ISO27001(ISMS)業(yè)務(wù)的介紹

1、ISO27001認(rèn)證業(yè)務(wù)常見(jiàn)問(wèn)題Q：ISO27001認(rèn)證是什么？A：ISO27001是國(guó)際標(biāo)準(zhǔn)，全名是IEC/ISO27001信息安全管理體系規(guī)，他是整個(gè)ISO27000標(biāo)準(zhǔn)系列當(dāng)中的一個(gè)標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)中包含很多其他標(biāo)準(zhǔn)；另外一個(gè)大家常說(shuō)的標(biāo)準(zhǔn)ISO1779:2005-信息安全實(shí)施細(xì)則也是與信息安全管理相關(guān)的，這個(gè)標(biāo)準(zhǔn)當(dāng)前已經(jīng)改名為ISO27002:2008了。無(wú)論是ISO27001還是ISO27002，都是ISMS標(biāo)準(zhǔn)系列（ISMS Family of Standards）之一，ISMS標(biāo)準(zhǔn)系列如下圖所示：大家常說(shuō)的ISO27001認(rèn)證，就是企業(yè)宣稱(chēng)的認(rèn)證圍符合ISO27001標(biāo)準(zhǔn)正文里的

2、所有要求，并且有選擇的滿(mǎn)足ISO27001標(biāo)準(zhǔn)附錄A中的容。附錄A中的容對(duì)應(yīng)標(biāo)準(zhǔn)ISO27002：2008第5章到第15章，企業(yè)是可以根據(jù)自身的實(shí)際情況來(lái)選擇適用的控制措施，也就是說(shuō)該標(biāo)準(zhǔn)里的133個(gè)控制項(xiàng)不是強(qiáng)制要求通過(guò)認(rèn)證的用戶(hù)都必須滿(mǎn)足的，通常是通過(guò)適用性聲明SOA文件來(lái)表達(dá)這種適用，因此，通常在通過(guò)ISO27001證書(shū)里會(huì)包含所選適用性聲明SOA文件的。Q：與BS7799認(rèn)證有和區(qū)別？A：ISO27001認(rèn)證和BS7799認(rèn)證的區(qū)別得從ISO27001標(biāo)準(zhǔn)發(fā)展的歷史談起，ISO27001的發(fā)展過(guò)程如下圖所示：BS7799認(rèn)證是指企業(yè)信息安全管理體系符合英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799-2，由于

3、BS7799具有廣泛的國(guó)際認(rèn)可度，在BS7799-2成為國(guó)際標(biāo)準(zhǔn)ISO27001之前，全球企業(yè)在選擇信息信息安全管理體系認(rèn)證時(shí)，會(huì)選擇BS7799。Q：到目前為止，國(guó)ISO27001認(rèn)證情況發(fā)展如何？A：目前在國(guó)通過(guò)ISO27001認(rèn)證的企業(yè)數(shù)已經(jīng)達(dá)到了199家（截至200906），盡管絕對(duì)數(shù)還不大，但是增長(zhǎng)特別快，從下圖能觀(guān)其大概：在這頒發(fā)的199證書(shū)里，其中數(shù)DNV和BSI頒發(fā)占絕大多數(shù)，下圖是各認(rèn)證公司頒發(fā)證書(shū)的統(tǒng)計(jì)表（截止到2009年6月）：目前國(guó)認(rèn)證公司有中國(guó)信息安全認(rèn)證中心（簡(jiǎn)寫(xiě)為ISCCC，09年5月份CNAS認(rèn)可），華夏認(rèn)證中心（UKAS認(rèn)可，國(guó)試點(diǎn)證書(shū)），賽寶認(rèn)證中心服務(wù)（國(guó)

