安全 · 2022年7月14日 0

自上而下的构建体系化的信息安全策略

一、缘由

​为什么要写这篇博客呢?笔者最近几年一直在专职从事信息安全管理相关的工作,与前几年单纯做技术工作相比,感觉工作更加的繁杂且牵扯到各个不同的利益相关者,工作推动起来更加的困难。日常会涉及到大量与信息安全管理流程相关的事务工作,流程应当是为了完成一项任务而定下的事务处理规则及利益相关的责任主体行为,需要各方参与,定期修订且流程必须最终闭环,接受审计。但是在实践中经常会出现流程不清晰、推诿责任、找不到流程归属等情况,笔者曾经在做个人信息安全自查时发现流程中存在一些缺失而提出对流程进行修订,在修订过程中又遇到“谁是个人信息自查牵头部门”的问题而不停的拖延。我想应该不止我一个人遇到类似的问题,因此在经历过众多的问题处理后,笔者试着在本篇博客中阐述自己的一些不太成熟的想法,本篇内容纯属笔者的一些思考与见解,由于经历与见识均存在一些不足,望读者见谅。

另外再说明一个问题,可能读者也会有这个疑问,现在已经有很成熟的流程体系了,比如IT服务管理体系ITIL,信息安全管理体系ISO27000系列等,直接拿来用不就行了吗?我想任何体系都有其使用的环境,包括企业领导的认可程度、信息安全在企业中的地位、可以投入的资源多少等等,这些因素都会对企业是否进行ISO27000认证的决策产生影响。笔者这里就是在针对企业没有ISO27000认证的情况下,如何自上而下的构建体系化的信息安全策略的一些想法。​

二、自上而下与自下而上

​信息安全相关的建设通常被企业管理人员认为是成本支出,而看不到其中的利益,因此相关的工作决策一定是“自上而下”,关于这一点我们可以在ISO27001里面清晰地看到其非常强调管理层的“领导与承诺”,要求管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据。这一点我相信与大家在信息安全管理中的体验是一致的,必须要有一个强有力的领导层才可以很好的推进信息安全相关的工作。那么什么是“自上而下”,又什么是“自下而上”呢?

在下图中以三层组织架构为例,从上往下依次是决策层、管理层、执行层,可以看到自上而下与自下而上的区别,主要是工作的发起方是不一样的。​

​不同的资料上有不同的解释,而在信息安全领域我的理解是:

自上而下:经营决策层对信息安全建设积极地思考,提出意见和建议,积极的推动信息安全建设,引入新的管理与技术手段,将任务从上往下分解;经营决策层积极地思考吸纳中下层信息安全人员的建议和意见;经营决策层为了实现前面提的建议和意见积极地提供资源支撑。

自下而上:与自上而下相反,自下而上即所有的工作推动由管理层甚至是执行层来提议、推动及落地的,决策层尽管会进行最终的决策,但是对决策层来讲,“安全”是一个可选属性,只有在严重的合规问题存在时才会去推动问题的处理。此时往往很多的问题由于执行层的影响力不够,提出问题的处理建议后在决策层不会很顺利地通过,自然无法在部门甚至是跨部门的情况下很好的推动,工作起来会遇到很多的阻力。

所以在很多体系建设的文档中就会看到类似的建议:组织需要设立信息安全官,信息安全官应当作为企业经营管理决策的成员之一。​

三、组织架构

​上面讨论了为什么我们要采用自上而下的方式进行信息安全治理及管理,这里讨论一下与之对应的信息安全组织架构,如下图所示:

         最上层是信息安全工作的最高决策层,主要由各条线的领导组成,或者是公司的董事会组成,理论上讲应当还要包括企业的首席信息安全官,并且需要明确信息安全的主要负责人或者是第一责任人为法人代表,分管信息安全的信息安全官为直接责任人。该层级主要的工作职责是“治理”层面的,主要的职责为信息安全治理,包括制定信息安全建设的整体目标与发展规划方针;提供信息安全建设的资源保障;发布信息安全建设相关的制度及规范;对信息安全建设中的争议进行决策协调;促进信息安全建设的持续性等。

         中间一个层次是管理层,主要成员是各部门经理,这里可以成立一个虚拟的管理小组,比如信息安全管理委员会或者信息安全管理小组。这个虚拟的小组牵头部门大概率是信息技术部,其他部门作为成员参与其中。该层级主要的工作职责是“管理”层面的,主要的职责包括制定信息安全相关的制度及规范;推动全员信息安全意识培训;推动公司级别的信息安全策略落地;协调信息安全相关的法律法规的落地等工作。

