在全球化的進(jìn)程當(dāng)中,盡管人們還在爭論全球化的優(yōu)點和缺點,但是它作為一個潮流,以不可抵擋的趨勢推動著我們的思維和行動?

首先是“中國制造”沖擊著各方人士的理念?也許我們在這個活動中被剝削了,也許我們在這個活動中發(fā)展了自身?由于我們穩(wěn)定政治經(jīng)濟(jì)環(huán)境,加上我們充足的勞動力資源,中國已經(jīng)成為事實的世界工廠基地?近年來,又出現(xiàn)了下面的情景:美國某個銀行的后臺業(yè)務(wù)處理,被西安的某個公司完成,而日本某個銀行的客戶服務(wù)電話,正在被位于大連的客服人員接聽?在這個關(guān)系里,我們不去探討誰的工作價值更高,我們有多余的勞動力,我們的價格比他們本地的要低廉,所以這些業(yè)務(wù)順利地來到了中國,在中國成為了一個新的產(chǎn)業(yè)-叫做BP0業(yè)務(wù)?類比于“Made in China”,人們把這個潮流叫做“China sourcing”?

不管是中國制造還是中國服務(wù),都要求供需雙方有著信任的基礎(chǔ)和對話的平臺?而信息安全則是這個信任關(guān)系中的最為重要的一個環(huán)節(jié)?這也要求有一個國際公認(rèn)的標(biāo)準(zhǔn)來規(guī)范雙方的行為和活動?因此這也是信息安全標(biāo)準(zhǔn)在中國應(yīng)用的驅(qū)動因素?

ISO27001認(rèn)證如何有效實施信息安全管理體系

通常企業(yè)都會通過聘請外部顧問以項目的形式，來進(jìn)行自身信息安全管理體系的建設(shè)，咨詢顧問與企業(yè)內(nèi)體系推進(jìn)人員共同進(jìn)行體系的策劃、風(fēng)險評估、體系文件編寫、風(fēng)險管控措施規(guī)劃，當(dāng)體系建立完成后，最終由企業(yè)內(nèi)部推行人員自行維護(hù)，推動體系的正常運(yùn)轉(zhuǎn)。通過這種方式來進(jìn)行體系的建設(shè)，能夠最大程度發(fā)揮咨詢顧問的經(jīng)驗，使企業(yè)不會在體系的建設(shè)過程中迷失方向，但是，在項目結(jié)束咨詢顧問撤場后，企業(yè)內(nèi)部體系推行人員卻顯得無所適從，或者在體系的推行過程中顯得并不是非常的得心應(yīng)手，問題在哪里呢?主要是以下幾個方面： 

首先，在風(fēng)險處置過程中所輸出的眾多信息安全管控措施難以統(tǒng)一規(guī)劃，并且缺少各項控制措施與信息安全風(fēng)險的一一對應(yīng)。 

眾所周知，在風(fēng)險評估的過程中將會全面、系統(tǒng)地對企業(yè)的各項信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險分析，系統(tǒng)的分析出企業(yè)所面臨的各項風(fēng)險，并對各項風(fēng)險采取合理、有效的管控措施。在風(fēng)險評估的過程中，企業(yè)所面臨的信息安全風(fēng)險的類別，以及每一類信息風(fēng)險中實際風(fēng)險的個數(shù)無疑是非常大的，并且不同類別的信息安全風(fēng)險所采取管控措施的優(yōu)先級也有很大的差別，如何對數(shù)量龐大的風(fēng)險及管控措施進(jìn)行合理的規(guī)劃，對于企業(yè)來說無疑是一個很大的難題，尤其對于組織規(guī)模比較龐大的企業(yè)更是如此，因此如何對風(fēng)險評估后的管控措施進(jìn)行統(tǒng)一、合理的規(guī)劃至關(guān)重要。 

其次，信息安全管理體系中的各級文件、模板及記錄很難有條理地進(jìn)行管理。 

信息安全管理體系擁有為數(shù)眾多的文檔化的方針、策略、規(guī)范、制度，并在體系運(yùn)行的過程中將產(chǎn)生大量的記錄，如何對這些文件進(jìn)行分門別類的管理，并且很好的對其中的邏輯性與一致性進(jìn)行控制，這對于體系維護(hù)人員來講是一個不大不小的難題。 

最后，體系實施及運(yùn)作過程中關(guān)鍵的活動(如體系測量、組織內(nèi)審、管理評審等)的策略、實施、記錄很難系統(tǒng)化、程序化。 

信息安全管理體系在進(jìn)行PDCA循環(huán)運(yùn)行中，控制措施測量、內(nèi)審及管理評審是體系進(jìn)行持續(xù)改進(jìn)的發(fā)動機(jī)，但是，由于這些活動關(guān)系到企業(yè)的各個部門，組織、策劃、協(xié)調(diào)起來非常的困難，因此，如何將這些活動的組織策劃自動化、實施程序系統(tǒng)化，并且實施過程記錄完整化是體系推行人員一個非常大的挑戰(zhàn)。 

如何對上面提到的這些問題進(jìn)行有效的規(guī)避，即要發(fā)揮傳統(tǒng)咨詢模式的優(yōu)點，又能夠避免傳統(tǒng)咨詢模式的不足，使企業(yè)的信息安全管理體系實施更加有效呢?我們建議企業(yè)需形成完善的信息安全體系建設(shè)方法論，通過結(jié)合IT風(fēng)險控制體系建設(shè)流程及知識庫，只有這樣才能有效滿足各級組織的IT風(fēng)險控制體系建設(shè)需求。 

為此，信息安全體系建設(shè)系統(tǒng)應(yīng)該包括安全體系規(guī)劃、安全體系設(shè)計、安全體系實施以及安全體系保障四個主要模塊。功能分別如下： 

①安全體系規(guī)劃：分析識別出的信息安全改進(jìn)措施，將需要增加或改進(jìn)的措施分解成一項項任務(wù)或項目，明確每個任務(wù)或項目的目標(biāo)、工作內(nèi)容，分析任務(wù)或項目的實施優(yōu)先級，根據(jù)實施優(yōu)先級規(guī)劃這些任務(wù)或項目的實施時間、實施范圍及參與人員。 

② 安全體系設(shè)計：建立體系相關(guān)部門、人員、職責(zé)及聯(lián)系信息，體統(tǒng)管理各類方針、策略、程序及作業(yè)指導(dǎo)書的模板及具體文件的歸檔、版本控制。 

③ 安全體系實施：將各個任務(wù)實施的情況記錄到系統(tǒng)中，對各項任務(wù)的實施的狀態(tài)執(zhí)行有效跟蹤，并且評價各個任務(wù)實施的有效性。 

④安全體系保障：對體系內(nèi)部審核、外部審核及管理評審等活動進(jìn)行組織、策劃、協(xié)調(diào)，并對內(nèi)審、外審、管理評審的過程進(jìn)行記錄，對各不符合項及預(yù)防措施進(jìn)行記錄及狀態(tài)跟蹤。 

綜上所述，今天企業(yè)的信息安全體系建設(shè)系統(tǒng)只有充分與信息安全管理體系咨詢方法論進(jìn)行結(jié)合，對體系建設(shè)過程提供完整的安全規(guī)劃方法論，有效提高安全規(guī)劃的合理性，提供內(nèi)部審核、管理評審、外部審核等管理活動支持，才能保障體系的有效實施。