信息安全管理体系建设实践

随着互联网科技的发展以及人们个人信息保护意识的觉醒，信息安全已然成为企业乃至国家必须关注的重点。信息安全管理体系是一套行之有效的闭环机制，该机制不仅能够让安全技术能力有效地发挥作用，让安全流程规范有效落地，而且还能让安全风险得到及时有效的控制。

本文主要分享的是从0到1的甲方安全管理体系建设相关实践经验，解析如何把框架搭建起来以及如何让机制闭环起来。当然达到1的水平之后，对安全管理体系就会有更高的管理诉求，实践也会存在更大的差异化。

首先我们思考下企业为何要花成本建立信息安全管理体系？新形势下，虽然信息安全越来越被企业重视，但在日常安全工作推进中，仍然面临着很多重大问题，这些问题的出现不但能直接影响安全工作的顺利开展，也会给企业带来不可挽回的重大损失。以下列举的是安全工作推进中几个比较常见的问题：

1.缺乏体系化建设，同类问题层出不穷。具体体现在同一个问题不断的在不同产品/人员上冒头，或者在同一个产品的不同功能模块上重复出现。存在的问题始终没有被根治，安全团队只能疲于“救火”，无法抽出人力去做更长远的事情，员工也同样疲于奔命，久而久之，业务对安全的专业性会产生怀疑，对安全的信任度也会大大降低。这种情况，一般是企业安全发展初期的通病。

2.风险整改要求，业务方不响应。业务方认为整改与否不会对他们产生任何直接影响，同时安全部门也缺乏闭环跟进的机制和资源，导致最后风险就算被发现，也会持续暴露。

3.安全制度难落地难监管。在安全建设初期，技术手段和能力一定是逐步建立，一步到位基本没有可能，在没有看到足够价值前，管理层也不会批准如此大手笔的投入，而价值是需要足够的投入和建设才能挖掘出来的。这个时候，制度先行、管理主导是最经济的方式。但是如果缺乏有效的管理抓手，那么制度也只能是空中楼阁，无法落地。

4.安全能力得不到有效应用。业务方没有动力去使用安全能力，同时也缺乏配套的奖惩措施去驱动他们充分地使用安全能力，导致安全能力被埋没，无法发挥有效价值，而风险依然敞开。

针对企业安全工作面临的困境，是否可以采取某种措施来有效地解决这些问题呢？其实从根本上来说，所有安全工作的出发点和落脚点都是为了解决企业面临的安全风险，这里的风险是一个泛概念。凡是可能对企业的资产、系统、数据产生威胁的事项都属于风险范畴。如果安全工作在解决安全风险的同时还能够顺带提升效率就更好了，然而更多时候可能需要在效率和成本之间取得平衡。

那么信息安全管理体系在风险治理中的作用有何具体体现呢？笔者认为主要有以下两个方面：

1.安全管理体系可以为风险治理提供整体框架和方法论。

2.安全管理体系可以为风险治理提供落地闭环能力，促进风险治理有效落地。

整体来说引入安全管理体系，在提升风险治理效率的同时也可以一定程度上节约成本。最终呈现出来的效果就是：发现一个风险，套入该体系里，可以非常有效地推进风险治理。

当然，安全管理体系在发展后期，会在风险展示、管理决策等方面提供输出，本文暂不详细展述。

在贝壳安全的建设实践中，我们参考了国际通用的风险管理方法论，建立了以安全罚则为抓手的安全管理体系，推进风险闭环治理。

那么，一项风险识别出来后，如何推进收敛呢？一方面，安全事项无法单点打透，以前发现问题主要是单点解决，发现一个临时解决一个，感觉上更像是隔靴搔痒，无法从根因上彻底解决；另一个方面，针对安全风险的治理方案和治理能力，在落地执行上非常困难，从而就会导致安全风险无法有效收敛，安全工作事倍功半。

在此基础上，管理体系通过制度、处罚、运营三个核心举措来推进风险闭环治理。首先建立合适的制度规范，从整体上明确风险治理的方向和原则，然后联合各方制定合适的风险治理方案，并通过管理运营和安全罚则的组合拳来推动方案和能力的平滑有效落地，最终达到风险收敛的目的。

