企业信息化的普及和网络技术的快速发展,企业规模越来越大,管理系统也越来越复杂。企业信息安全管理成为企业经营过程中日益突出的问题,为了保证企业信息的安全,企业采取了大量的措施去维护,购买了大量的信息安全产品,通过了ISO27001信息安全管理体系认证,但是并没有从本质上改变信息安全管理的漏洞。
一、常见的企业信息安全管理漏洞
1、信息安全系统散而孤立
有些企业虽然花费了大量的资金在购买安全信息产品上,但是这些防毒软件以及防火墙之类都是孤立的系统,没有统一的管理平台,所以无法实现信息安全管理的目标。由干各个安全产品很多都是单.独开发的,难以从中了解具体情况。
假若企业网络出现攻击时,各个信息安全系统都发出报警声音,这样没有关联性,难以整理出有效的处理措施。
2、无法有效落实安全管理制度
企业员工对信息安全的认识不高,公司购买防病毒软体,有的员工会因为懒惰而并不去安装或者安装好了过了几天又自己在系统管理员不知情的情况下卸载掉了。有的员工还会认为信息安全不属于自己的事情,属于专门的信息安全管理部门因此,难以使得企业全体员工都关注和认识到信息安全的重要性。
3、缺少对安全工作的考核
大多数企业都缺乏一个可供企业各层管理者在安全管理和实施方面的平台,使得企业领导难以对企业安全的问题及时得到信息回馈,也难以验证管理部门安全管理和实施的状况。
4、缺少对信息安全风险的意识
企业缺乏以信息安全为核心的风险管理模式,对企业关键的资产以及业务等都缺少相应的风险评机制和工具,使得无法及时找出企业存在的问题和威胁,也难以事先作出相应的控制措施。
5、全面的审计手段缺乏
企业经常面临着未经授权或是不IH当的访问,缺乏一种高效且全面的审计手段。因此,难以对这些可疑的访问进行了解和监督,也就难以对企业的安全情况进行评估。
6、缺乏集中的安全系统补丁下载和更新功能
随着网络病毒越发猖狂,系统提示安全补丁的下载更新、大量服务器以及客户端的时常更新成为一个麻烦的问题。由于作为一个大中型企业,内部设备数量太多,尤其是客户端数量,仅仅靠少数的管理员进行管理,难以承担如此大量的工作。
二、信息安全管理问题的原因分析
造成以上问题的原因很多,从ISO27001信息安全管理体系的策划、建立/导入、实施/运作、监控/评审、维护/改进等体系管理阶段的角度看,主要包括:
1、未能采用科学的方法进行ISO27001体系构建对自身风险识别、分析不足,没有规范的风险评估流程,不能覆盖安全管理的所有方面,不能采取针对性的管控措施,明确自己存在的不足和努力方向。
2、脱离实际,套用ISO27001标准对标准进行生搬硬套,没有针对企业的现状进行详细的“望闻问切”,基于个体现状,参考案例,结合经验进行定制开发,造成安全管理体系与公司现有的管理方法、制度和流程冲突、脱节,不能适应公司的人员和组织现状、文化氛围。
3、人员思想不统一,积极性不高安全管理需要领导支持、全员参与,不是系统管理、维护人员的几个人的事情,人员思想不统一就不能集中力量,达成目标。尤其是在安全管理体系建设刚起步时,面临着大量人员兼职的情况,不会主动、积极的参与安全管理工作,尤其是在缺乏有效激励措施的情况下。
4、缺乏强制性的技术配置措施有些安全管控措施的落实,单凭制度约束是很难得,尤其是在制度与其人员自身利益冲突,且其违反制度的成本极低,或其不当行为不易被发现的情况下。缺乏有效的、强制性的防护、监控、审计措施,就不能保证体系的切实落地和执行。
三、问题解决和管理改进的办法
信息系统的安全管理的主要目标就是管理好信息资源安全,避免信息资源受到泄漏和破坏,可以说信息安全管理是信息系统安全的重要组成部分,管理是保障信息安全的重要环节,是不可或缺的。实际上,大多数安全事件和安全隐患的发生,与其说是技术上的原因,不如说是由于管理不善而造成的。因此,信息系统的安全不仅仅是技术上的问题,准确的来说是“三分靠技术,七分靠管理”,可见信息安全管理的重要性。
1、对于企业管理层面的改进
国际标准化组织已经发布了ISO27001信息安全管理体系标准,ISO27001标准为众多信息安全管理工作提供了标准依据,只要组织有效的去实施ISO27001信息安全管理体系,相信息安全的管理工作会有很大改善。
1)ISO27001信息安全管理体系标准在企业中的实施绝不能生搬硬套!要有针对性的根据企业自身情况进行实施和导入,这个工作是个比较专业的管理咨询服务项目,建议IT企业还是将此事交由专业的咨询公司来做比较合适,这并不是说企业自己做不了ISO27001标准导入,而是自己做这个事得不偿失。
2)制定适合企业自身管理框架的“信息安全管理流程和制度”。根据我们的多年的体系认证咨询服务经验,企业无法真正的融入和实施ISO27001标准,最主要的原因是管理体系之间不兼容,说的通俗一点就是“两张皮”!造成这种“两张皮”现象的主要原因有两个,一个是公司领导层对ISO27001不重视,认为ISO就是“一个证”。另一个原因就是从ISO27001体系的策划、体系文件编制、信息安全管理机构设置、信息安全分析和评估这些工作都出了大问题,如何确定是前期工作的原因导致了信息安全管理“两张皮”现象,就需要企业再加大投入,重新请更专业的咨询师及信息安全评测机构入驻企业进行实地调研和信息安全评估,根据企业实际情况重新进行体系文件编制和管理流程改进,加大对全员的培训力度。
信息安全管理体系基本逻辑图
信息安全管理体系文件构成基本逻辑图
2、在信息安全管理技术层面的改进
信息技术的广泛应用为企业提高了工作效率,但是信息技术的广泛应用也为企业代理的更多的技术安全隐患,单纯从信息安全技术层面来讲“机器比人可靠,物理安全比网络安全可靠”。因此,我觉得最安全的管理措施还是传统的“三铁(铁门、铁锁、铁栏杆)”,其实,信息安全管理主要的还是防“内鬼”,在摄像头遍地都有的今天,真正的外部威胁就是网络安全了!对于企业内部重要数据资料直接采用“三铁”管理办法或者内网物理隔绝办法基本就不会有问题了。
信息安全的技术方面容易实现,前提就是公司领导愿意再这方面做一些投入而已,重要的还是如何管理与企业内部重要数据资料相关的人!
【社区鼓励分享工作经验和优秀的工作文档】
“企业无法真正的融入和实施ISO27001标准,最主要的原因是管理体系之间不兼容,需要企业再加大投入,重新请更专业的咨询师及信息安全评测机构入驻企业进行实地调研和信息安全评估,根据企业实际情况重新进行体系文件编制和管理流程改进,ISO27001信息安全管理体系标准在企业中的实施绝不能生搬硬套,要制定适合企业自身管理框架的“信息安全管理流程和制度”