4、試點(diǎn)證書(shū)），中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所（國(guó)試點(diǎn)證書(shū)）四家，從公開(kāi)渠道能夠查詢(xún)到的信息來(lái)看，截止到2009年7月20日，只有中國(guó)信息安全認(rèn)證中心對(duì)外頒發(fā)了19證書(shū)，而其他國(guó)認(rèn)證機(jī)構(gòu)還沒(méi)有頒出證書(shū)。Q：獲得ISO27001認(rèn)證有什么好處？l 強(qiáng)化意識(shí)，轉(zhuǎn)變觀(guān)念ü ISO27001認(rèn)證是一個(gè)組織證明其信息安全水平和能力符合國(guó)際標(biāo)準(zhǔn)要求的有效手段，它將幫助組織節(jié)約信息安全成本；ü 信息安全風(fēng)險(xiǎn)管理的目的是保障企業(yè)業(yè)務(wù)賴(lài)以運(yùn)行IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運(yùn)行，保障企業(yè)業(yè)務(wù)的連續(xù)開(kāi)展，而不是為企業(yè)業(yè)務(wù)的開(kāi)展橫加了一道枷鎖，強(qiáng)調(diào)安全保障以業(yè)務(wù)為中心；ü 信息安全工作應(yīng)該是以IT部門(mén)

5、為主導(dǎo)，全員參與的全公司圍的活動(dòng)，強(qiáng)調(diào)人人有責(zé)；ü 信息安全管理應(yīng)該遵循風(fēng)險(xiǎn)管理的思想，強(qiáng)調(diào)事先防，事中控制以與事后總結(jié)的工作思路，而不是“問(wèn)題驅(qū)動(dòng)”的救火思路；ü 信息安全問(wèn)題的解決不應(yīng)該是“頭疼醫(yī)頭，腳疼醫(yī)腳”的局部問(wèn)題解決方式，強(qiáng)調(diào)整體、系統(tǒng)的分析和解決問(wèn)題；l 規(guī)操作，有法可依ü 按照PDCA的方法管理企業(yè)信息安全風(fēng)險(xiǎn)，使公司信息安全管理從“無(wú)序、零散、被動(dòng)”的問(wèn)題補(bǔ)救行為轉(zhuǎn)變?yōu)椤跋到y(tǒng)、科學(xué)、連貫、主動(dòng)”的風(fēng)險(xiǎn)駕馭狀態(tài)；ü 完善各類(lèi)安全管理制度，規(guī)了企業(yè)部各種與信息系統(tǒng)、信息等相關(guān)的各種操作行為和方式；l 良好形象，合規(guī)要求ü 企業(yè)獲得

6、國(guó)際認(rèn)證，能提升客戶(hù)、業(yè)務(wù)伙伴、投資人對(duì)公司重要、以與敏感信息保護(hù)能力的信心，提高組織的公眾形象和競(jìng)爭(zhēng)力；ü 滿(mǎn)足監(jiān)管單位的合規(guī)性要求，以與合作伙伴的信息安全審核的要求；Q：企業(yè)初次如何開(kāi)展ISO27001認(rèn)證（ISMS建設(shè)）項(xiàng)目？企業(yè)開(kāi)展ISO27001認(rèn)證時(shí)，一般都是由IT部門(mén)牽頭，業(yè)務(wù)部門(mén)配合參入。但是對(duì)于規(guī)較小的公司，IT部門(mén)的力量非常有限，往往是由質(zhì)量管理部門(mén)牽頭主導(dǎo)項(xiàng)目，因?yàn)檫@些公司一般都有實(shí)施過(guò)管理體系認(rèn)證（ISO9001或者CMMI）或者項(xiàng)目的經(jīng)驗(yàn)，信息安全管理體系同質(zhì)量管理體系具有較大的相似性。前期咨詢(xún)公司的參入幫助引導(dǎo)主導(dǎo)部門(mén)甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識(shí)信息安全，信息安全

