关于企业信息安全管理的几点感想

        管理，一直以来就是个比较复杂或者说在国内是比较复杂的工种，若再加上信息安全四个字，看似内容更专业，但由于远离业务，在一个企业普通管理序列中，一直是处于较落后，不受重视、毫无实权的行列，这种局面，是普遍现象， 毕竟不是直接盈利工种，且贡献难以计量。而信息安全管理工作的难度可想而知，我自己的理解，作为信息安全从业人员，需要有高超上下沟沟通能力，专业的项目管理和策划能力，以及快速切换和适应各类角色的能力，这三个的方面能力是最为重要，远大于对于各类管理技巧，技术实力的掌握。

        近年来，大多数企业都有加强信息安全管理的共识，这姑且也算是信息安全行业利好消息，在现代企业发展，已经同信息利用密不可分的今天，信息安全管理的重要性在逐渐凸显出来。尽管如此，信息安全管理人员在企业中的权限还是普遍处于比较尴尬的位置。因为，没有太多的权限，要做管理的工作，说实话，真的有点难。 

       那么该怎么办呢？首先要做的就是要善于借势。借用有实力的人的势力，获得必要支持，从而为工作顺利开展打开局面，并持续推进，在具体工作方法上，可以通过各类启动会、项目例会、以及通过各类横向、纵向的组织、协会来实现，这些会议，是向上沟通争取支持的必要手段，除此之外，还需要加强日常与管理层的沟通，增强信任与理解。

          借势是第一位，这个首先要做到，那借势成功了，接下来就要实在体现信息安全管理能力的时候，企业信息安全管理，去掉信息安全四个字，它就是一项企业的正常的管理活动，是与管理层相关的，作为管理层，首先要认领和理解自己所担负的信息安全责任，进而将这些责任传递到管理中层和执行层，这样，使所有人都能够清楚自己所担负着信息安全的管理职责，而不单单是一个信息安全管理人员，甚至是一个运维人员的责任。认识到这一点，是做好企业信息安全管理的重要前提。     

        也就是说，意识宣贯要先行，提升员工意识的方法很多，通常会先进行高层宣贯、或员工专项提升培训，培训完后就开始具体工作，一般的若一个企业从无到有的做信息安全管理，首先要做的实际上就是要搞清楚，自己到底有哪些信息安全风险，也就是，首先要做信息安全风险评估。风险评估的目的，是搞清楚企业的资产目前所面临的风险，风险评估这项工作，推荐一定要得是内外结合、强强合作的方式来执行，外部顾问对于风险评估的方法和工具比较熟悉，内部业务骨干对于各项业务的实际应用场景比较清楚，风险评估，肯定是紧贴业务现状来评估存在的信息安全方面的风险，要想使工作有成效，方法和内容都非常有必要。作为信息安全管理人员，在执行这项工作的过程中，需要有效组织内外，可能做事风格、理解角度、工作习惯皆不相同的两类人开展工作，如何融洽、和谐的相处，共同有效产出，需要专心思考，有效估量和策划，才能够使1+1>2,否则，呵呵。

        风险评估完成后，又得通过管理确认，确定本次需要解决的风险，制定管理措施或技术措施，并按照计划进行实施，在这个过程中，最重要的，还是与管理层有效沟通，信息安全管理人员，需与管理层达成一致，最终形成要处置的风险清单这其实也是借势，实际上，在整个项目进展过程中，借势是贯穿始终的。

       在措施落地阶段，需要把自己变成项目集经理的角色，做信息安全管理工作，要懂得分解，懂得分解责任，分解风险，分解具体工作内容，落地到整个公司，整个组织，所有人员的身上，千万不要让大家误以为，信息安全就是信息安全组织的事或者，信息安全就是某一小部分人的事情，要在开始的时候，就得通过宣贯和培训，使大家懂得，信息安全是所有人的事情，是本来要做的事，是之前没有做或没有做好，而现在要把它做好的事情。通过工作分解，一方面把具体的工作安排下去，一方面把大家的积极性调动起来，盘活整个组织，只有这样，信息安全管理工作才有持续开展的可能。

      措施分解为具体项目后，按照具体项目管理的方法，推动具体项目的实施并达到既定的目标，在这些项目落地实施后，对于信息安全管理工作而言，这仅仅是第一个轮回。

       信息安全管理工作是持续和循环的，第一个轮回解决最多的，可能仅仅是意识层面上的问题，看似部署了很多的技术措施，发布了一堆的管理制度，实效如何，还未曾验证，毫不客气的讲，大多数企业往往觉得做到这里，申请个ISO27001证书就完事了，若不循环开展下一个轮回，前面的工作等于浪费时间，毫无价值。第一轮回工作最大的功绩在于为企业信息安全管理指明了一个模糊的方向、列出了一堆模糊的方法，确立了一堆模糊的目标，要想使这些越来越清晰，就得持续和循环的推进，这是信息安全管理工作执行的特点，明确的讲，没有所谓的PDCA，所有的管理工作都毫无价值可言。

     所以，要做好PDCA。信息安全管理人员要特别了解到这一点，对于企业信息安全管理而言，理解PDCA的重要性，是排在第一位的，这个比高深的技术能力都要重要的多，这个是信息安全管理的基本方法论。通俗一点的讲，信息安全管理工作的目的，使每项工作、乃至每个人，都具有PDCA的特点。都要在信息安全管理工作所营造的机制中持续的执行，持续的改进，形成这种良好的局面，而这些所有良好局面的组合，就是企业所需要的信息安全管理体系。体系不是说出来的，是做出来的。是体现在具体工作中的，而不仅仅是体现在文件或口头上的。这一点，要明确。

       往往许多企业，在经历了第一个 工作轮回后，都呈现出后续乏力特点，这在国内企业尤为突出，因为从外部看一项信息安全管理工作“”没有新意的平淡无奇“，很容易被理解为“”碌碌无为“，特别是由专项项目工作转化为常态化日常工作之后，甚至会让某些管理者认为这项工作可有可无，甚至有很多管理者会推倒重来，建议一定要利用外部合规的企业“”压力型需求“”，使整个体系能够往下运转下去，也就是说，一定要做体系认证，使企业获得外部在信息安全管理方面，一个正式认可，基本能够能够保证企业在接下来至少一年时间内，维持持续推进状态。

    真正发现风险，并找到解决之道，是考验一个信息安全管理人员专业素养的一个重要指标，加强对业务工作的全面理解和掌握，才能够评估出真正有威胁的风险，并制定出行之有效的措施，信息安全管理人员要善于用系统化的视角，而不是单一的视角来看待信息安全问题，自始至终，以降低信息安全风险为己任，有弹性的思维与工作，既能够深入具体细节，又能够坚持整体观念，才能把信息安全管理工作持续推进下去，并做到卓有成效。

        罗里吧嗦的写了这么多，完全随心随性，在今后的日子里，我姑且给自己定一个规矩：每周至少发表一篇信息安全方面的感想或文章，不苛求鲜花或掌声，只希望能够有效思考和反省，有所收获，让目前的工作，有所改观。