【51CTO.com 綜合消息】時(shí)至今日，“信息”作為一種商業(yè)資產(chǎn)，其所擁有的價(jià)值對(duì)于一個(gè)企業(yè)而言毋庸置疑，重要性也與日俱增。越來(lái)越多的企業(yè)通過(guò)實(shí)施信息安全管理體系，來(lái)保證信息的保密性、完整性和可用性，保護(hù)信息免受來(lái)自各方的威脅，從而確保一個(gè)企業(yè)或機(jī)構(gòu)可持續(xù)的發(fā)展。

通常企業(yè)都會(huì)通過(guò)聘請(qǐng)外部顧問(wèn)以項(xiàng)目的形式，來(lái)進(jìn)行自身信息安全管理體系的建設(shè)，咨詢顧問(wèn)與企業(yè)內(nèi)體系推進(jìn)人員共同進(jìn)行體系的策劃、風(fēng)險(xiǎn)評(píng)估、體系文件編寫、風(fēng)險(xiǎn)管控措施規(guī)劃，當(dāng)體系建立完成后，最終由企業(yè)內(nèi)部推行人員自行維護(hù)，推動(dòng)體系的正常運(yùn)轉(zhuǎn)。通過(guò)這種方式來(lái)進(jìn)行體系的建設(shè)，能夠***程度發(fā)揮咨詢顧問(wèn)的經(jīng)驗(yàn)，使企業(yè)不會(huì)在體系的建設(shè)過(guò)程中迷失方向，但是，在項(xiàng)目結(jié)束咨詢顧問(wèn)撤場(chǎng)后，企業(yè)內(nèi)部體系推行人員卻顯得無(wú)所適從，或者在體系的推行過(guò)程中顯得并不是非常的得心應(yīng)手，問(wèn)題在哪里呢？主要是以下幾個(gè)方面：

首先，在風(fēng)險(xiǎn)處置過(guò)程中所輸出的眾多信息安全管控措施難以統(tǒng)一規(guī)劃，并且缺少各項(xiàng)控制措施與信息安全風(fēng)險(xiǎn)的一一對(duì)應(yīng)。

眾所周知，在風(fēng)險(xiǎn)評(píng)估的過(guò)程中將會(huì)全面、系統(tǒng)地對(duì)企業(yè)的各項(xiàng)信息資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析，系統(tǒng)的分析出企業(yè)所面臨的各項(xiàng)風(fēng)險(xiǎn)，并對(duì)各項(xiàng)風(fēng)險(xiǎn)采取合理、有效的管控措施。在風(fēng)險(xiǎn)評(píng)估的過(guò)程中，企業(yè)所面臨的信息安全風(fēng)險(xiǎn)的類別，以及每一類信息風(fēng)險(xiǎn)中實(shí)際風(fēng)險(xiǎn)的個(gè)數(shù)無(wú)疑是非常大的，并且不同類別的信息安全風(fēng)險(xiǎn)所采取管控措施的優(yōu)先級(jí)也有很大的差別，如何對(duì)數(shù)量龐大的風(fēng)險(xiǎn)及管控措施進(jìn)行合理的規(guī)劃，對(duì)于企業(yè)來(lái)說(shuō)無(wú)疑是一個(gè)很大的難題，尤其對(duì)于組織規(guī)模比較龐大的企業(yè)更是如此，因此如何對(duì)風(fēng)險(xiǎn)評(píng)估后的管控措施進(jìn)行統(tǒng)一、合理的規(guī)劃至關(guān)重要。

其次，信息安全管理體系中的各級(jí)文件、模板及記錄很難有條理地進(jìn)行管理。

信息安全管理體系擁有為數(shù)眾多的文檔化的方針、策略、規(guī)范、制度，并在體系運(yùn)行的過(guò)程中將產(chǎn)生大量的記錄，如何對(duì)這些文件進(jìn)行分門別類的管理，并且很好的對(duì)其中的邏輯性與一致性進(jìn)行控制，這對(duì)于體系維護(hù)人員來(lái)講是一個(gè)不大不小的難題。

