ISO27001信息安全管理体系的落地就是一场马拉松

什么是ISO27001?

“信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，于1995年5月修订而成。1999年BSI重新修改了标准。BS7799主要分为 BS7799-1（信息安全管理实施规则 ）和BS7799-2（信息安全管理体系规范），分别描述了对信息安全管理的建议与要求。

目前在全球范围内，英国标准ISO27001:2005已然是信息安全管理标准的佼佼者，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成，目前最新版本为ISO27001:2013。”

（Source：百度百科）

ISO27001认证的目的

企业做ISO27001咨询的目的主要有两类，一类是纯粹为了获得证书，本文不过多阐述。另一类是将ISO27001标准要求融入到企业日常工作流程中，完成信息安全管理体系（ISMS）的“落地”，要想真正做到这点并非易事。而企业通常的的做法是在ISO27001项目实施过程中对与企业业务密切相关的几个控制域进行细化落地，剩余控制域做到符合标准要求即可，这样既能兼顾标准认证与落地，解决业务安全管控问题的同时提升企业核心竞争力，又不至于把项目摊得过大导致范围失去控制。

ISO27001落地是一场马拉松

ISO27001标准体系的落地就像是场马拉松，信息安全管理体系建设与运行是需要符合PDCA（Plan，Do，Check，Act）持续运行的核心思想。PDCA不是一种静止的状态，而是一套持续性的不断优化的模型，所以企业的信息安全并非完成了一次完整的ISO27001体系认证项目的实施就可以一劳永逸了，认证机构为企业颁发ISO27001信息安全管理体系认证证书也只是说明了企业当前存在一套正在运行的、较完整的信息安全运行流程与机制，但并不能代表企业的信息安全管理水平已经达到了某个峰值，甚至还远远不够。事实上这是一项长期的、需要融入企业发展战略的工作。

PDCA循环管理模式图

ISO27001标准体系落地的难点在哪里？整体来看，许多企业认为信息安全管理就像是一块绊脚石，以影响企业业务为生，这样的想法不在少数，可未免太过于狭隘了。在当前的信息化时代，企业的蓬勃发展与信息安全管理水平是密不可分的，两者是相辅相成而非水火不容。当然，在某种层面上来说，企业在原有的管理架构中增加信息安全管控节点势必在一定程度上延长了业务流程，增加了额外的工作内容，这也是难以获得许多部门支持配合的原因，但从企业健康、稳定发展的角度来说，确是极其有必要的。如此，找到业务与安全的平衡点就是体系落地的重中之重了。

信息安全与业务效率的关系

再者，标准体系的推行与落地离不开管理层的大力支持，毕竟管理者们所处的位置决定了他们能有更大的权限调动资源。管理层的支持是一种手腕，信息安全管理体系的推行只有诚心没有手腕是万万不够的。只靠苦口婆心的劝导而缺少上层的支持是很难获得各部门大力配合的。但不同企业的管理层对信息安全管理体系的看法与态度也是不尽相同，但对业务过程层面的关注是相同的。信息安全管理体系的建设及持续运行意味着持续性的资源投入，而这恰好又不是一种立竿见影、看的见的回报，所以管理层的任何犹豫与谨慎都是可以理解的，这时体系推行者的宣导与谏言就需要大智慧。

体系建设各阶段的难点与解决方式

资产识别

万事开头难。企业信息资产识别与收集的工作是在信息安全体系建设初期阶段进行的，对于后续风险评估与体系文件设计编纂具有很好的参考价值，有效的资产识别对于企业资产安全乃至于整体的信息安全来说都是不可或缺的，但这往往也是企业最容易轻视甚至忽视的要点。

许多人会不假思索的认为资产识别就是把现有的六大类信息资产做个汇总形成清单，然后给出各资产的C（保密性）、I（完整性）、A（可用性）评分，符合ISO27001的A8资产管理控制域（以及A15供应商关系控制域的部分内容）的各项控制点即可，但这不过是纸上谈兵，想要做到全面、准确且有效的信息资产识别这并非易事。即便是对于专门配备有资产管理部门的企业来说，也往往因为无法兼顾安全属性而导致识别过程中出现漏洞与缺陷，无法做到尽善尽美。即便是由安全部门进行信息资产识别的工作，也会因为各部门间的配合、对资产安全的理解与认识、时间等因素导致无法顺利开展。

