信息安全管理体系外包企业与业务的结合

申请免费试用、咨询电话：400-8352-114

信息安全管理体系(ISMS)建设对于企业业务顺利开展意义重大，然而在ISMS建立及运作的过程，却很少有企业能够真正做到使ISMS与其外包业务相结合。

由于发包方对信息安全要求的提高，越来越多的外包企业都遵循ISO27001标准，建立了自身的信息安全管理体系(ISMS);然而，在ISMS建立及运作的过程，却很少有企业能够真正做到使ISMS与其外包业务相结合。如果不能与企业自身业务相结合，ISMS只能够徒有其形，最终不能很好的持续并且改进，那么，ISMS在外包企业如何做到与其业务很好的结合呢?作为一名信息安全咨询顾问，我很愿意将自己的一些理解与大家分享。

首先，信息安全目标应与企业业务目标保持一致。

信息安全目标是否能够与企业的业务目标相一致，将直接影响到ISMS运行的效率和效果，因此，信息安全的目标必须要符合企业的业务目标。要保证信息安全目标与企业业务目标的一致性，可以通过以下两个方面来考虑：

1) 制定企业发展战略时，考虑业务目标的实现对信息安全的要求。在业务规划时，不仅仅分析业务需求，还应该同时进行信息安全需求分析，并且将这些信息安全的需求的实施内容加入到业务发展规划中。比如，企业将向某个新行业客户提供外包服务为企业的战略，那么在业务战略规划中应加入客户行业的安全需求调研、客户行业安全知识库建设、信息安全管理人才培养、外包服务车间的安全建设等信息安全内容。

2) 制定信息安全目标时，继承企业的业务目标。信息安全目标是信息安全管理体系前进的方向，因此，只有将业务目标层层分解，最终得出信息安全目标，再将安全目标分解到各信息安全控制措施的具体指标，并且进行有效的过程改进，才能保证ISMS的有效行。

其次，项目执行过程固化信息安全管理活动。

信息安全管理活动能否固化到项目的执行过程中，或者说信息安全管理活动与项目运作的结合程度，已经成为了企业ISMS实施能否成功的关键因素。因此，企业想要建立并运作有效的ISMS，必须将信息安全管理作为项目管理活动的一部分，固化到项目实施的各个阶段。信息安全管理活动与项目执行过程的结合可以从以下方面考虑：

1) 项目售前阶段客户信息安全需求管理。从项目售前阶段开始，对客户外包项目的信息安全需求进行归纳、分析，并且形成正式的客户安全需求文档。这份需求文档应包含客户所有正式提出的安全要求，每项的安全要求需要有相对应的具体的安全管理活动，并且在项目的整个声明周期由专人进行维护、管理，真正做到客户安全需求的符合性管理。

2) 项目执行阶段信息安全管理活动实施。首先，在项目管理流程中，将项目运作过程中的信息安全管理职责明确定义下来，并且将各类项目所包含的信息安全管理活动定义下来。其次，在项目执行阶段，项目经理需要按照既定的项目安全管理活动进行操作，即从人、机、料、法、环的角度进行资产识别、风险评估、风险处理等活动。最后，在项目执行的过程中，需要审计人员定期或不定期的对项目的各个活动进行安全审计，从而保证项目安全管理活动的有效性。

3) 项目结束后信息安全管理措施。项目结束时，项目相关的信息资产需要妥善的得到处理，避免由于管理不善导致敏感信息的泄露、丢失等问题。

最后，在新业务开拓中考虑ISMS的附加价值。

管理体系如何才能直接为企业创造价值，这一直都是每个企业所关心，并且非产困惑的问题，但是，信息安全管理体系却能够很好的为外包企业创造额外的价值。外包企业在提供通常的外包服务之外，还可以为根据不同安全等级需求的客户，提供不同安全级别的外包服务，为重点客户提供VIP的服务环境，例如：

1) 提供单独的物理场所作为工作环境;

- 独立碎纸机

- 独立打印机

- 独立门禁系统

2) 提供符合客户要求的网络环境;

3) 更为频繁的回顾与审计等。

总之，在进行信息安全管理体系建设的过程中，只有充分的考虑到企业业务需求，并使各项管理措施渗透到企业的业务运作中，真正做到ISMS与外包企业的业务相结合，才能使信息安全管理体系发挥最大的效能，为外包企业带来更大的价值。（比特网）