欢迎来到「华道顾问」,专业为您提供:ISO系列标准认证、特种设备生产资质、涉水产品卫生许可、服务认证等咨询辅导服务。
全国免费咨询电话:
4006-010-725
搜索:
北京电话:136 8120 0268
青岛电话:137 0542 9315
上海电话:152 2175 9315

青岛华道智业企业管理咨询有限公司
全国免费咨询电话:4006-010-725

地址:山东省青岛市市南区中山路10号
电话|微信:137-9194-1216
办公电话:0532-89775129
QQ1:574472821
QQ2:1263118282
网址:http://www.hdzygw.com
邮箱:hdzygw#126.com(#换@)
您现在的位置:网站首页 >国际标准认证 >ISO/IEC 27001信息安全管理体系认证ISO/IEC 27001信息安全管理体系认证

山东企业ISO27001信息安全管理体系建设运行的正确方式

文章来源:华道顾问 编辑:华道顾问

 信息安全管理体系(ISMS)在国内经过十多年的应用逐渐走向成熟,在这个过程中,有很多组织在对其不断完善强大,也有很多组织逐渐将其边缘化。同时,那些坚持下来的组织,也有些对ISMS体系的运行逐渐流于形式,仅将其作为商业竞争的筹码。这是一个值得思考的问题,这一问题的妥善解决,将有助于真正提高组织的信息安全管理水平。
ISMS最直接相关的是ISO/IEC 27000标准族,预留标准号60个,目前已有35个标准号相关标准建立发布,但由于标准转换的限制和标准的专业性,国内建立ISMS的组织一般都仅仅关注ISO/IEC 27001《信息技术安全技术信息安全管理体系要求》和ISO/IEC 27002《信息技术安全技术信息安全管理体系控制实践指南》。这两个标准,尤其是ISO/IEC 27001仅是要求,内容简练,不易理解,从而导致组织对其理解存在偏差。本文从可能存在的偏差及其原因入手,对解决方法进行简单讨论。
偏差之一是组织对建立ISMS期望太高,以致对仓促建立的体系感到失望。ISMS对应的要求类标准ISO/IEC 27001来自英标BS 7799-2,是工业化国家对其信息安全最佳实践的总结和提炼,但部分组织会认为它本身就是最佳实践。事实上,标准只是要求,没有具体实现的方法,需要组织对其进行理解、建立、实施和运行,并逐步形成自己的最佳实践。所以一开始一劳永逸的高期望与实际建设和运行过程中频频出现的问题是组织对ISMS逐渐失望并产生怀疑的主要原因。

偏差之二是重实施不重设计。好的设计可以让实施变得事半功倍,且更容易实现预期的效果。但现实是,大部分组织都采用简单的设计,复杂的实施。在体系建设之初,体系的建设小组通常会在咨询方的指导下,开展体系的建设和实施。通常情况下,有咨询方指导,体系的建设和实施会更顺利,但实际上受时间或能力的限制,咨询方对体系建设方的实际情况了解不够充分,体系设计形式化,从而导致体系的建设大而全,不够深入和细致,不能贴合组织的实际情况。这样简单粗暴、不考虑实际的设计根本无法将ISMS真正融入组织原有的自成体系的管理里面,这也是组织对其失望的原因之一。

偏差之三是无法衡量ISMS对组织业务的正面支持和影响。体系的建设,必须要有管理层的支持和充足的资源保障,如何说服管理层给予支持,需要充足的理由和证据。然而,很多组织在体系建设的时候并未建立良好的评价机制,从而导致无法证明或展现管理体系的效果,再加上前面两个原因,更是雪上加霜,一旦管理层不再支持,管理体系有用没用都无法持续下去。
当然,ISMS无法良好运行的原因有很多种,这三个方面是相对比较普遍、关键和基础的,组织如能在这三个方面做好,则可以为建立ISMS打下了坚实的基础。