资产价值评分标准（非人员）

资产价值评分标准（人员）

信息资产与其他物理形式的财务资产不同点在于：信息资产不是一成不变的，它是一种携带动态属性的资产，存在于所承载的信息全生命周期当中的一个阶段或多个阶段，不同的信息资产具有其独特资产价值，而通常来说，同一种信息资产在信息生命周期中的不同阶段会产生不同的资产价值，正是这种动态属性赋予了资产识别更深刻的意义。

信息资产的分类方式通常是根据企业的业务类型特点所决定的，但总体上不会有太大的偏差。根据ISO27005:2008中资产识别章节的描述，分为基本资产和所有类型的支持性资产（资本资产所依赖的范围）。基本资产又分为业务过程或活动以及信息两大类，而支持性资产包括了如硬件、软件、网络、人员、场所、组织架构等。在这样的资产框架下，不同企业按照各自的业务重点进行有针对性的分类。如下图是一种常见分类方式（其中数据资产较为特殊，放到本章节最后谈）：

信息资产分类举例

资产大类确定后，可以对每类资产进行二级分类、三级分类等拆分细化。而对于相同类别、相同位置、相同所有者和管理者、脆弱性和面对威胁类似的信息资产，在识别过程中可归纳为一个资产，同样的若是从信息系统为出发点进行资产识别时，某个信息系统所属的应用程序、服务器操作系统、数据库、中间件等，也可以再次归纳识别为一个“资产组”。因为像这样对有逻辑关联性的资产进行合并归纳，大大减少了工作量的同时，还能更清晰的理解企业资产间的关系纽带，可以为后续风险评估工作中的落地提供更有价值的参考。

划入后续风险评估范围和边界的每项资产都应该被识别和评价，资产识别的不准确，可能会造成后续风险评估的对象模糊、体系文件范围不清晰、甚至是各角色岗位的管理（针对资产）出现真空等一系列问题，影响的是整个信息安全体系建设的过程。当然，也不要因此产生排斥、恐惧，信息资产识别的对象并不是企业所有的资产， 识别的是与信息和信息处理设施有关的资产，这与资产盘点还是有本质区别的，所以只要有计划、有条理、有层次、模块化的将信息资产识别的工作推进下去，并做好知识传递与宣导，才能打好ISO27001标准贯彻的地基。

需要明确理解的一点是，资产识别的工作不是企业的信息安全部或资产管理部等某一个部门的责任，而是需要全公司所有部门的共同配合与参与。事实上ISO27001标准体系就是面向全公司层级的全方位安全建设。所以作为体系建设的牵头者（通常为企业的信息安全部），第一要务应该是通过培训宣贯等方式，向各部门传达体系建设的重要性。除此之外，信息资产识别作为体系建设的基础，要让各部门清晰地了解到信息资产的属性、分类及相关定义，清楚识别每项资产的所有者（owner）、管理者和使用者，以免为后续的风险处置阶段造成不必要的争端与麻烦，阻碍体系落地的进程。

信息资产所有者、管理者与使用者定义

其次，统一资产清单模板、委任各部门资产识别负责人的工作同样必不可少。资产清单模板的统一是为了便于后续所有部门资产信息回收后的汇总。鉴于个别部门业务与资产的特殊性，模板的设计就需要考虑更周全，如资产的分类是否涵盖全面、各类资产的属性描述是否准确等。而筛选出各部门最适合资产识别的负责人，则可以大大提高资产识别的效率及准确性。通常部门会有专门负责内部资产管理的人员，而熟悉部门内部业务的员工也是合适的人选。当然需要指出的是，真正确定具体资产的人并不一定是该负责人，更多的是承担着协调者的角色，找到各类资产对应的所有者或管理者并下发给他们识别才是负责人的主要工作。