7、管理以與ISO27001認(rèn)證，就本項(xiàng)目對(duì)信息安全的理解和目標(biāo)達(dá)成一致。這非常關(guān)鍵，因?yàn)檫@關(guān)系到項(xiàng)目實(shí)施過(guò)程順利與否，以與項(xiàng)目目標(biāo)的達(dá)成與否。項(xiàng)目圍的確定在前面已經(jīng)做了說(shuō)明，這里不再累贅。ISO27001項(xiàng)目的招標(biāo)同其他項(xiàng)目沒(méi)有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。ISMS體系的建設(shè)實(shí)施在此也不多說(shuō)，也有專(zhuān)門(mén)的問(wèn)題。ISMS體系認(rèn)證工作一般分為兩個(gè)階段的工作，第一階段是文件審核，這個(gè)階段審核員只關(guān)注管理體系文件，查看體系文件是否齊全，ISMS建設(shè)的方法是否合理，文件查看的重點(diǎn)一般為風(fēng)險(xiǎn)評(píng)估方法，業(yè)務(wù)連續(xù)性和管理體系測(cè)量等幾個(gè)方面。第二階段是現(xiàn)場(chǎng)審核，審核員將根據(jù)ISO27001標(biāo)準(zhǔn)的要求以與企業(yè)自

8、身信息安全策略的要求，在認(rèn)證圍，現(xiàn)場(chǎng)核實(shí)制度的實(shí)施情況，檢查運(yùn)行記錄是重要的審核手段?，F(xiàn)場(chǎng)審核將以末次會(huì)議的形式結(jié)束整個(gè)審核工作，如果審核員沒(méi)有發(fā)現(xiàn)重大不符合項(xiàng)，審核員會(huì)在末次會(huì)議上宣布企業(yè)通過(guò)現(xiàn)場(chǎng)審核。Q：企業(yè)ISO27001認(rèn)證的圍如何來(lái)確定？A：認(rèn)證圍的選擇將影響達(dá)到認(rèn)證要求的難易度以與成本。反過(guò)來(lái)，難易度和成本是選擇認(rèn)證圍的重要參考。難易度一般由企業(yè)自身當(dāng)前的信息安全管理水平?jīng)Q定，而成本則與企業(yè)的預(yù)算相關(guān)。在考慮難易度和成本的基礎(chǔ)上，企業(yè)一般會(huì)把核心業(yè)務(wù)部門(mén)以與支撐核心業(yè)務(wù)的IT部門(mén)和人力資源部門(mén)納入認(rèn)證圍。認(rèn)證圍的描述一般使用業(yè)務(wù)活動(dòng)圍、地域場(chǎng)所、信息資產(chǎn)與技術(shù)來(lái)表達(dá)。到目前為止，像

9、比較著名的認(rèn)證機(jī)構(gòu)比如BSI，DNV等在國(guó)頒發(fā)的證書(shū)一般只使用業(yè)務(wù)活動(dòng)和地域場(chǎng)所來(lái)描述認(rèn)證的管理體系圍。Q：企業(yè)建立符合ISO27001標(biāo)準(zhǔn)的ISMS的過(guò)程大致是怎樣的？A：ISO27001認(rèn)證實(shí)施不同咨詢(xún)公司的做法也不一樣，但是基本上會(huì)按照標(biāo)準(zhǔn)里的容，從ISMS（信息安全管理體系）規(guī)劃、ISMS實(shí)施與運(yùn)維、ISMS監(jiān)視與回顧、ISMS改進(jìn)與提高四個(gè)階段。 詳細(xì)如下圖解。階段一：階段二：階段三：階段四：××公司的ISO27001認(rèn)證咨詢(xún)實(shí)施方法是建立在對(duì)ISO27001標(biāo)準(zhǔn)的深刻理解以與過(guò)往實(shí)踐積累總結(jié)的基礎(chǔ)上的。ISO27001信息安全管理體系的核心是基于PDCA流程的方

10、法。利益伙伴，客戶(hù)，股東等是信息安全需求做企業(yè)信息安全管理體系的出發(fā)點(diǎn)，在企業(yè)部業(yè)務(wù)活動(dòng)的開(kāi)展，需要各種各樣資源，包括人財(cái)物的投入，同時(shí)也必須遵守各種各樣的安全制度，好的信息安全管理體系最終給利益伙伴，客戶(hù)和股東帶來(lái)價(jià)值。PDCA是個(gè)周而復(fù)始的循環(huán)活動(dòng)，發(fā)現(xiàn)問(wèn)題，制定問(wèn)題處理計(jì)劃，實(shí)施計(jì)劃，檢查回顧執(zhí)行的執(zhí)行，監(jiān)視評(píng)估實(shí)施的效果，發(fā)現(xiàn)不足與時(shí)改進(jìn)。企業(yè)在PDCA思路的指導(dǎo)下，大循環(huán)套小循環(huán)，不斷推動(dòng)企業(yè)信息安全管理水平提升，始終使企業(yè)信息安全風(fēng)險(xiǎn)處在可控的狀態(tài)。××公司在實(shí)踐中總結(jié)出了一套輔導(dǎo)企業(yè)通過(guò)ISO27001認(rèn)證的方法。整個(gè)實(shí)施方法分為五個(gè)階段，按照實(shí)施順序分別是差

