很多時(shí)候，我們在應(yīng)付ISO270001評審的同時(shí)，又在對未知的信息安全問題抱有幻想，猜測與恐慌：你無法預(yù)料到那天出現(xiàn)安全危機(jī)，無論是技術(shù)層面上的（病毒大面積感染，公司QQ被集體脫庫，絕密聊天記錄被曝光，網(wǎng)站被DDOS等等），還是管理層面上的（內(nèi)部員工泄密，間諜盜走財(cái)務(wù)數(shù)據(jù)等等）；而誰也不知道我們首先應(yīng)該做些什么；經(jīng)過近一年的努力和探索，在這里我分享一下自己在建設(shè)公司安全管理體系和落實(shí)ISO27001之間采取的平衡策略和妥協(xié)，還請大家多多指教；

　　一、自己清楚體系的核心

　　換句話來說，你得明確貫徹落實(shí)最關(guān)鍵的二八原則，公司的體系建設(shè)類似于為一個(gè)人定制一套衣服，首先肯定是解決裸奔的問題，而不是舒適度或者是美觀；你得清楚哪些對我們公司運(yùn)營是當(dāng)務(wù)之急的，哪些又是暫時(shí)沒必要，沒有預(yù)算，或者實(shí)施不了，甚至是實(shí)施了以后影響工作效率的；例如說信息安全工作評審，手冊文件上說每一個(gè)月都要進(jìn)行一次評審會(huì)議，高層必須參加，但是領(lǐng)導(dǎo)層如果不是專職信息安全的人員，而且又不懂各種各樣的體系，那么與其開這種一個(gè)人說話的會(huì)議不如改成每一個(gè)月的工作匯報(bào)，通過群發(fā)郵件的方式，讓大家了解進(jìn)展即可；又比如面對什么信息安全制度體系都沒有的技術(shù)部門，你一下子甩幾個(gè)三類文件規(guī)程，和幾十個(gè)日志文件給他們，讓他們實(shí)現(xiàn)什么日志評審，第三方工作日志評審，并定期讓他們跟你進(jìn)行工作匯報(bào)，那么我想別人肯定也只能靠編撰了。工作如果僅僅是這樣做，那“建設(shè)”就成了空話，沒有意識(shí)和規(guī)定，單單靠要求是不現(xiàn)實(shí)的事情。

　　二、領(lǐng)導(dǎo)層知道你在做什么

　　要進(jìn)行體系的建立，首先就是指定責(zé)任人與領(lǐng)導(dǎo)小組，這些領(lǐng)導(dǎo)小組無非是一些公司的高層，很多做信息安全體系建設(shè)的同事對此嗤之以鼻，覺得他們都不懂安全，不應(yīng)該由他們來組織實(shí)施體系的建設(shè)工作；

　　但是，不懂安全的領(lǐng)導(dǎo)來擔(dān)任信息安全指揮家，不是更能夠讓你“為所欲為”了嗎；你也不能一個(gè)人埋頭苦干而忽視了領(lǐng)導(dǎo)層，畢竟領(lǐng)導(dǎo)們處在的位置決定了他們比你更好調(diào)動(dòng)資源。

　　三、根據(jù)公司的運(yùn)營現(xiàn)狀階段實(shí)施

　　對一個(gè)操作進(jìn)行評審的前提，是必須要有這個(gè)操作，這是毋庸置疑的。進(jìn)行體系建設(shè)也一樣，如果說我們剛剛進(jìn)行了防火墻日志的統(tǒng)計(jì)和收集，大家還不了解日志的內(nèi)容，甚至說里面充斥著大量的冗余無關(guān)日志，那么進(jìn)行日志的評審就顯得沒有必要了，這時(shí)候的當(dāng)務(wù)之急應(yīng)該是將日志進(jìn)一步進(jìn)行分析，精簡，等過了這個(gè)階段，日志分析納入了日常工作范疇，評審才能夠提上議程；

　　四、劃分部門指導(dǎo)工作與培訓(xùn)

　　公司整體性提升信息安全意識(shí)要靠定期的培訓(xùn)與宣傳，但是針對管理體系的培訓(xùn)更應(yīng)該因人而異。初到公司我也進(jìn)行過培訓(xùn)，讓大家了解到信息安全建設(shè)的重要性，ISO27001體系對公司會(huì)有哪些好處。但是效果并不明顯，第一是因?yàn)榇蠹也懦醪搅私庑畔踩母拍睿@個(gè)時(shí)候提信息安全體系還為時(shí)過早；第二是因?yàn)槊恳粋€(gè)部門對信息安全體系的側(cè)重點(diǎn)并不一樣，研發(fā)部門可能會(huì)關(guān)心他們辛辛苦苦寫出的代碼，而財(cái)務(wù)部門卻關(guān)心的是公司的防泄密體系；這個(gè)時(shí)候，周期性的，針對部門進(jìn)行培訓(xùn)，并在其中穿插進(jìn)體系的內(nèi)容，大家就好理解。由淺到深尤為重要，比如這個(gè)月我針對財(cái)務(wù)系統(tǒng)給大家講解了脆弱性和威脅，那么大家對風(fēng)險(xiǎn)評估就會(huì)有一定的理解，接下來開展相應(yīng)的資產(chǎn)識(shí)別工作就容易了很多。

　　五、和監(jiān)管部門進(jìn)行配合

　　信息安全工作請務(wù)必讓公司的“內(nèi)控監(jiān)察”部門配合，實(shí)現(xiàn)有法可依和制度的執(zhí)行；特別是當(dāng)初到公司，信息安全管理制度一片空白的情況下，不能每一件事都是“善意的提醒”，例如，我們可以在“內(nèi)控監(jiān)察”的配合下，對員工的日常行為進(jìn)行了規(guī)范，（如清屏策略，密碼復(fù)雜度要求，內(nèi)外網(wǎng)分離要求等），納入每一個(gè)月的績效考核中，讓每一個(gè)人心中都有一個(gè)最基礎(chǔ)的信息安全意識(shí)。