信息安全管理体系在外包企业与业务的结合

      由于发包方对信息安全要求的提高,越来越多的外包企业都遵循ISO27001标准,建立了自身的信息安全管理体系(ISMS);然而,在ISMS建立及运作的过程,却很少有企业能够真正做到使ISMS与其外包业务相结合。如果不能与企业自身业务相结合,ISMS只能够徒有其形,最终不能很好的持续并且改进,那么,ISMS在外包企业如何做到与其业务很好的结合呢?作为一名信息安全咨询顾问,我很愿意将自己的一些理解与大家分享。

  首先,信息安全目标应与企业业务目标保持一致。

  信息安全目标是否能够与企业的业务目标相一致,将直接影响到ISMS运行的效率和效果,因此,信息安全的目标必须要符合企业的业务目标。要保证信息安全目标与企业业务目标的一致性,可以通过以下两个方面来考虑:

  1) 制定企业发展战略时,考虑业务目标的实现对信息安全的要求。在业务规划时,不仅仅分析业务需求,还应该同时进行信息安全需求分析,并且将这些信息安全的需求的实施内容加入到业务发展规划中。比如,企业将向某个新行业客户提供外包服务为企业的战略,那么在业务战略规划中应加入客户行业的安全需求调研、客户行业安全知识库建设、信息安全管理人才培养、外包服务车间的安全建设等信息安全内容。

  2) 制定信息安全目标时,继承企业的业务目标。信息安全目标是信息安全管理体系前进的方向,因此,只有将业务目标层层分解,最终得出信息安全目标,再将安全目标分解到各信息安全控制措施的具体指标,并且进行有效的过程改进,才能保证ISMS的有效行。

  其次,项目执行过程固化信息安全管理活动。

  信息安全管理活动能否固化到项目的执行过程中,或者说信息安全管理活动与项目运作的结合程度,已经成为了企业ISMS实施能否成功的关键因素。因此,企业想要建立并运作有效的ISMS,必须将信息安全管理作为项目管理活动的一部分,固化到项目实施的各个阶段。信息安全管理活动与项目执行过程的结合可以从以下方面考虑:

  1) 项目售前阶段客户信息安全需求管理。从项目售前阶段开始,对客户外包项目的信息安全需求进行归纳、分析,并且形成正式的客户安全需求文档。这份需求文档应包含客户所有正式提出的安全要求,每项的安全要求需要有相对应的具体的安全管理活动,并且在项目的整个声明周期由专人进行维护、管理,真正做到客户安全需求的符合性管理。

  2) 项目执行阶段信息安全管理活动实施。首先,在项目管理流程中,将项目运作过程中的信息安全管理职责明确定义下来,并且将各类项目所包含的信息安全管理活动定义下来。其次,在项目执行阶段,项目经理需要按照既定的项目安全管理活动进行操作,即从人、机、料、法、环的角度进行资产识别、风险评估、风险处理等活动。最后,在项目执行的过程中,需要审计人员定期或不定期的对项目的各个活动进行安全审计,从而保证项目安全管理活动的有效性。

  3) 项目结束后信息安全管理措施。项目结束时,项目相关的信息资产需要妥善的得到处理,避免由于管理不善导致敏感信息的泄露、丢失等问题。

  最后,在新业务开拓中考虑ISMS的附加价值。

  管理体系如何才能直接为企业创造价值,这一直都是每个企业所关心,并且非产困惑的问题,但是,信息安全管理体系却能够很好的为外包企业创造额外的价值。外包企业在提供通常的外包服务之外,还可以为根据不同安全等级需求的客户,提供不同安全级别的外包服务,为重点客户提供VIP的服务环境,例如:

  1) 提供单独的物理场所作为工作环境;

  - 独立碎纸机

  - 独立打印机

  - 独立门禁系统

  2) 提供符合客户要求的网络环境;

  3) 更为频繁的回顾与审计等。

  总之,在进行信息安全管理体系建设的过程中,只有充分的考虑到企业业务需求,并使各项管理措施渗透到企业的业务运作中,真正做到ISMS与外包企业的业务相结合,才能使信息安全管理体系发挥最大的效能,为外包企业带来更大的价值。