         下面一个层次是执行层面,包括专职的信息安全管理人员、信息安全技术人员,也包括分布在其他部门的信息安全专员。这里强调的是其他部门的信息安全专员,通常这是一个兼职人员,对于该人员来讲,可能他并不太关心信息安全,所以需要一个公司级别的制度来确保该机制顺畅运行。主要的职责就是具体制度及规范的落地;信息安全建设实施;信息安全事件监测及处置;宣传信息安全相关的知识;反馈各部门信息安全的需求及其他信息安全相关的对接工作等。

         另外一个层次就是监督层面,该层次对信息安全管理层与执行层的过程及结果进行监督,以确保信息安全建设合规且朝着正确的方向前进。该层次的人员主要是企业的内部审计部门担当。​

四、信息安全策略体系

​讨论了信息安全架构再简要的讨论一下笔者所认识的信息安全策略体系,我这里没有完全按照ISO27002的最佳实践来展示,而是展示的在没有进行IOS27000认证的情况下,我作为信息安全管理人员最关心的一些制度,如下图所示:

         信息安全策略体系应该是层次化的、结构化的、文档化的材料,且各级之间应当具有关联性,而不是一系列分散的制度。相关的制度以方针策略、管理办法、指南规范、表单记录这种逐级包含的结构呈现,也可以理解为一种“自上而下”结构。

最上层的信息安全策略方针是最高级别的文档化的策略文件,文件需要概述企业的信息安全战略目标及简要的规划、信息安全的范围、组织架构及人员职责分配、争议解决、应急响应体系概述等。信息安全的范围除了要将企业的资产纳入范围之外,还要强调如数据安全、个人信息安全、征信安全等,在组织架构需要注意的是要强调信息安全的第一责任人、直接责任人等相关的内容,且强调组织在数据安全、个人信息安全、征信安全的领导力及责任。这部分的内容由信息安全决策层拟定比较合适,当然通常情况下可能是其他层级人员拟定他们进行最后的审核签批。

第二级的是各种类型的管理办法,笔者在这里根据自己所在金融行业列出了十六个不同的领域,分别是人员信息安全管理办法、信息安全培训管理办法、数据安全管理办法、个人信息安全管理办法、征信安全管理办法、网络安全管理与访问控制办法、密码安全管理办法、漏洞与补丁管理办法、软件开发安全管理办法、信息科技外包安全管理办法、信息系统安全基线管理办法、信息系统日志管理办法、账号与权限管理办法、工具及开源组件安全管理办法、信息安全风险管理办法、信息安全事件管理办法,不同的管理人员可能会有不同的分类方法。第二级的这些管理办法由信息安全管理层的虚拟组织负责总体牵头分配编写,共同讨论完成后,提交决策层审批后发布更加有利于后期工作的开展。提一个建议,当流程的责任主体为信息安全岗相关时,流程由信息安全主导制订且作为流程Owner,当信息安全工作仅仅作为某个流程的一部分或者一个环节嵌入到其中去时,该流程由相应的业务部门进行制定且作为流程的Owner,信息安全人员提出其中与信息安全相关的建议。

第三级是一些指南规范,可能是信息安全管理层编写也可以是各领域的专家来编写,通常这些人员都是在执行层面,主要是配合第二级的管理办法来指导具体工作的开展。这些指南规范会比第二级的管理办法更加的具体,通常企业中的相关人员可以遵照这些指南规范执行相应的工作,这里要强调的时职责分工界面要清楚,避免出现在工作中出现推诿扯皮的问题。

第四级是第三级指南规范中的流程表单,通常是各种审批表单、记录表单等,这些表单也特别需要注意其本质上是一个流程的落地实现,这些流程可以直接录入到各种OA系统中或者以纸面的方式呈现。其中比较关键的是各个审批节点的责任人、发起人、归档人,审批前后顺利等。​

五、总结

​当我们在构建信息安全管理体系时,需要以自上而下的方式发起工作流程才会拥有更大的话语权,各个部门的配合才会更加的紧密。这种“自上而下”不仅体现在信息安全相关的人员在组织架构中的位置,也体现在实际的策略体系中。为了能够更好的落地“自上而下”,所以我们可以在众多的管理文件或者行业发文中要求企业设立信息安全官,并且将信息安全官纳入日常的经营事务中。当然目前能做到这一步的企业可能不是很多,信息安全工作仍然被大多数企业作为成本支出而看不到背后的利益,信息安全工作任重而道远。