这三方面问题其实是相辅相成的,需要整体进行解决。目前,随着管理体系类标准的发展,信息安全管理体系实际上就是管理体系在信息安全领域的应用,因此我们可以先从管理体系谈起。
什么是管理体系?简单说就是组织为了实现管理目的而建立的一系列相辅相成的管理过程,对组织的活动进行指导和控制。管理体系可大可小,可简单可复杂,一个全面的管理体系可以由多个单独的管理体系组成,其最终目的是实现组织的价值和战略目标。从这个角度来看,信息安全管理体系就是为了实现信息安全目的而建立的管理体系。随着国际标准化组织导则83的发布,对管理体系标准的基本结构提出了明确的要求,依据导则83编制的管理体系标准从章节设置和框架内容设置上都保持了高度一致,每个管理体系都是建立在同一个框架下。组织在建立管理体系的同时,也建立了一个基本的管理框架,这样一来,组织无论是建立其他管理体系还是为了实现某个管理目的建立管理制度时,都可以在这个基本管理框架下进行,所以,组织要建立ISMS应先从管理框架建起,这样可以达到事半功倍的效果。

那么,如何建立管理框架才能避免前面提到的三个问题呢?首先,从标准结构来看,管理体系的框架分7章节进行描述,分别为:组织环境、领导力、规划、支持、运行、绩效评价和持续改进。每一章节的内容都很简单,仅仅是提出了要求,却没有要求一定要怎样做,组织必须自己理解或者聘请有能力的人员来帮助完成这些管理过程的设计和实施。框架建立的质量将决定一个具体的管理体系设计实施的效果。现在,我们来了解一下管理框架的基本内容:

组织环境。组织需要建立组织环境管理的基本方法并识别组织的基本环境信息,其实所谓的组织环境也就是我们常说的组织的基本情况,例如组织业务及业务特点、来自外部的限制条件和约束、内部的限制条件和约束、相关方及其特点等,这些都会影响体系的设计效果,就像设计一个建筑要了解地质条件和人文环境一样重要。

领导力。没有管理层的支持就没有资源,因此要明确管理层的责任。管理体系要实现的组织管理目的其实就是管理层的管理目的,管理层在管理体系里面一个重要的责任就是要明确提出管理目的,也就是我们常说的确定方针,如果缺少这个环节,设计出的管理体系就不会得到管理层的支持。除此之外,为了实现管理目的,还需要管理层提供资源,分配职责和赋予权力。

规划。有了方针,自然要去实现它,管理体系的方针实现过程就是通过建立与方针保持一致的目标来实现,因此在规划阶段要建立逐级分解的目标,一般目标分为上层目标和下层目标,上层目标为下层目标提供方向,下层目标对上层目标进行支撑,分解为多少层与组织的组织架构和管理结构有直接关系,重点是要分解到可以通过活动来实现的层级。并不是每一个目标分解的层级都是一样的,需要根据实际情况来确定。在规划的环节,还应充分考虑组织的风险管理,在目标实现过程中,总是会有各种因素影响目标的实现,这些因素需要进行识别并得到有效控制。但这些因素的识别不要盲目采用那些所谓放之四海而皆准的列表,而是要结合组织自己的情况来针对性识别,也就是要充分利用识别的组织环境信息。基于上述活动,组织就可以建立起贴合实际的目标实现计划。

组织还需注意的是风险管理是动态的,随着组织环境的变化,风险也会变化,因此组织需要建立有效的风险管理过程和风险评估方法。

支持。从体系建设之初,对资源的需求就开始了,这一章正式提出了建立、运行、维护和持续改进管理体系所需要的支持,因此可以看出,标准的章节并不是按体系建设执行顺序来写的,不是要等规划完成后再考虑支持资源的提供和支持活动的建立。管理体系的支持主要从资源管理、人员能力管理、意识管理、沟通管理和文档管理等5个方面提出要求。这些方面,组织根据实际情况或者根据现有的管理情况确定管理过程即可。