11、距分析、資產(chǎn)風(fēng)險(xiǎn)評(píng)估、體系規(guī)劃和實(shí)施、體系發(fā)布與試運(yùn)行和協(xié)助外審，每個(gè)階段都有關(guān)鍵輸出。詳情請(qǐng)參看圖-實(shí)施方法總概。五個(gè)階段活動(dòng)都包含相應(yīng)的子活動(dòng)以與階段主要成果，詳細(xì)見(jiàn)下表：實(shí)施階段關(guān)鍵子活動(dòng)描述階段主要成果現(xiàn)狀調(diào)研ü ISO27001基礎(chǔ)培訓(xùn)ü 人員訪(fǎng)談ü 現(xiàn)有安全制度收集與分析ü 安全技術(shù)現(xiàn)場(chǎng)評(píng)估ü ISO27001差距分析ü ISO27001培訓(xùn)教材ü 人員訪(fǎng)談?dòng)涗?#252; 制度分析報(bào)告ü 安全技術(shù)報(bào)告ü 差距分析報(bào)告全面風(fēng)險(xiǎn)評(píng)估ü 風(fēng)險(xiǎn)評(píng)估方法培訓(xùn)ü 資產(chǎn)清點(diǎn)ü

12、 威脅與弱點(diǎn)分析ü 風(fēng)險(xiǎn)賦值ü IT流程風(fēng)險(xiǎn)評(píng)估ü 風(fēng)險(xiǎn)評(píng)估培訓(xùn)材料ü 資產(chǎn)清單ü 資產(chǎn)風(fēng)險(xiǎn)表ü 風(fēng)險(xiǎn)評(píng)估報(bào)告ISMS體系建立ü 管理體系規(guī)劃ü 技術(shù)體系規(guī)劃ü 風(fēng)險(xiǎn)處理計(jì)劃ü 安全制度編寫(xiě)ü 體系規(guī)劃報(bào)告ü 風(fēng)險(xiǎn)處理計(jì)劃ü 安全管理制度（包括方針，規(guī)定，指南，手順等）ISMS體系運(yùn)行ü 安全制度培訓(xùn)ü 信息安全部審計(jì)ü 管理評(píng)審ü 安全制度培訓(xùn)材料ü 部審計(jì)報(bào)告ü 管理評(píng)審報(bào)告ISMS體系認(rèn)證審核

13、2; 應(yīng)對(duì)外審培訓(xùn)ü 應(yīng)對(duì)外審培訓(xùn)材料Q：企業(yè)在項(xiàng)目實(shí)施過(guò)程中，需要多少資源投入？A：企業(yè)在實(shí)施ISMS建設(shè)時(shí)，項(xiàng)目實(shí)施方管理層關(guān)心的除了付給咨詢(xún)方的費(fèi)用以外，還特別關(guān)心在ISMS建設(shè)過(guò)程中企業(yè)人員還需要投入多少人天。總的來(lái)說(shuō)，企業(yè)的人天投入不同階段是不一樣的，而且參與的人員也會(huì)有所不同，從管理層到普通員工在實(shí)施工程中都會(huì)有參與。下面以一個(gè)圍為200人的公司實(shí)施ISMS建設(shè)為例，從ISMS項(xiàng)目實(shí)施的五個(gè)階段，在不同項(xiàng)目階段不同角色參與項(xiàng)目的單位時(shí)間來(lái)說(shuō)明。其中：h表示小時(shí),d表示天Q：如何選擇認(rèn)證公司？在認(rèn)證公司的選擇方面大致可以分為國(guó)際公司和國(guó)公司，企業(yè)如果有涉與到出口，離岸外包等

