信息安全管理体系建设

案例名称   某金融机构ISO27001信息安全管理体系建设项目

项目背景

随着信息化的深入，国家及监管机构对信息科技风险管理十分重视，自2006年起，人民银行、银监会等监管机构不断对银行业金融机构提出信息安全方面的要求，包括《银行业重要信息系统突发事件应急管理规范》（银监办发[2008]53号）、《商业银行信息科技风险管理指引》（银监办发[2009]19号）等。公安部在2007年也提出了信息系统安全等级保护的要求。为满足内部信息安全管理的需要以及监管机构的要求，该金融机构通过历时将近一年时间的项目论证及筹划后，于2009年初正式启动ISO27001信息安全管理体系项目建设工作。

项目实施

本项目共分五个实施阶段，启动及计划阶段；现状调查和差距评估阶段；体系建制阶段；试运行及内审阶段；认证审核阶段。

1、启动和计划阶段。重点是明确体系建设的目标、范围。该阶段讨论并确定了项目的目标、范围，落实了项目组织架构、项目实施周期、项目情况汇报机制等重要内容。该阶段还规划了项目实施过程，制定了培训计划，实施了高层意识培训以及全员动员。

2、在现状调查和差距评估阶段。依据ISO/IEC 27001:2005标准、信息系统安全等级保护和监管机构的要求，通过大量的访谈、现场走查以及对原有管理制度文档、系统的检查回顾，从人员、技术、流程三个方面着手，进行了差距评估和风险评估，针对风险点设计了28个改进课题。

3、在体系建制阶段。提出“体系健全，措施得当，操作规范，持续完善”的信息安全管理方针。项目组成员积极投入到体系建制工作中，依据标准要求和管理需要按时保质保量的完成了建制、优化的体系建制任务。

4、流程试运行及内审阶段。本阶段旨在检查信息安全管理体系的有效性和适宜性。在此阶段全体员工以及外包岗位员工积极参与，按体系要求进行执行，同时也将执行过程中的疑问点、困难点及时与项目组进行沟通，提出了许多宝贵的建议，秉承了持续改进的原则。项目组组织相关人员参加体系贯标培训，保证管理体系能够顺利执行。通过内审员的培训，建立合格的内审员队伍；以访谈、现场走查和查看记录的形式组织内部审核，使部门能够自我检查，形成持续改进循环。

5、认证审核阶段。该阶段分为文件审核和现场审核两部分。在文件审核过程中，审核小组主要审核了该机构信息安全管理体系与国际标准的符合性。在现场审核时，主要审核了标准的执行情况。认证公司肯定了信息安全管理体系建设所取得的成果。

客户收益

信息安全管理体系建设是对公司计算机信息安全工作的一次全面梳理和完善提高，取得了以下成果：

1、满足了合规性要求，完善了管理制度、流程体系

信息安全管理体系建立是以合规性为底线的。合规性体现在满足法律法规、国家信息安全等级保护的要求、人民银行、银监会的监管要求、公司规章制度的要求。体系建制过程中，充分考虑了合规性要求，将控制点融入到每个日常工作环节当中。本次项目对公司信息科技工作进行了全面的梳理，完善了原有制度体系，在所有制度中都添加了信息安全控制点，使信息安全管理要求融入员工日常工作。信息科技工作涉及的体系文件融合了ISO 9000与ISO 27001管理体系，体系文件共计116份，其中一阶文件1份、二阶文件15份、三阶文件19份、四阶文件81份。保留和修订的原ISO 9000文件各6份。通过信息安全管理体系的建设，使得信息科技工作具备了较为完备的制度和流程体系。