关于数据，由于该类资产的存在形态与重要程度等特殊性，在资产识别的过程中有其额外的环节——数据分级。数据分级是数据保护的起点，只有在此基础上，后续人员角色、职责的分配才有效。

数据分类分级的意义

数据分级前首先做好数据分类，并通过与信息资产类似的评分标准对数据的CIA进行打分，这与其他资产并无太大差异。而数据这类资产的关注点通常更多偏向于C（保密性），那么可以通过细化延展C的评分标准，完成对数据保密性的打分（数据的I（完整性）和A（可用性）评分同样不可忽视）。例如从数据资产创建时的业务类型、可流通至的最大范围以及丢失或泄漏后的影响程度这三个维度设计分级要素，占有相关的权重分别为20%、30%以及50%。

数据保密性评分标准——业务类型

数据保密性评分标准——流通范围

数据保密性评分标准——影响程度

根据分级要素及权重计算数据保密性的价值总分以进行最终的分级评定，最终得出公开数据、内部数据、机密数据以及绝密数据四级分类。

数据保密性四级分类

对数据进行有效的分类分级无论从ISO27001标准落地还是数据治理方面来说，都是必不可少的环节，当今这个时代的数据量级与繁杂程度也预示着企业不可能采取一刀切的数据管理方式，取而代之的是数据分级管理，采用更加精准的控制措施完成数据共享的便利性与数据使用安全之间的平衡。

差距分析&风险评估

想必多数人对木桶原理都不陌生。一只木桶能装多少水取决于它最短的那块木板，同样企业的安全性达到什么样的高度取决于安全性最弱的一环，黑客或恶意攻击者的关注点往往是企业最短的这块“木板”，一旦该环节被攻破，可能会导致整个企业安全的崩坏，所有安全措施都形同虚设。差距分析与风险评估的目的就是寻找企业这一块或多块“短板”，或是即将成为“短板”的地方。

差距分析的核心是严格将ISO27001:2013的14个控制域、35个控制目标、114个控制点与企业的实际运行现状进行差异比对，宏观的了解企业当前安全状态。从认证的角度来说，这是企业与标准差异的直观体现，同时也对后续风险评估的完整性提供很好的参考。而这114个控制点中，每个控制点又蕴含着不同程度、不同角度的风险可能性，风险评估的目的就是要挖掘出企业已存在或将要存在的安全风险点，对症下药，将所有可能的安全漏洞进行修补处置，补齐所有“木板”的缺口。

差距分析最通常的做法是现场访谈与填写调查问卷，这里更推荐前者。因为调查问卷虽然可以事先将问题一一列出发给对应负责人填写，减少了访谈预约的麻烦与不必要的时间消耗，但调查问卷的方式有着致命的局限性。现场面对面访谈时，可以通过访谈对象（相关领域负责人）的表情、态度、举止等一系列因素更大概率的探查到目前企业的真实现状。另外很重要的一点是，面对面访谈体现的是一种尊重与诚意，可以有效地拉近与访谈对象的距离，为后续工作的配合做铺垫。这些优势都是调查问卷无法企及的。

前文中曾提到了PDCA模型，事实上该模型可应用于整个ISMS体系建立的全过程，风险评估阶段同样是如此，从风险评估方法论的建立、风险评估计划的制定、风险评估的执行、风险点确认到风险分析与处置，最后达成风险评估工作常态化持续运行的目的，践行着PDCA戴明环中“环”的属性。

风险评估的目的是识别信息安全管理体系范围内的信息资产丧失保密性、完整性和可用性的相关风险，其中包括了威胁识别、现有控制识别、脆弱性识别以及影响识别，而信息安全风险的定义是“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”，风险识别的目的终归是为了保护企业信息资产，正如在风险评估前期建立通用威胁库时，以ISO 27005以及行业最佳实践为参考基础，收集所有作用于信息资产的包括信息系统（如窃听、非授权访问、拒绝服务、系统过载等）、人员活动（如滥用职权、身份假冒、引诱、疾病等）、物理环境（如重大事故、环境污染、落尘、腐蚀等）以及自然灾难（如地震、水患、暴风雪、雷电等）等威胁来源，所以采用基于信息资产进行风险评估的方法是一个不错的选择，但要注意到正如前文所说，信息资产携带着动态属性，这种“不稳定”可能会对风险评估落地实施带来一定的难度。