14、國(guó)際業(yè)務(wù)時(shí)，建議選擇國(guó)際認(rèn)證公司；如果企業(yè)業(yè)務(wù)僅僅涉與限于國(guó)客戶(hù)，且企業(yè)自身要滿(mǎn)足國(guó)監(jiān)管方信息安全監(jiān)管要求，建議選擇國(guó)認(rèn)證公司。國(guó)認(rèn)證公司由于在開(kāi)展ISO27001認(rèn)證的業(yè)務(wù)起步較國(guó)際認(rèn)證公司晚幾年，因而在客戶(hù)認(rèn)可性方面比起國(guó)際認(rèn)證公司要稍微差些。國(guó)企業(yè)選擇國(guó)際認(rèn)證公司時(shí)間，一般選擇BSI和DNV較多，國(guó)認(rèn)證公司目前只有中國(guó)信息安全認(rèn)證中心正式被中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(簡(jiǎn)稱(chēng)認(rèn)可委)正式認(rèn)可，而其他三家（賽寶認(rèn)證中心，華夏認(rèn)證中心，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所）目前（截止2009年6月）還是頒發(fā)試點(diǎn)證書(shū)。Q：企業(yè)獲得ISO27001認(rèn)證之后，在應(yīng)對(duì)認(rèn)證公司審核還需要做哪些工作？A：ISO2700

15、1證書(shū)一般都是3年有效期，3年過(guò)后，必須歷經(jīng)一次全面審核，由認(rèn)證公司重新頒發(fā)證書(shū)。在認(rèn)證注冊(cè)資格后，在三年有效期，將接受乙方3 次定期監(jiān)督審核與必要的不定期審查。其中，獲證之日起6 個(gè)月安排首次監(jiān)督審核，其后監(jiān)督審核間隔不得超過(guò)12 個(gè)月，有異常情況時(shí)酌情增加監(jiān)督審核的頻次。因此，企業(yè)必須仍然按照標(biāo)準(zhǔn)PDCA的要求，不斷發(fā)現(xiàn)或回顧信息安全風(fēng)險(xiǎn)狀況。Q：如何成來(lái)保證一個(gè)ISMS項(xiàng)目的成功，這些成功因素主要包括哪些？a) 項(xiàng)目圍相關(guān)部門(mén)以與各層領(lǐng)導(dǎo)就項(xiàng)目的目標(biāo)理解一致。b) 信息安全策略必須要反映企業(yè)的業(yè)務(wù)目標(biāo)。制定的安全策略是規(guī)員工的行為，更好的服務(wù)企業(yè)，為企業(yè)業(yè)務(wù)目標(biāo)的達(dá)成提供信息安全的保障，

16、安全策略不能與業(yè)務(wù)目標(biāo)相違背，更不能成為業(yè)務(wù)開(kāi)展的絆腳石。c) 實(shí)施過(guò)程與方法要與企業(yè)的文化保持一致。項(xiàng)目實(shí)施過(guò)程中，需要顧問(wèn)與企業(yè)人員不斷的溝通和交流，這些交流方式要與企業(yè)當(dāng)前的企業(yè)文化相一致。d) 來(lái)自管理層可見(jiàn)的支持以與承諾。管理層需要在項(xiàng)目的各個(gè)關(guān)鍵節(jié)點(diǎn)，如項(xiàng)目里程碑參加會(huì)議，公開(kāi)表明態(tài)度，并保障必要的人力以與財(cái)力支持。e) 為員工提供適當(dāng)?shù)呐嘤?xùn)和教育f) 易理解且一致的度量系統(tǒng)以評(píng)估信息安全的效能。安全控制的效果如何是能夠通過(guò)一種從公司管理層到普通員工所有成員都理解的方式來(lái)衡量。就如人身體的好壞能夠通過(guò)血壓，脈搏等等指標(biāo)就能知道。g) 自動(dòng)化的安全策略管理工具的使用。需要有一個(gè)工具來(lái)

