【51CTO.com 綜合消息】很多企業都已經建立了信息安全管理體系，來滿足業務需求或上層管理部門的要求，其中不乏成功案例，但大家都會面臨一個共同的問題，那就是如何將信息安全管理體系（ISMS）持續的運行下去，不斷的PDCA達到持續改進的目的，正如我們以往經驗所說的那樣：信息安全不是一場運動，而是一個持之以恒的活動，是保證業務安全運行的管理工作，信息安全應體現在日常工作的每一個細節當中。

ISO27001是國際上通用的信息安全管理體系標準，我們以這個標準要求為例，來簡單解釋一下建立信息安全管理體系以及以后還需要做的工作：首先要獲得管理層的支持并確定建立信息安全管理體系的范圍，企業還需要做好各種準備和策劃工作，包括教育培訓、制定計劃、現狀調研，以及人力和資源方面的調配；

然后在這個范圍內收集信息資產以輔助風險評估，識別出風險后選擇適用的風險處理措施并進行處理，從整體和全局的視角，從信息系統的所有層面進行整體安全建設，并將其文檔化，保持文件化的信息安全管理體系，作為組織實施風險控制、評價和改進信息安全管理體系、實現持續改進必不可少的依據。

信息安全管理體系文件編制完成以后，組織應按照文件的控制要求進行審核與批準并發布實施，在得到領導層對殘余風險的批準和對實施運行ISMS的授權，并準備適用性聲明（SoA），在體系運行一段時間后進行內審、有效性測量和管理評審，并制定糾正預防措施，此后需要對資產進行不斷的更新，并不斷地進行風險評估、處理……以及其后的各種工作。

傳統我們都是靠管理體系本身來支撐這一系列工作的，ISMS建設的實施人員，除了要具備必要的知識技能和管理意識外，還要面臨大量具體、繁瑣和枯燥的工作，例如對信息資產的收集和維護過程，以及對其進行風險評估時的大量文案工作等等。如果能輔助以信息管理系統對風險評估過程進行管理，將是一種趨勢，現代企業管理中ERP已經得到廣泛認可和應用，生產制造、質量監控、財務管理、商務管理、人力資源管理、客戶關系管理、電子商務等，已經可以整合在一套基于網絡的、開發平臺統一的、靈活配置業務流程的信息系統當中，而信息安全管理體系建設與維護，同樣也可以通過類似的方式進行管理。

目前谷安天下研發的IT風險管理系統（ITRM）正是能夠滿足體系維護需求的一款軟件：將建立和維護ISMS的過程固化在軟件中，內置多行業多準則知識庫，對ISMS范圍輕松管理，例如準則范圍、組織架構、資產清單、流程定義、業務定義等，支持安全檢查和差距分析，全面支持風險評估、體系建設、內審、有效性測量、管理評審等一系列工作，保證這一系列工作的持續運行和不斷改進，并產生豐富的報表和報告。

下面就簡單談談維護信息安全管理體系過程中幾項關鍵的工作與ITRM系統的結合之道：

一、識別業務的變化

世界環境瞬息萬變，因此一個組織的業務隨著市場、政治、科技等方面的發展而變化是非常正常且必然的。然而我們在建立信息安全管理體系時所劃定的管理范圍是一定的，后續在體系運維過程中首先應該關注的就是業務的變化，然后才是后續其他細節的工作。在一個組織內維護信息安全的目的就是保障業務的安全運行，因此從***意義上說業務是我們保護的對象。而業務的變化對信息安全管理體系的影響是巨大的，可能會導致安全指導方針層面的根本性變化，所以筆者把業務放在***位。

ITRM系統將業務作為一個控制對象進行識別和維護，正是為了滿足信息安全體系維護的基本要求： 

圖1

#p#

二、識別組織架構的變化

組織外部環境會發生變化，相應的組織內部同樣可能根據業務的變化而發生變化，尤其是決策層的變化，可能會影響到對管理體系的支持力度等方面。

組織架構是ITRM系統在進行風險評估時的基礎，系統支持對組織架構的靈活調整，并且對后續風險評估等一系列工作都將產生重大影響。在ITRM系統中組織架構是項目范圍的因素之一。 

圖2

#p#

三、識別資產、技術、場所、新威脅等方面的外在變化

這些是做資產風險評估的基礎，也是標準中所要求的。資產清單需要保證一定的實時性和準確性，這可能需要一定的工作量，通常大家都是使用文檔（Excel格式）對資產清單進行管理，一開始收集資產時，這種方式是非常方便的，但在日后更新時會顯得比較麻煩。

