信息安全從管理到治理

IT運維

作者：潘蓉

2013版ISO27001（信息安全管理使用規則）於2013年10月1日正式發布，新版標準反映了與業務的融合、與全麵風險管理的融合、與治理的融合，體現在新標準中對績效的重視、對風險評估方法論的修改。這與IT治理的目標也高度一致。

新標準更關注業務

IT治理的驅動力意在從董事會等治理層麵確立IT的價值和投資的決策機製，確保IT戰略與業務戰略的一致性，革新性地驅動業務的發展。信息安全管理新標準從風險與成本的平衡過渡，到要定期報告信息安全管理績效，反映了信息安全管理標準的發展進入成熟期，也反映了治理層麵更加重視對信息安全投入的預期監控，同時對風險管理的度量也是相關方、管理層共同關心的話題。

信息安全的目標是與業務的發展目標高度一致的，因此新標準要求信息安全風險管理要聚焦信息，而信息是融合在整個業務流程中的。新的標準摒棄了原來識別資產、資產威脅與脆弱性的方法論，肯定了管理層麵以業務價值為基礎，識別信息、確定信息的價值，也更方便與其他以業務流程為基礎的ISO管理標準相融合。

由於更加關注業務，新標準要求對業務、對組織目標的理解，從內外部環境包括宏觀政策、技術發展、行業動向、微觀的組織環境來分析，此外還要考慮環境因素對業務的影響和對信息安全的要求。

信息安全風險在新標準裏變得更加生動、中性。新標準要求定義風險責任人，這個責任人更可能是業務的負責人或某項具體活動的負責人，而不僅僅是IT人員。對信息安全風險的偏好與態度完全與組織的全麵風險管理框架相融合。

IT技術對新標準的影響

雲技術的廣泛應用、外包業務的興起，讓供應鏈的安全風險管理從組織的戰略層麵到日常運作層麵都要進行識別、利用、控製。新標準新增供應鏈關係管理，關注供應鏈關係中的信息安全和服務商交付過程的信息安全。

同時，大數據的興起使得數據泄露的風險加大，標準將加密控製從一個控製目標項上升為一個控製域；此外，移動互聯影響著人們的生活和辦公，新標準也新增了移動設備使用的安全策略。

在組織層麵，除了日常運作，管理者還需特別考慮項目的信息安全管理，這也是新增控製項。同時，完善了係統開發的全生命周期信息安全管理，包括需求分析、開發環境、測試數據保護、測試驗收、變更管理、開發外包管理等控製項。

新技術和風險點的出現，使得風險處理采取的控製措施不再拘泥於附錄A。附錄A僅作為基本必須的選項（見標準條款 6.1.3c）。

從結構來說，新版標準與其他ISO係列標準的框架完全一致，遵從“ISO導則83”，這是ISO管理體係認證標準的基本框架，方便與ISO其他管理體係的整合。

作者簡介

潘蓉，畢業於清華大學計算機係，曾在英國標準協會帶領團隊，為世界500強企業及國內金融機構提供信息安全、IT運維、業務連續性、風險管理、質量內控的培訓和認證服務。目前作為國家IT治理標準的核心成員，致力於IT與業務的融合，推動IT治理，推廣金融創新IT架構，使得更多的組織得益於IT創新推動力，並有效應對風險。還曾擔任境外上市公司信息安全主管、ITSS IT治理標準組核心成員、清華大學建設管理係工程擔保與建築市場治理研究中心兼職研究人員、上海市軟件行業協會軟件服務專委會副主任、英國標準協會兼職主任審核員等職務。