17、自動(dòng)的管理當(dāng)前的安全策略，員工也能夠通過(guò)這個(gè)工具，快速查找到他需要的安全制度。Q：ISMS的圍確定之后，如何來(lái)解決圍之外的一些信息安全問(wèn)題呢?A：企業(yè)部面臨信息安全問(wèn)題的時(shí)候，目前雖然不是以前上某種安全產(chǎn)品就解決一切問(wèn)題的那種一勞永逸的想法，但是大多數(shù)的企業(yè)都希望盡可能多解決一些問(wèn)題，這種心情是可以理解的。ISMS建設(shè)時(shí)，都會(huì)確定一個(gè)明確的實(shí)施圍，比如IT部或研發(fā)部或財(cái)務(wù)部，那么在實(shí)施ISMS的過(guò)程當(dāng)中，圍之外的部門(mén)或組織一般都不會(huì)深入涉與，再次實(shí)施的重點(diǎn)明確在已定的圍之，在咨詢(xún)顧問(wèn)的幫助下，建立合理的信息安全組織框架，培養(yǎng)出能夠勝任安全管理體系運(yùn)作的相關(guān)人員，比如掌握了風(fēng)險(xiǎn)評(píng)估方法的人員，部

18、審計(jì)人員等等，提高人員的安全技能以與安全意識(shí)，在圍，提高信息安全的運(yùn)作水平，降低相關(guān)安全風(fēng)險(xiǎn)。然后依此作為示，一步一步的擴(kuò)大ISMS的圍，并且按照PDCA模型使企業(yè)的信息安全水平不斷提升，最后全公司圍推廣實(shí)施。實(shí)際上這也是企業(yè)在信息安全體系的建設(shè)過(guò)程當(dāng)中，在一定的人財(cái)物的投入的條件下，按部就班，循序漸進(jìn)，并秉承關(guān)鍵部門(mén)、以與高安全風(fēng)險(xiǎn)的地方優(yōu)先控制的原則，切忌一步而蹴。Q：哪些問(wèn)題屬于信息安全風(fēng)險(xiǎn)，而哪一些問(wèn)題則不屬于信息安全風(fēng)險(xiǎn)？A：信息安全風(fēng)險(xiǎn)是指自然（環(huán)境）因素或者人為因素利用信息系統(tǒng)漏洞（技術(shù)漏洞）、管理（或流程）缺陷，對(duì)企業(yè)造成危害的潛在事件。包括信息系統(tǒng)的開(kāi)發(fā)、部署、運(yùn)行（使用）、

19、監(jiān)控、維護(hù)與退出等過(guò)程中由于IT操作流程缺陷、系統(tǒng)的業(yè)務(wù)流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無(wú)意/蓄意失誤、外部事件等因素直接影響信息系統(tǒng)的安全、可靠、平穩(wěn)運(yùn)行，并可能導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)中斷乃至欺詐事件等業(yè)務(wù)操作風(fēng)險(xiǎn)，并間接導(dǎo)致信用、市場(chǎng)、法律、聲譽(yù)等企業(yè)。16 / 16信息系統(tǒng)開(kāi)發(fā)時(shí)的業(yè)務(wù)需求分析風(fēng)險(xiǎn)、信息系統(tǒng)項(xiàng)目管理風(fēng)險(xiǎn)等等則不屬于信息安全風(fēng)險(xiǎn)。Q：信息安全風(fēng)險(xiǎn)管理的定義與其圍？A：信息安全風(fēng)險(xiǎn)管理是指通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)估、預(yù)警和控制，確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行，規(guī)避因?yàn)樾畔⒓夹g(shù)應(yīng)用而引起的各種風(fēng)險(xiǎn)。一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受、風(fēng)