ITRM系統在對資產進行維護時，支持大批量導入和分權限管理，用戶可以將收集到的資產一次性的導入到系統中，此后在系統中進行維護，無論是添加、修改、刪除，系統都能夠維護著一份準確穩定的當前版本的資產清單，同時用戶還能夠查看歷史資產的內容；而分權限管理資產，可以將資產管理下放到部門，由部門管理員對本部門的資產進行維護，本部門只能對自己部門的資產及風險進行維護，對其他部門的資產和風險則無權查看。這大大簡化了組織級安全管理員的工作，并能夠將風險管理的思想落實到每個部門當中，同時簡化了資產變更的上報流程，部門管理員將變更的資產及時的更新到系統中，組織級管理員隨時可以進行檢查和更正，因此組織的風險狀態可以隨時保持***，使組織能夠迅速準確的對風險進行響應和處理。 

圖3

#p#

四、風險評估和處理

在建立完信息安全管理體系以后，要根據組織規定定期重新進行風險評估和處理，當然此項工作的基礎是前面提到的幾項工作都已經完成，而風險評估的方法在其后往往不會發生太大的變化，安全專員在做過一次風險評估后就能掌握風險評估的方法，其后大多是維護風險清單的工作。對風險的處理可能會隨著環境的變化以及技術的發展不斷更新，所以安全專員還需要不斷學習來提高自己的業務能力。

ITRM系統核心功能之一就是風險評估模塊，系統中固化了風險評估方法論和具體工作流程，同時還針對不同行業，把谷安天下多年來積累的咨詢經驗匯總成風險推薦放在知識庫中，用戶可以選擇自己行業的知識庫，在錄入完資產后就能夠看到針對本行業最容易出現的風險，用戶站在巨人的肩膀上再進行風險評估將會有更好的準確性和效率。 

圖4

圖5

#p#

五、內審及其他安全檢查

完備的檢查機制是保證體系正常高效運行的手段，通常組織會根據自身情況制定管理規定，規范檢查機制和內審機制。在體系運維過程中，檢查是非常重要的一項工作，要在保證業務正常運行的條件下，高效、全面、客觀地檢查組織內部在執行過程中的真實情況，以便制定糾正和預防措施，并對管理體系進行必要的改進。另外內審和安全檢查的過程本身也是非常值得探討的，如何準確的找到問題點，如何對不符合項進行跟蹤改進，改進效果如何等等，不但需要大量的文檔工作，也需要不斷跟進科技時代的步伐，了解當前***的技術。

ITRM系統內置了內審流程和安全檢查功能，能夠為內部審核與安全檢查工作提供輔助與記錄。 

圖1

#p#

六、有效性測量

每當提到ISMS的有效性測量時，大家都會感覺有些茫然或力不從心，但有句話叫做“你不能改進你不能測量的東西”，這充分說明了有效性測量的重要性，因為有效性測量能夠對信息安全管理目標進行考核，是ISMS持續改進的重要依據，也是對信息安全管理工作的績效考核，同時滿足符合性的要求。而且有效性測量體系需要融入到ISMS體系的PDCA過程中，首先有效性測量的目標要與ISMS的Plan階段制定的目標吻合，并收集豐富的資料信息；在ISMS的Do運作階段要針對有效性測量體系進行詳細設計，對有效性測量的需求進行分析，分解測量指標，制定測量指標采集方案，收集指標并進行記錄；在ISMS的check階段，根據有效性測量的結果對ISMS進行評價，另外也需要對有效性測量體系本身進行評價；在ISMS的Act改進階段，對ISMS及測量指標體系分別進行改進，使之更好地為ISMS服務。   ITRM系統支持對ISMS體系的有效性測量工作，將有效性測量的目標、年度計劃、測量指標、測量計劃、測量結果等過程固化在系統中，并在知識庫中預設了常見的有效性測量指標。

七、管理評審

定期對ISMS進行管理評審，以確保ISMS范圍保持充分，ISMS過程的改進得到識別。

ITRM系統內置了管理評審的工作流程，能夠對管理評審工作提供輔助與記錄。

八、糾正預防，持續改進

糾正措施是要消除與ISMS要求不符合的原因，并防止再次發生；預防措施是確定措施消除潛在的不符合的原因，防止其發生。而持續改進則是通過使用信息安全方針、安全目標、審核結果、監視事件的分析、糾正和預防措施以及管理評審等方式，持續改進ISMS的有效性。

ITRM系統內置了糾正預防措施的工作流程，能夠對糾正預防工作提供輔助與記錄，這也是保證體系持續改進的方法之一。

以上這八項活動只是維護信息安全管理體系中比較重要的幾項必須要做的工作，而且是不斷循環往復的，如果能得到谷安天下ITRM系統的支撐，將會極大的減輕工作量，提高工作效率和準確性。當然這是這只是對體系進行維護的手段之一，今后我們還將探討更多的體系維護經驗和手段，來保證信息的真正安全。