上述的威胁识别主要是识别出可能对信息资产或组织造成损坏的某种安全事件发生的潜在原因，而脆弱性识别更多的是寻找信息系统、系统安全程序、内部控制或实施中可能被威胁利用的弱点，是资产、载体或内部业务流程自身所携带的负面基因，从横向的种类来看通常分为技术类脆弱性和管理类脆弱性，从纵向的ISO27001安全域层级来看通常分为应用层脆弱性、操作系统层脆弱性、终端硬件脆弱性、通信和组网级脆弱性、安全机制脆弱性以及开发生命周期与运维管理脆弱性等。

通用脆弱性

结合横向类型与纵向ISO27001安全域的视角来看，包括资产管理、访问控制、物理与环境安全、操作安全、通信安全、信息系统获取开发与维护等不同管理安全域的脆弱性。

管理安全域脆弱性举例

以及应用层、操作系统层、终端硬件、通信、组网级通信、虚拟化等不同层面的技术模块脆弱性。

技术安全域脆弱性举例

以上述的威胁库与脆弱性列举为输入，结合企业本身所在行业的特殊性以及现有的包括威胁性、预防性、检测性与纠正性控制的识别，建立有针对性的威胁与脆弱性矩阵列表，执行风险评估工作。需要注意的是，风险评估落地的一个关键操作在于对已采取的安全措施的有效性进行确认，即现有控制是否真正地降低了资产的脆弱性，抵御了威胁，现有控制是否准确识别。

上篇中提到的建立有针对性的威胁与脆弱性矩阵列表，目的是为了识别出相应的威胁源、威胁事件与相关脆弱性的关联关系，然后对每一条关联，评估如果该脆弱性被该威胁源利用，会对所评估对象的机密性，完整性和可用性产生多大的风险，而该风险的大小判断可通过设计相关计算公式得出，例如可以对造成的损失影响(I)及该关联的发生可能性(L)进行量化赋值，损失影响(I)与发生可能性(L)的量化赋值又可分别通过资产价值和严重程度以及发生频率和成熟度的乘积得出，量化评估关系如下：

风险值量化评分举例

资产价值可通过资产识别阶段的对信息资产的打分获取，严重程度、发生频率以及成熟度的评分可参考如下判断依据：（此处需要注意的是成熟度一项，成熟度越高，对应的成熟度风险值越小，成反比）

风险影响判定标准举例

风险识别与评估是为了确定企业各领域的风险等级，所以其精细度与准确性极大程度影响着对企业的风险评价，只有充分挖掘出企业正在或将要面临的各类安全风险，并准确且全面的将风险信息呈现出来，才可由此决定面对这些风险问题所应采取的控制措施、控制程度甚至是控制的必要性。由于风险的重要程度和级别的不同，需要对不同风险的处置进行优先级的划分，而优先级次序除了与风险等级有强相关性，其决定因素中还包括企业的风险偏好与风险可接受水平。

风险偏好可能来源于多个客观事实与主观思维，如企业所在行业的独特性、企业政策、甚至是管理层的个人偏好（如历史经验、激进或保守思维等），在某些特定的情况下，合适且具有前瞻性的风险偏好会大大提高风险处置的效率与准确性，一定程度上能够优化处置优先级的顺序，甚至可以获得超出预期的安全收益。

而风险可接受水平更像是一块“平衡板”。理论上来说，风险当然是越小越好。但现实中降低风险（包括降低风险发生的可能性与采取措施减少风险损失）意味着资金、人力资源、技术资源的投入，这种投入当然不会是无限制的，就像是上篇中的信息安全与业务效率的关系。而风险可接受水平的确定可以很好的平衡风险与利益，根据风险的影响要素、强度、范围等，计算出风险可接受的损失空间，为风险处置提供最佳的参考建议。当然，风险可接受水平同样会受到行业、业务类型等影响。