20、險(xiǎn)通報(bào)、風(fēng)險(xiǎn)監(jiān)控、風(fēng)險(xiǎn)回顧。應(yīng)用系統(tǒng)中的業(yè)務(wù)流程可能存在因流程控制缺陷而引起的操作風(fēng)險(xiǎn)。此類(lèi)風(fēng)險(xiǎn)與信息技術(shù)應(yīng)用的關(guān)系密切，并且極有可能因?yàn)樽詣?dòng)化、網(wǎng)絡(luò)化的實(shí)現(xiàn)方式而被放大，因此必須將其納入全面信息安全風(fēng)險(xiǎn)管理的圍：n 應(yīng)用系統(tǒng)中業(yè)務(wù)流程操作風(fēng)險(xiǎn)本質(zhì)上仍屬于業(yè)務(wù)操作風(fēng)險(xiǎn)，此類(lèi)操作風(fēng)險(xiǎn)的識(shí)別、評(píng)估以與提出流程控制要求等職責(zé)原則上屬于業(yè)務(wù)流程主管條線(xiàn)；n 但是通過(guò)系統(tǒng)實(shí)現(xiàn)的業(yè)務(wù)流程與傳統(tǒng)手工方式有較大的區(qū)別，信息技術(shù)的應(yīng)用使業(yè)務(wù)流程的風(fēng)險(xiǎn)情況發(fā)生了較大的變化，因此此類(lèi)風(fēng)險(xiǎn)的管理課題橫跨IT技術(shù)與業(yè)務(wù)運(yùn)營(yíng)兩個(gè)領(lǐng)域；n 所以從實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理的角度出發(fā)，應(yīng)將協(xié)助管理此類(lèi)風(fēng)險(xiǎn)的職責(zé)納入信息安全風(fēng)險(xiǎn)管理的圍

21、，由IT部門(mén)采取適當(dāng)?shù)姆绞椒e極參與其管理工作；Q：怎樣算是實(shí)現(xiàn)了有效的信息安全風(fēng)險(xiǎn)管理？A：明確職責(zé)與分工，建立良好的互動(dòng)機(jī)制，由信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行協(xié)調(diào)、檢查、督促并提供專(zhuān)業(yè)支持，實(shí)現(xiàn)共同協(xié)作、分散控制的信息安全風(fēng)險(xiǎn)管理環(huán)境，全面掌控直接、間接的隱藏風(fēng)險(xiǎn)，將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行的隱患控制在可接受的圍。Q：企業(yè)里誰(shuí)應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)？ n 信息安全風(fēng)險(xiǎn)專(zhuān)業(yè)性強(qiáng)、涉與領(lǐng)域廣，適宜在IT條線(xiàn)部進(jìn)行管理，IT部門(mén)承擔(dān)信息安全風(fēng)險(xiǎn)的管理職責(zé)，具體落實(shí)在部門(mén)的信息安全風(fēng)險(xiǎn)條線(xiàn)；n 業(yè)務(wù)部門(mén)承擔(dān)系統(tǒng)中業(yè)務(wù)流程自身的操作風(fēng)險(xiǎn)；n 企業(yè)風(fēng)險(xiǎn)管理部門(mén)對(duì)信息安全風(fēng)險(xiǎn)

22、管理提供指導(dǎo)；n 信息安全風(fēng)險(xiǎn)管理職能應(yīng)向企業(yè)風(fēng)險(xiǎn)管理部門(mén)提供信息安全風(fēng)險(xiǎn)管理報(bào)告，以匯總到企業(yè)整體風(fēng)險(xiǎn)管理報(bào)告中；其中：· R = Responsible誰(shuí)負(fù)責(zé),負(fù)責(zé)執(zhí)行任務(wù)的角色，具體負(fù)責(zé)操控項(xiàng)目、解決問(wèn)題。 · A = Accountable誰(shuí)批準(zhǔn)，對(duì)任務(wù)負(fù)全責(zé)的角色，只有經(jīng)其同意或簽署之后，項(xiàng)目才能得以進(jìn)行。 · C = Consulted咨詢(xún)誰(shuí)，在任務(wù)實(shí)施前或中提供指定性意見(jiàn)的人員。 · I = Informed告知誰(shuí)，與時(shí)被通知結(jié)果的人員，不必向其咨詢(xún)、征求意見(jiàn)。 Q：IT部門(mén)誰(shuí)應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)？A：IT條線(xiàn)部的信息安全風(fēng)險(xiǎn)