下面将分别从安全制度、处罚机制、管理运营三个方面分别展开说明。 

1.安全制度

一套完善的安全制度体系，是指引企业实现安全作业的必要条件，同时也让安全风险治理工作「有法可依」。

那么如何建立一套合适且完善的安全制度体系呢？首先，要充分考虑监管侧的法律法规以及上市监管相关要求，并且安全制度的要求应严于监管要求；其次，可以参考行业相关标准，包括ISO27001、等保等相关标准；最后，深度结合公司业务及风险状况，将安全制度与业务流程和需求相结合，才能制定出符合公司实情的制度体系。

在这里，有两个方面需要重点说明。一方面，安全制度应具备足够的深度，能够指导风险治理方案制定和员工行为，能够被落地，否则就是空中楼阁。另一方面，安全制度还应具备足够的广度，不能受限于技术卡位能力。很多人在实际执行过程中，太过执着于落地可控，导致制度缺乏指引性，需随技术更迭频繁修订，因此制度先行、管理先行的理念需要拉齐和加强。

2.处罚机制

安全管理与技术的区别在于，通过技术工具和卡位，可以实现100%控制，至少对于已卡位的通道来说，不会有漏网之鱼，但是场景在不断变更，新的场景在不断涌现，技术卡位不可能全部跟上，而且技术卡位方案很重，在成本和效率上需要有一些权衡。而管理的方式正好是对技术这种限制的弥合，通过管理手段，使得人们遵守规范和流程，不敢绕过，从而实现全局层面控制。

那么如何才能使人们自觉遵守规范和流程、不敢绕过呢？处罚机制是强有力的管理抓手，通过建立与员工利益（如绩效、评优、晋升、信用等）密切相关的罚则，才具备足够的威慑力，才能撬动他们的神经。

其次，处罚机制的影响力建设也至关重要，最好可以一炮打响，树立威慑力，达到人人皆知、人人皆懂、人人皆畏的目标。

再次，建立安全罚则审判机制，持续运营影响力。安全罚则在执行过程中，由于跟员工利益密切相关，难免会存在很多挑战和质疑。同时，影响力建立起来后，各方都想借力，有推不动的事项就想着举起罚则的大旗，一旦把控不好，可能导致罚则被滥用而失去公信力和影响力。那么如何确保罚则在执行中公平公正不被滥用？在这里，我们参考了国家“公检法”机制，在事件处置机制中，引入职业道德、HR等强监管角色进行审判。

安全在这里的定位，主要是负责事件情况的调查，还原事实真相，并基于调查结果和制度规范，给出专业的处罚建议；职业道德负责大案调查，并对提交的调查结果和处罚建议进行审判；HR同样对提交的调查结果和处罚建议进行审判，并负责最终的处罚执行。避免了安全既当法官又当警察的局面，同时引入了两个审判角色，避免存在偏颇，从而最大程度上保障了罚则执行的公平公正性。

3.管理运营

通过建立有效的管理运营机制，推进风险闭环管理。

首先，应进行充分的规则透传，要告诉大家要求是什么并让他们理解和接受。

其次，通过运营手段推进运营，例如某项大范围的风险摸排自查，需要业务方主动摸排反馈，除最终的处罚威慑保底外，中间需要通过有效方式调动他们的积极性和配合度，毕竟法不责众，如果大家都不反馈，总不能罚所有人吧，安全自身的工作必然是做的不到位的。因此通过树标杆、抓典型、赛跑机制等运营方式，推动业务方执行是较为行之有效的方法。

最后，对落地效果进行检查审计，一旦发现未整改或整改不到位的情况，动用罚则进行警示。以此，才能实现风险闭环管理。

安全风险解决后，还可以进一步引入审计机制，以检查执行效果。检查审计的方式有很多，例如：

（1）可以借助业务专业力量（如众测、SRC等）从外部视角进行检查。

（2）可以借助监管专业力量（如合规检查、专业认证等）从监管视角进行检查。

（3）可以通过检测工具、扫描、抽查等方式从内部进行发现。

以上所述既有安全管理体系的方法论，也有贝壳安全在管理体系建设方面的实践经验。因为各企业的发展阶段有所不同，在安全管理体系建设的实践过程中也会有较大差异，所以管理体系出炉后，能否落地执行就需要适配企业特征。笔者认为可以从以下几个方面进行拆解。

以上分享的只是信息安全管理体系建设的一些关键点，整体管理体系的内容还有很多。笔者在这里抛砖引玉，希望有更多甲方专业人士一同来分享或交流，互相借鉴、互相学习、共同成长。