***，體系實(shí)施及運(yùn)作過(guò)程中關(guān)鍵的活動(dòng)（如體系測(cè)量、組織內(nèi)審、管理評(píng)審等）的策略、實(shí)施、記錄很難系統(tǒng)化、程序化。

信息安全管理體系在進(jìn)行PDCA循環(huán)運(yùn)行中，控制措施測(cè)量、內(nèi)審及管理評(píng)審是體系進(jìn)行持續(xù)改進(jìn)的發(fā)動(dòng)機(jī)，但是，由于這些活動(dòng)關(guān)系到企業(yè)的各個(gè)部門，組織、策劃、協(xié)調(diào)起來(lái)非常的困難，因此，如何將這些活動(dòng)的組織策劃自動(dòng)化、實(shí)施程序系統(tǒng)化，并且實(shí)施過(guò)程記錄完整化是體系推行人員一個(gè)非常大的挑戰(zhàn)。

如何對(duì)上面提到的這些問(wèn)題進(jìn)行有效的規(guī)避，即要發(fā)揮傳統(tǒng)咨詢模式的優(yōu)點(diǎn)，又能夠避免傳統(tǒng)咨詢模式的不足，使企業(yè)的信息安全管理體系實(shí)施更加有效呢？谷安天下經(jīng)過(guò)多年的沉淀積累，總結(jié)了相關(guān)領(lǐng)域咨詢經(jīng)驗(yàn)，形成完善的信息安全體系建設(shè)方法論，通過(guò)結(jié)合IT風(fēng)險(xiǎn)控制體系建設(shè)流程及知識(shí)庫(kù)，GooISMS能滿足各級(jí)組織的IT風(fēng)險(xiǎn)控制體系建設(shè)需求。 

圖1

GooISMS-信息安全體系建設(shè)系統(tǒng)包括安全體系規(guī)劃、安全體系設(shè)計(jì)、安全體系實(shí)施、安全體系保障四個(gè)主要模塊。這四個(gè)主要模塊的功能說(shuō)明如下：

1) 安全體系規(guī)劃：分析識(shí)別出的信息安全改進(jìn)措施，將需要增加或改進(jìn)的措施分解成一項(xiàng)項(xiàng)任務(wù)或項(xiàng)目，明確每個(gè)任務(wù)或項(xiàng)目的目標(biāo)、工作內(nèi)容，分析任務(wù)或項(xiàng)目的實(shí)施優(yōu)先級(jí)，根據(jù)實(shí)施優(yōu)先級(jí)規(guī)劃這些任務(wù)或項(xiàng)目的實(shí)施時(shí)間、實(shí)施范圍及參與人員。

2) 安全體系設(shè)計(jì)：建立體系相關(guān)部門、人員、職責(zé)及聯(lián)系信息，體統(tǒng)管理各類方針、策略、程序及作業(yè)指導(dǎo)書的模板及具體文件的歸檔、版本控制。

3) 安全體系實(shí)施：將各個(gè)任務(wù)實(shí)施的情況記錄到系統(tǒng)中，對(duì)各項(xiàng)任務(wù)的實(shí)施的狀態(tài)執(zhí)行有效跟蹤，并且評(píng)價(jià)各個(gè)任務(wù)實(shí)施的有效性。

4) 安全體系保障：對(duì)體系內(nèi)部審核、外部審核及管理評(píng)審等活動(dòng)進(jìn)行組織、策劃、協(xié)調(diào)，并對(duì)內(nèi)審、外審、管理評(píng)審的過(guò)程進(jìn)行記錄，對(duì)各不符合項(xiàng)及預(yù)防措施進(jìn)行記錄及狀態(tài)跟蹤。

GooISMS-信息安全體系建設(shè)系統(tǒng)充分與信息安全管理體系咨詢方法論進(jìn)行結(jié)合，對(duì)體系建設(shè)過(guò)程提供完整的安全規(guī)劃方法論，有效提高安全規(guī)劃的合理性，提供內(nèi)部審核、管理評(píng)審、外部審核等管理活動(dòng)支持，保障體系的有效實(shí)施。

【編輯推薦】

1. 信息安全管理體系在基金公司的實(shí)踐
2. 信息安全管理體系在保險(xiǎn)行業(yè)的實(shí)踐