运行。由于资源和能力限制,运行不一定要把规划好的活动和管理过程全部进行实施和投入运行。实际情况是,管理体系的建立和运行在不同规模的组织内需要1年到3年的时间才能够相对完善。因此建设运行计划很重要,组织需要根据组织的管理现状、资源限制情况、相关方要求的影响程度等多个方面,建立可行的建设运行计划。对于那些必须满足的要求、急需解决的问题、对组织有重大影响的风险,需要集中资源重点进行实施和运行;对于那些对业务影响比较大,需要反复论证和测试的,可以单独作为项目进行管理和实施;对于自我实现成本过高的可以通过外包的形式进行实现;对于时间要求不紧迫的方面,可以在时间表上缓一缓。一个好的建设运行计划,可以保证体系有条不紊地运行。

绩效评价。绩效评价设计的好坏,直接影响着管理体系在管理层心目中的形象。这个环节是否能够很好地进行设计和实施取决于规划环节目标对方针的支持程度和目标层级的设计是否合理,因为管理体系是否实现管理层的管理目的要看方针和目标是否得到实现。当然这只是一个方面,有了好的目标框架设计,还需要好的绩效评价方法和评估实施过程。很多组织会建立单独的绩效评价方法和过程,但实际上内部审核是非常好的绩效评价手段。所谓内部审核,就是组织对自己体系运行情况的评价活动,主要用来区别于第三方审核。组织可以任意设计内部审核的方式和频率,不需要每年一次,更不需要由几个人员来完成整个组织的内部审核工作。组织可以为每一个影响管理目标的管理过程和管理措施,甚至是活动和岗位,设计评价指标、评价方法、评价频率并指定评价人员。将管理体系的内部审核工作分散到各个部门、各个团队,定期或不定期地由相关人员提供信息和数据,然后由专门的部门或岗位对信息和数据进行汇总分析,从而实现绩效的评价。但需要注意的是,评价方法、抽样方式和频率、绩效计算公式等方面要进行详细、科学、合理的设计才会实现预期的目的。

管理评审也是绩效评价的一种方式,这种方式比较直接,由管理层直接作出评价。当然,管理层需要内部审核的结果和体系运行的其他信息来进行综合评价。管理层的评价很重要,直接决定接下来他是否会更好地支持管理体系的运行工作。

持续改进。绩效评价是持续改进的一个重要输入,对于存在的问题和无法实现预期目标的方面都要进行改进,这一方面很容易理解,不再赘述。

如果上述7个方面组织可以进行良好的设计和实施,则无论建立什么样的管理体系都可以先成功一半。对于ISMS来说,还需要做好哪些事情才能真正发挥ISMS的作用,下面针对ISMS来做讨论。

返回

        青岛华道智业企业管理咨询有限公司   版权所有             全国免费服务电话:4006-010-725
     总部:青岛市南区中山路10号            电话|微信:137-9194-1216       QQ:574472821
        北京:海淀区西三环昌运宫紫竹桥      电话|微信:136-8120-0268       QQ:2970890153
       上海:闵行区虹梅南路1755号            电话|微信:152-2175-9315       QQ:2215501312
        杭州:西湖区文三路508号天苑大厦    电话|微信:158-6716-8335       QQ:1263118282
        西安:未央区未央路80号                   电话|微信:139-0928-9277       QQ:3568192523

    鲁ICP备11001126-1    常年法律顾问:徐年达  胡克用
    服务项目:国际标准认证,特种设备资质,涉水产品卫生许可批件,售后服务认证
服务地区:
青岛,烟台,济南,威海,潍坊,日照,东营,滨州,淄博,莱芜,临沂,济宁,泰安,枣庄,菏泽,聊城,德州,上海,深圳,重庆,广州,天津,石家庄,长春,哈尔滨,济南,呼和浩特,沈阳,乌鲁木齐,兰州,西宁,银川,郑州,太原,合肥,长沙,武汉,南京,成都,贵阳,昆明,南宁,拉萨,杭州,南昌,福州,海口,大连