階段信息安全管理活動(dòng)實(shí)施。首先，在項(xiàng)目管理流程中，將項(xiàng)目運(yùn)作過(guò)程中的信息安全管理職責(zé)明確定義下來(lái)，并且將各類(lèi)項(xiàng)目所包含的信息安全管理活動(dòng)定義下來(lái)。其次，在項(xiàng)目執(zhí)行階段，項(xiàng)目經(jīng)理需要按照既定的項(xiàng)目安全管理活動(dòng)進(jìn)行操作，即從人、機(jī)、料、法、環(huán)的角度進(jìn)行資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理等活動(dòng)。最后，在項(xiàng)目執(zhí)行的過(guò)程中，需要審計(jì)人員定期或不定期的對(duì)項(xiàng)目的各個(gè)活動(dòng)進(jìn)行安全審計(jì)，從而保證項(xiàng)目安全管理活動(dòng)的有效性。

3) 項(xiàng)目結(jié)束后信息安全管理措施。項(xiàng)目結(jié)束時(shí)，項(xiàng)目相關(guān)的信息資產(chǎn)需要妥善的得到處理，避免由于管理不善導(dǎo)致敏感信息的泄露、丟失等問(wèn)題。

最后，在新業(yè)務(wù)開(kāi)拓中考慮ISMS的附加價(jià)值。

管理體系如何才能直接為企業(yè)創(chuàng)造價(jià)值，這一直都是每個(gè)企業(yè)所關(guān)心，并且非產(chǎn)困惑的問(wèn)題，但是，信息安全管理體系卻能夠很好的為外包企業(yè)創(chuàng)造額外的價(jià)值。外包企業(yè)在提供通常的外包服務(wù)之外，還可以為根據(jù)不同安全等級(jí)需求的客戶(hù)，提供不同安全級(jí)別的外包服務(wù)，為重點(diǎn)客戶(hù)提供VIP的服務(wù)環(huán)境，例如：

1) 提供單獨(dú)的物理場(chǎng)所作為工作環(huán)境;

- 獨(dú)立碎紙機(jī)

- 獨(dú)立打印機(jī)

- 獨(dú)立門(mén)禁系統(tǒng)

2) 提供符合客戶(hù)要求的網(wǎng)絡(luò)環(huán)境;

3) 更為頻繁的回顧與審計(jì)等。

總之，在進(jìn)行信息安全管理體系建設(shè)的過(guò)程中，只有充分的考慮到企業(yè)業(yè)務(wù)需求，并使各項(xiàng)管理措施滲透到企業(yè)的業(yè)務(wù)運(yùn)作中，真正做到ISMS與外包企業(yè)的業(yè)務(wù)相結(jié)合，才能使信息安全管理體系發(fā)揮最大的效能，為外包企業(yè)帶來(lái)更大的價(jià)值。（比特網(wǎng)）