23、遵循“責(zé)任到位、任務(wù)明確、各司其職”的原則，定位如下：n IT條線(xiàn)管理層整體負(fù)責(zé)，并向董事會(huì)進(jìn)行年度信息安全風(fēng)險(xiǎn)報(bào)告；n 建設(shè)開(kāi)發(fā)、運(yùn)行維護(hù)等IT職能為IT風(fēng)險(xiǎn)的第一責(zé)任人，承擔(dān)識(shí)別風(fēng)險(xiǎn)、實(shí)施信息安全風(fēng)險(xiǎn)等職責(zé)；n 信息安全風(fēng)險(xiǎn)管理職能承擔(dān)著制定風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)、開(kāi)發(fā)評(píng)估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測(cè)風(fēng)險(xiǎn)情況、應(yīng)急響應(yīng)、編制風(fēng)險(xiǎn)管理報(bào)告等職責(zé)。Q：需要組建怎樣的隊(duì)伍來(lái)管理信息安全風(fēng)險(xiǎn)，隊(duì)伍中各角色的職責(zé)是什么？A：在IT治理組織結(jié)構(gòu)成果的基礎(chǔ)上（沒(méi)有的話(huà)，則從頭建立），建立垂直專(zhuān)業(yè)管理的信息安全風(fēng)險(xiǎn)管理?xiàng)l線(xiàn)；建立常設(shè)的風(fēng)險(xiǎn)評(píng)估、監(jiān)控掃描等專(zhuān)業(yè)團(tuán)隊(duì)，并以虛擬團(tuán)隊(duì)的方式覆蓋整個(gè)企業(yè)；設(shè)立安全信

24、息監(jiān)控中心（運(yùn)維中心）等實(shí)體化的信息安全支撐中心。組織結(jié)構(gòu)如下圖所示：l 信息安全風(fēng)險(xiǎn)主管 協(xié)助管理層確定信息安全風(fēng)險(xiǎn)管理目標(biāo)、風(fēng)險(xiǎn)偏好 確定信息安全風(fēng)險(xiǎn)管理策略； 協(xié)調(diào)相關(guān)信息安全風(fēng)險(xiǎn)相關(guān)主要資源； 向管理層匯報(bào)整體風(fēng)險(xiǎn)管理狀況； 協(xié)調(diào)信息安全風(fēng)險(xiǎn)管理相關(guān)方工作； 組織制定信息安全風(fēng)險(xiǎn)管理政策。l 總部信息安全安全風(fēng)險(xiǎn)管理： 組織和管理整個(gè)公司信息安全風(fēng)險(xiǎn)管理工作 組織制定信息安全風(fēng)險(xiǎn)管理規(guī)劃 組則整體信息安全風(fēng)險(xiǎn)管理組織建設(shè) 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)、專(zhuān)業(yè)團(tuán)隊(duì)與外部的協(xié)調(diào)工作； 組織信息安全風(fēng)險(xiǎn)管理意識(shí)的宣傳培訓(xùn)與信息安全風(fēng)險(xiǎn)管理專(zhuān)業(yè)培訓(xùn)； 對(duì)專(zhuān)業(yè)團(tuán)隊(duì)與分行風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行業(yè)務(wù)指導(dǎo)。 匯總整個(gè)公司風(fēng)險(xiǎn)管理信息，撰寫(xiě)風(fēng)險(xiǎn)管理報(bào)告； 執(zhí)行合規(guī)性檢查； 對(duì)所有信息安全項(xiàng)目的信息安全需求進(jìn)行評(píng)審，確保安全需求，控制項(xiàng)目風(fēng)險(xiǎn)。 綜合管理（后勤/人力）。l 總部信息安全風(fēng)險(xiǎn)咨詢(xún)團(tuán)隊(duì)： 分析風(fēng)險(xiǎn)管理現(xiàn)狀與風(fēng)險(xiǎn)管理技術(shù)趨勢(shì)； 起草風(fēng)險(xiǎn)管理政策； 制定相關(guān)技術(shù)標(biāo)