CISP认证的指定教材《注册信息安全专业人员培训教材》的第三章信息安全管理,即从安全的视角来重新诠释管理。何谓管理,很多企业的高管认为,从别人身上拿结果就是管理。著名的管理学大师德鲁克说:“所谓管理,就是激发员工身上善意的部分”。而安全管理就是通过设置必要的管理原则、规章制度和必要的度量办法来从制度和流程层面来有效管理组织的信息资产。我们都知道人属于企业资产的一部分,人也是信息安全保障的核心要素之一,我们需要规范人的日常运营和操作行为。
那么,我们如何建立信息安全管理体系,并且通过体系的建立和日常的监督管控来不断规范企业员工的行为呢?国际标准化组织ISO给出了可以为每个企业借鉴的管控标准,即ISO 27000系列标准。比如ISO/IEC 27001的2013版提出14个控制类,113个控制点。这些控制类和控制点几乎覆盖了企业安全管理的方方面面。
除了ISO体系,常见的安全风险管理框架还有企业风险治理框架(COSO)和IT治理框架(COBIT)等。CISP的信息安全管理章节重点讲述的是ISO 27002,即信息安全体系控制实施的具体内容。在CISP的书中,关于ISO 27002的具体内容是按照层次化的文档形式来分层展开的,我们需要对具体的体系文件分类有一定的了解。
谈到文件体系,一般一级文件涉及到方针和政策,包括宏观信息安全管理战略。这一层级的文件通常由高级管理层发布。第二级文件为制度、流程和规范,通过这些文件来约束员工的行为,做到有法可依。第三级文件为员工执行工作所需的手册、指南和作业指导书,也就是我们俗称的操作手册(SOP)的范畴。第四级文件是针对员工操作的记录性文件,比如执行日志和表单等。
总之,信息安全管理是一个持续性的过程,在本章的书中还特意提到了戴明环(PDCA)的方法。安全风险管理的基本过程也体现了这种PDCA。比如我们需要首先确定风险管理的对象和范围,再基于特定对象的风险评估结果来选取适度的风险处置办法,持续监督风险处置全过程,保证风险过程的有效性,综合考虑企业针对安全管理的成本效益,并做必要的调整和改进提高。