CISP認(rèn)證的指定教材《注冊信息安全專業(yè)人員培訓(xùn)教材》的第三章信息安全管理,即從安全的視角來重新詮釋管理。何謂管理,很多企業(yè)的高管認(rèn)為,從別人身上拿結(jié)果就是管理。著名的管理學(xué)大師德魯克說:“所謂管理,就是激發(fā)員工身上善意的部分”。而安全管理就是通過設(shè)置必要的管理原則、規(guī)章制度和必要的度量辦法來從制度和流程層面來有效管理組織的信息資產(chǎn)。我們都知道人屬于企業(yè)資產(chǎn)的一部分,人也是信息安全保障的核心要素之一,我們需要規(guī)范人的日常運(yùn)營和操作行為。
那么,我們?nèi)绾谓⑿畔踩芾眢w系,并且通過體系的建立和日常的監(jiān)督管控來不斷規(guī)范企業(yè)員工的行為呢?國際標(biāo)準(zhǔn)化組織ISO給出了可以為每個(gè)企業(yè)借鑒的管控標(biāo)準(zhǔn),即ISO 27000系列標(biāo)準(zhǔn)。比如ISO/IEC 27001的2013版提出14個(gè)控制類,113個(gè)控制點(diǎn)。這些控制類和控制點(diǎn)幾乎覆蓋了企業(yè)安全管理的方方面面。
除了ISO體系,常見的安全風(fēng)險(xiǎn)管理框架還有企業(yè)風(fēng)險(xiǎn)治理框架(COSO)和IT治理框架(COBIT)等。CISP的信息安全管理章節(jié)重點(diǎn)講述的是ISO 27002,即信息安全體系控制實(shí)施的具體內(nèi)容。在CISP的書中,關(guān)于ISO 27002的具體內(nèi)容是按照層次化的文檔形式來分層展開的,我們需要對(duì)具體的體系文件分類有一定的了解。
談到文件體系,一般一級(jí)文件涉及到方針和政策,包括宏觀信息安全管理戰(zhàn)略。這一層級(jí)的文件通常由高級(jí)管理層發(fā)布。第二級(jí)文件為制度、流程和規(guī)范,通過這些文件來約束員工的行為,做到有法可依。第三級(jí)文件為員工執(zhí)行工作所需的手冊、指南和作業(yè)指導(dǎo)書,也就是我們俗稱的操作手冊(SOP)的范疇。第四級(jí)文件是針對(duì)員工操作的記錄性文件,比如執(zhí)行日志和表單等。
總之,信息安全管理是一個(gè)持續(xù)性的過程,在本章的書中還特意提到了戴明環(huán)(PDCA)的方法。安全風(fēng)險(xiǎn)管理的基本過程也體現(xiàn)了這種PDCA。比如我們需要首先確定風(fēng)險(xiǎn)管理的對(duì)象和范圍,再基于特定對(duì)象的風(fēng)險(xiǎn)評(píng)估結(jié)果來選取適度的風(fēng)險(xiǎn)處置辦法,持續(xù)監(jiān)督風(fēng)險(xiǎn)處置全過程,保證風(fēng)險(xiǎn)過程的有效性,綜合考慮企業(yè)針對(duì)安全管理的成本效益,并做必要的調(diào)整和改進(jìn)提高。