风险处置影响因素

最后，根据风险评价的结果制定所有风险的处置策略。处置策略通常分为接受风险、消减风险、转移风险与规避风险四大类，对于一般的风险而言，“消减风险”是常用的手段，通过风险控制措施，抑制风险的危害，减少风险带来的损失或削弱风险发生的可能性。而需要强调的是，“接受风险”看似是一种消极的处置态度，事实上这种“灵活的”处置方式在企业的实际风险控制活动中不可或缺，有时在处理成本较高却又因为一些行业特性而“不得不”面对的风险时，还需要低成本的“消减风险”策略配合处置。

风险处置策略

体系建设文档编制

从ISO27001信息安全管理体系的整体控制域而言，信息安全管理主要分为三部分：第一部分为安全管理基础架构的搭建，包括安全规则（框架）、组织（管理者）、资产（保护对象）等，分别对应的是控制域A5安全方针、A6信息安全组织以及A8资产管理；第二部分为事前管理，主要涵盖了预防性的管理措施与要求，包括了A9~A15以及A7人力资源安全几大控制域；最后一部分为事后管理，主要是在安全事件发生后的处理措施与计划，以及法律法规符合性层面的要求，对应的控制域为A16信息安全事件管理、A17信息安全业务连续性管理以及A18符合性。体系建设阶段的文档编制始终是围绕着ISO27001的指导思想来编纂的，并将各个控制域的要求与核心内容融入到企业既有的流程当中，形成完整的信息安全管理体系文件。这里需要注意的是，安全管理要求是不能够脱离企业业务流程而单独存在的，这也是企业信息安全管理体系落地的一大关键。

信息安全管理体系控制域分布

严格意义上来说，体系文件通常可分为四级文件：一级文件主要涵盖的是企业信息安全管理体系总体方针、目标、组织结构以及政策适用声明等内容，是处在“金字塔尖”的指导性文件；二级文件体现的是ISO27001标准中各个控制域的管理策略，是从要求层面考虑的；三级文件就是前文中提到的安全控制措施与企业业务流程相结合的管理程序，一定程度上可以看作是执行层面上的业务流程安全控制措施指导书或业务安全操作流程手册；最后的四级文件则更多的是一些管理程序对应存在的工具模板、记录、表单等。当然，一般企业的信息安全管理体系文件形式上并非一定要拘泥于这样的四级划分，但从安全体系框架的完整性上来说，其中囊括的环节与内容确是缺一不可的。在体系文件正式编纂前，通常需要体系建设者进行程序文件数量与控制要点的规划，以免在程序文件之间的衔接过程中出现不必要的重复与冗余。

信息安全管理体系四级文件划分

信息安全管理体系文件的建设基础是体系内容符合ISO27001标准的各个控制要求，而体系文件建设的真正难点在于安全控制项（要求）与企业既有业务流程的契合度是否足够高，这同样也是安全体系标准落地的核心。许多企业存在这样的理解偏差，将标准中所有的控制要求“填鸭式”地“组装”到现有流程当中而不考虑业务的兼容性，这样的制度文档通常看似“漂亮”，但事实上这在企业的日常业务执行过程当中会产生诸多不合理的要求与步骤，几乎不具有参考意义，这就违背了信息安全管理体系落地的宗旨。同时，风险评估结果的输入也是程序文件编纂的一大参考要点，是从控制措施层面对即有风险进行长期化解决的重要契机。

程序文件编纂过程中的一个关键点在于梳理角色职责的映射关系（RACI）。在信息安全管理体系的建设过程当中，由于在不同业务环节中增加了部分安全控制措施，或多或少地会延长相关业务流程，而若这些新增的安全控制措施责任人（包括实施者）不明确，则势必会造成业务混乱、角色/部门间的矛盾甚至是安全控制措施的真空。所以在每份程序文件中，角色与职责的对应矩阵都应被清晰的展示，这也是程序文件具有可操作性的必要前提。

RACI矩阵例图

再者，程序文件中业务流程安全控制的可检查性同样是信息安全管理体系落地的关键。不同安全控制措施的有效性需要通过对应的检查流程进行验证，必要时可附加四级文件描述相关的检查标准（定期、定量、定点等）。由于检查工作也是需要对应到相关责任人（包括实施者），可操作性同样必不可少（RACI中体现）。