2、建立了立体的全方位的信息安全风险防控体系

建立以ISO27001标准为框架的信息安全管理体系。以合规为底线，整合国家法律法规及行业监管要求。以流程为基础，风险管理为主线，管控由周期性工作（静）和变化（动）所带来的信息安全风险，将信息安全控制措施落实到生产运行操作过程中。通过信息安全管理体系动态的持续改进，实现自上而下的策略管理，自下而上的风险反馈机制，防范运行风险，保障信息安全。今年4月，项目初期进行了第一次风险评估，该评估结果有一千余项风险，其中风险等级为“中”风险数百项，无“高”风险。项目执行过程中，重点对“中”风险采取了风险控制措施。10月进行了第二次风险评估，评估结果显示无“中、高”风险项，也就是经过项目的实施消灭了“中、高”风险项。

3、实施流程管理，提高IT服务效率和质量，控制了风险，消除了信息安全隐患

本次项目引入了事件管理、变更管理、容量管理、供应商管理、连续性管理等流程。例如：管理员接到服务请求，处理故障都有明确的处理步骤，当故障处理时间过长的时候还需要升级给更有经验的人员，同时全部过程都进行了记录。处理系统变更时要有方案、有审批，事后有结果报告，日常的各种工作都有记录。通过对运行过程中的记录进行事后分析统计，可以预测未来发展趋势，提前发现潜在问题，使得管理上升到量化管理和主动管理的轨道上来，使管理驶上快车线。

4、建立了完善的公司计算机信息安全管理机制

管理体系建立了风险识别和评估机制,建立了问责机制,建立了审核机制,建立了量化监控机制,建立了沟通汇报机制,建立了持续优化机制.通过各种管理机制将管理要求制度化，规范化，日常化，通过检查机制，定期对信息安全管理进行检查评估，及时发现问题，及时纠正解决问题，做到“防微杜渐，防患于未然”。

通过建立问责机制将信息安全管理要求落实到岗，落实到责任人。体系在设计过程中就考虑了执行过程中每个岗位的应负的责任，如何对该工作进行检查。在试运行期间也针对各个职能组进行了充分的培训、沟通，使得每个制度执行者都十分清楚自己的工作内容、要求、负有的责任；

通过建立审核机制，落实日常的监控手段。定期的信息安全检查，年度的信息安全专项检查和内审、管理评审、外部审计等机制，形成了一套验证体系有效性的审计监督机制；

通过建立沟通汇报机制，建立了事件的采集、记录、分析、处理、上报机制。该将信息安全事件通报机制与部务会议相结合，形成了周、月、季、半年的定期的信息上报和回顾机制。

5、实现了安全要求在实际工作当中的有效落实

将各种规章制度落实到对岗位的安全要求，包括各岗位应具备的风险意识、技能和知识要求（尤其是关键岗位）。随着环境的变化及时更新相关制度，并对相关员工进行培训。通过事件触发、时间触发、变更触发等触发机制，使每个员工能动态的了解岗位的信息安全要求及信息安全要求变更的情况，使得员工在日常操作中始终能以正确的操作方法进行操作。

6、全员参与，通力协作、密切配合，极大的提高了全员的信息安全意识

在项目过程中结合项目进度进行了多种类，多层次的培训。培训本着“培训指导工作”的原则。培训结束后，课程内的知识马上可以应用到日常工作当中。培训共举办了培训7次10天，全体科技部人员参加了培训，部分外包岗位人员也参加了培训。培训对于提高员工对于信息安全管理的理解，参与项目建设过程起到了很好的推动作用。信息安全各种控制措施、控制点的有效与否，关键在于人员是否按照既定的要求进行日常操作。体系文件的编写过程中，员工参与度高，参与编写的人员占部门人员6成以上；体系文件讨论充分，共举办了9次体系文件讨论会；信息科技部全员参与制度的建设、讨论，使员工充分理解制度的含义，践行制度要求，从而有效的保证制度的执行。使制度落实到员工的日常工作当中，也就是使制度落到了实处，再配合以报告、检查和审计机制，实现管理的闭环，实现风险的预防、发现、处置的全面风险管控的体系。