用信息系统驱动ISMS建设

作者简介：吕康，谷安天下高级产品顾问，具备丰富的IT风险管理及流程的专业知识，拥有丰富的ISMS项目实施经验，在项目中协助客户进行风险评估，并根据风险评估的结果结合客户企业文化进行风险处理，建立符合ISO 27001标准的信息安全管理体系（ISMS），并且与客户当前的管理体系（包括：ISO 9001、 ISO2000以及CMMI）进行整合，使之符合客户的不断变化的业务需求和业务环境，从而保持持续经营，有效达成客户期望。

同时具备丰富的IT风险管理软件设计与部署、实施等方面经验。

文章正文：

随着社会信息化的不断发展，信息本身蕴含了巨大的价值，成为财富的主要来源之一，因此信息安全建设得到了越来越多组织和企业的关注和重视，建立信息安全管理体系（ISMS）被认为是最全面有效的方式，以管理组织内部与信息安全相关的风险。

信息安全管理体系在一个企业当中，是整个管理体系的一部分，正如质量管理体系、财务管理体系或环境管理体系一样，是推动和保障企业业务发展的重要因素。而且ISMS的概念已经跳出了传统的“为了信息安全而信息安全”的理解，强调基于业务风险方法来组织信息安全活动，其本身只是整个管理体系的一部分，因此，是站在全局的观点来看待信息安全问题。

通常企业在建设ISMS时，可以根据自身需要，引入ISMS标准，来指导其ISMS建设，如国际标准ISO27001。但是在体系建设的前，企业需要做好各种准备和策划工作，包括教育培训、制定计划、现状调研，以及人力和资源方面的调配；企业还需要根据自己的实际情况，确定ISMS的实施范围，可以在整个组织范围内、也可以在个别部门或区域内实施。接下来，企业可以自行实施，也可以请外部咨询顾问，来协助企业进行整个体系建设的过程，从现状调研、资产收集和分析、风险评估，到建立信息安全管理的框架，从整体和全局的视角，从信息系统的所有层面进行整体安全建设，并将其文档化，保持文件化的信息安全管理体系，作为组织实施风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的依据。信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织通过加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。最后通过内审，组织进行自我检查，通过外审获得资质认证。

在以往国内实施ISMS建设的组织当中，大多是按照这样的过程来做的。ISMS建设的实施人员，除了要具备必要的知识技能和管理意识外，还要面临大量具体、繁琐而枯燥的工作，例如对信息资产的收集和维护过程，以及对其进行风险评估时的大量文案工作；当ISMS体系建立起来以后，对体系的维护过程也和企业管理中遇到的其他问题一样：流程的运转、信息的管理、知识的沉淀。不过目前大多数公司对ISMS的建设和维护过程，都还停留在离散的管理方式中，只是用“管理流程”“管理规定”来约束整个过程，却没有完整可靠的信息系统工具对整个过程进行指导和约束。

现代企业管理中ERP已经得到广泛认可和应用，生产制造、质量监控、财务管理、商务管理、人力资源管理、客户关系管理、电子商务等等，已经可以整合在一套基于网络的、开发平台统一的、灵活配置业务流程的信息系统当中，而信息安全管理体系建设与维护，将成为企业信息管理系统的新需求。

那么，将信息安全管理体系建设和维护过程固化到信息系统中是否可行呢？从体系的实施过程来说，国内已经有不少企业和组织都建立了信息安全管理体系，虽然从单个企业或组织来说其过程未必具有代表性，但咨询公司在协助各种不同行业类型的企业和组织建立ISMS时，积累了很多经验，可以将风险管理与控制体系建设方法及过程在软件系统中固化下来，并建立与各种信息安全风险控制相关，与法规制度、标准指南相对应的信息安全风险控制的知识库。这样，就可以规范信息安全风险管理与控制体系的建设过程，提升组织信息安全风险管理与控制体系的完备性和有效性。从技术角度讲，企业需要的信息系统应该符合以下标准：基于浏览器/服务器的体系结构，支持标准网络通信协议，支持标准的数据库访问，支持XML的异构系统互联；应用系统独立于硬件平台、操作系统和数据库;实现系统的开放性、集成性、可扩展性、互操作性。这些技术需求在现在已发展的非常成熟。结合软件的业务需求和技术需求来看，对信息安全风险进行管理的软件系统是完全可以实现的，对于需要建设信息安全管理体系的企业和组织，以及咨询公司来说，这样的系统是非常有价值的。

不过在国内市场上，具有这样功能的软件产品并不多。北京谷安天下科技有限公司的IT风险管理系统（ITRM）正是符合以上需求的一款软件。谷安天下经过多年的相关领域咨询经验，形成了完善的IT风险控制体系建设方法论，并整合当前纷繁复杂的IT 风险控制相关法规制度标准指南及实践要求，形成了一个涵盖COSO、Cobit、BS7799/ISO27000、ITIL、等级保护等各类IT 风险控制准则的控制目标或措施要求知识库。通过结合谷安天下的IT 风险控制体系建设流程及知识库，信息安全风险评估管理系统能满足各级组织的IT 风险控制体系建设需求。从技术实现角度看，信息安全风险评估管理系统系统采用B/S 架构，以通用浏览器作为客户端，采用J2EE 构建系统服务端。整个系统应用逻辑上分为三层，分别是服务层、业务层、表示层。服务层向业务层提供Web 及数据库服务，由Web 中间件及数据库系统完成；业务层完成体系建设辅导、知识库维护等业务功能，采用J2EE 技术实现；表示层向客户展示业务层返回信息，通过浏览器实现。对于用户来说，这样的系统未尝不是一种新的解决方案。