体系宣贯与试运行

“实践是检验真理的唯一标准”。任何未经试运行检验的安全体系都是不成熟、不可靠的。试运行阶段就像是一场模拟考，对已搭建完成的信息安全管理体系是否能够很好的运转进行的一次测试，同时也是体系建设者对体系寻错、纠正、调整的一次绝佳时机，更重要的是，该阶段践行着PDCA戴明环中“检查（Check）”和“处理（Act）”两个环节，为体系后续真正运行后进入下一循环做铺垫。

PDCA循环管理模式图

信息安全管理体系的试运行工作终究是要落在各项涉及安全管控措施的负责人（包括实施者）手上，那么他们的执行质量就关系着试运行工作的成败。这里并不是说试运行中各项安全管控措施“只许成功，不需失败”，试运行期间难免是会遇到问题，但最关键在于执行者需要真正理解体系的目标与要求。缺乏对这些体系所涉及的“一线”人员进行安全意识培训与体系引导，很可能会导致辛苦建设完成的信息安全体系成为一纸空文。例如面对缺乏信息安全管控的技术部门，在未进行安全培训与体系宣贯的前提下，下发几个介质安全相关的二级与三级程序文件对其进行要求，告知要实现介质安全管理机制并及时记录与定期汇报，那么得到的结果只能是一堆伪造的记录与毫无营养的总结了。这样的期望不现实也毫无意义，且违背了信息安全体系落地的初衷。

当然，安全体系的培训宣贯也需要讲究方法与对策。这一过程通常会面对两种挑战：一是对涉及体系的多数人员来说都是初次接触信息安全领域，由于他们的信息安全知识储备薄弱，直接灌输安全体系知识会导致他们无法很好地理解体系深层次的含义，甚至大大消减了积极性；再者，不同部门不同角色对信息安全体系控制域的侧重点很可能不一样，业务部门可能关心的是业务执行效率，财务部门可能关心的是财务信息保密性，而研发部门可能会关心他们写出的代码安全性。在此情况之下，不分场次、不分对象的做培训宣贯很可能会导致各部门各角色的关注点分散，抓不住各自需要理解的重点。安全体系的培训宣贯适宜循序渐进，由浅入深，保障培训质量，同时为了提高效率，涉及控制域相似的部门或角色可集中进行培训宣贯。而在安全体系建设完成进入常规运行后，培训的周期性同样重要。

以风险为导向持续优化

信息安全领域的涉及面非常广，企业需要面临新的威胁与相对应的管控机制也层出不穷，即便是一家再大的企业，也无法全部都做到尽善尽美。况且企业在信息安全领域的投入（无论是人力还是资金）也不可能无所限制，如何利用有限的资源更有针对性的进行安全投入才是企业最需要思考的问题。但不变的是，信息安全终究是为了业务而服务的，所以信息安全管理体系的建设与投入始终是要以风险为导向，同时企业真正的安全风险痛点也需要信息安全管理人员不断花时间与精力去发现和研究。在信息安全管理体系的建设和维护过程中，需要时刻避免对ISO27001标准的教条理解、缺少与企业实际风险场景的结合，甚至是不分重点、照本宣科地去执行信息安全管理体系要求。要知道冷冰冰的制度规范不仅发挥不出其在管理上应有的作用，反而会伤害到企业的运作效率甚至管理者的真正利益，造成本末倒置。

最后需要强调的是，风险是会永久存在的，安全体系的落地建设是一项长期工程。企业需要做的就是务实，不断地寻找发现已有的或可能出现的风险，并对他们进行处理、管控、预防，重新建设或调整即有的安全管理架构，增强安全体系韧性，提高安全维度。只有不断践行PDCA循环，才能让企业在信息安全方面持续地散发活力，让安全与业务达到一个更加稳定、平衡的状态，更自信地迎接来自信息时代的安全威胁与挑战。

声明：本文来自ATLAS Academy，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。