ISMS在外包企业与业务的结合

作者简介：李鹏飞，谷安天下咨询经理，9年信息安全领域工作经验。主要从事信息系统运行维护、信息安全风险评估、信息安全管理体系咨询等方面工作，曾服务的客户有：中国农业银行总行、招商银行、广发银行、深圳证券通信公司、南方航空、北方电信、上海电信、北京NTT DATA、同方鼎欣、华胜天成、新疆移动、青岛啤酒、广发银行等。

由于发包方对信息安全要求的提高，越来越多的外包企业都遵循ISO27001标准，建立了自身的信息安全管理体系（ISMS）；然而，在ISMS建立及运作的过程，却很少有企业能够真正做到使ISMS与其外包业务相结合。如果不能与企业自身业务相结合，ISMS只能够徒有其形，最终不能很好的持续并且改进，那么，ISMS在外包企业如何做到与其业务很好的结合呢？作为一名谷安天下的信息安全咨询顾问，我很愿意将自己的一些理解与大家分享。

首先，信息安全目标应与企业业务目标保持一致。

信息安全目标是否能够与企业的业务目标相一致，将直接影响到ISMS运行的效率和效果，因此，信息安全的目标必须要符合企业的业务目标。要保证信息安全目标与企业业务目标的一致性，可以通过以下两个方面来考虑：

制定企业发展战略时，考虑业务目标的实现对信息安全的要求。在业务规划时，不仅仅分析业务需求，还应该同时进行信息安全需求分析，并且将这些信息安全的需求的实施内容加入到业务发展规划中。比如，企业将向某个新行业客户提供外包服务为企业的战略，那么在业务战略规划中应加入客户行业的安全需求调研、客户行业安全知识库建设、信息安全管理人才培养、外包服务车间的安全建设等信息安全内容。

制定信息安全目标时，继承企业的业务目标。信息安全目标是信息安全管理体系前进的方向，因此，只有将业务目标层层分解，最终得出信息安全目标，再将安全目标分解到各信息安全控制措施的具体指标，并且进行有效的过程改进，才能保证ISMS的有效行。

其次，项目执行过程固化信息安全管理活动。

信息安全管理活动能否固化到项目的执行过程中，或者说信息安全管理活动与项目运作的结合程度，已经成为了企业ISMS实施能否成功的关键因素。因此，企业想要建立并运作有效的ISMS，必须将信息安全管理作为项目管理活动的一部分，固化到项目实施的各个阶段。信息安全管理活动与项目执行过程的结合可以从以下方面考虑：

项目售前阶段客户信息安全需求管理。从项目售前阶段开始，对客户外包项目的信息安全需求进行归纳、分析，并且形成正式的客户安全需求文档。这份需求文档应包含客户所有正式提出的安全要求，每项的安全要求需要有相对应的具体的安全管理活动，并且在项目的整个声明周期由专人进行维护、管理，真正做到客户安全需求的符合性管理。

项目执行阶段信息安全管理活动实施。首先，在项目管理流程中，将项目运作过程中的信息安全管理职责明确定义下来，并且将各类项目所包含的信息安全管理活动定义下来。其次，在项目执行阶段，项目经理需要按照既定的项目安全管理活动进行操作，即从人、机、料、法、环的角度进行资产识别、风险评估、风险处理等活动。最后，在项目执行的过程中，需要审计人员定期或不定期的对项目的各个活动进行安全审计，从而保证项目安全管理活动的有效性。

项目结束后信息安全管理措施。项目结束时，项目相关的信息资产需要妥善的得到处理，避免由于管理不善导致敏感信息的泄露、丢失等问题。

最后，在新业务开拓中考虑ISMS的附加价值。

管理体系如何才能直接为企业创造价值，这一直都是每个企业所关心，并且非产困惑的问题，但是，信息安全管理体系却能够很好的为外包企业创造额外的价值。外包企业在提供通常的外包服务之外，还可以为根据不同安全等级需求的客户，提供不同安全级别的外包服务，为重点客户提供VIP的服务环境，例如：

提供单独的物理场所作为工作环境；

独立碎纸机

独立打印机

独立门禁系统

提供符合客户要求的网络环境；

更为频繁的回顾与审计等。

总之，在进行信息安全管理体系建设的过程中，只有充分的考虑到企业业务需求，并使各项管理措施渗透到企业的业务运作中，真正做到ISMS与外包企业的业务相结合，才能使信息安全管理体系发挥最大的效能，为外包企业带来更大的价值。