企业安全建设是一个老生常谈的问题，由于每个人的工作经验和心得体会不同，因此看法和实践通常也不一样。

信息安全管理体系（ISMS)是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

所谓体系思考，就是通过自身的知识和经验的积累，结合企业的现状，对存在的安全问题进行分类和整理，并总结出一套适合的安全建设体系的思考方式。有了这样的思考能力，就可以帮助我们形成合适的安全方法论来快速解决安全建设过程中的种种问题，做到目标明确、思路清晰、步步为营。

为什么我们需要管理层对信息安全的支持？IT部门不是负责信息安全的吗？因为技术方面很重要，但管理层的作用也不能忽视，管理层必须推动信息安全。

之所以管理层需要推动这一政策，是因为管理团队在法律上对任何发生的违规行为负责；另外，高级管理层对公司的资产有信托责任。我们的管理层可以提供执行政策所需的必要资源，包括财政和人员，当利益相关者有不同意见时，高级管理层可以提供明确的方向。最后，当高级管理层重视信息安全时，它就会创造一种文化，让员工也认识到其重要性。

那么，我们如何才能让信息安全举措获得高管的支持？首先，我们需要与高级管理层讨论，目的是让他们注意到信息安全政策的重要性。我们可以通过传达合规的需要，不合规的后果，以及公司对各类干系人的责任来做到这一点。这些方式都是能够吸引管理层支持我们安全政策的因素。

我们应该向管理层表达影响企业的各类合规问题，这些问题可能来自所有关于信息安全的政策和法律，对不合规所带来的主体监管责任也会引来管理层的支持。至少，不合规会损害企业的声誉，尤其数据泄露事件近年持续暴雷。一个有效的信息安全政策可以有效预防企业声誉的损害，因为它规定了在发生漏洞时应采取的方案。

不良的安全控制也会导致法律风险和补救费用，进而造成金钱上的损失。据不完全统计，涉及个人数据泄露的成本每条约1300余元。想象一下，补救涉及一百万条记录漏洞的成本会对一个企业造成什么影响。这些数字应该让高级管理层意识到支持不足的安全策略所带来的威胁。更严重的后果是，触犯法律法规导致高级管理层和信息安全负责人受到的刑罚。

另外，我们应该强调和承诺对客户的职责，作为管理层支持我们安全策略的另一个理由。我们希望创造客户，而数据泄露可能会损害客户对我们的忠诚度。我们可以指出，保护客户的数据安全是道德上的事情。客户关系是获得高管支持的最终动机，优秀的策略可以表明我们对于客户隐私的关心，并采取必要的措施来保护他们。同时，通过保护我们的客户，我们也保护了企业的生存能力。

这些问题旨在使管理层对信息安全策略的支持达到前所未有的高度。我们需要强调，管理层对这项工作应该持有“应尽职责”和“应尽关注”的态度，他们的支持是这项工作成功的关键。我们也不能轻易放弃，因为这是一条通往成熟信息安全实施的漫长道路。

所以我们要在与高管的会议上，阐述这些策略将如何有效保护企业和客户，并准备好面临反对时的应急预案；同时，对员工进行信息安全意识教育会调动其积极性与主人翁意识。

企业的供应链安全近年得到了前所未有关注，所以也需要在信息安全策略中予以解决。我们应该对拟议中的企业开发和制造的外包进行风险评估。需拟定风险评估过程，研究有哪些可能存在的威胁、可能产生的后果、发生的可能性以及可能的风险缓解策略。

我们的现行策略应该在风险评估完成后进行审查，以完善且可运行PDCA。威胁是任何可能对资产造成损害的东西，如我们的专利设计、软件、数据、流程和声誉；我们还必须考虑内部和外部的威胁来源。下文中将列出所确定的一些常见威胁。

第一个主要威胁是知识产权。知识产权在内部和外部都面临着拟议变更的风险。在内部，心怀不满的员工可以接触到我们的知识产权；在外部，向开发和制造伙伴分享知识产权的过程中也会存在隐患，如果合作伙伴的信息安全政策不够完善，我们就将面临外部对于知识产权的窃取。

这表现在缺乏访问控制，对数据安全建设不足，缺乏网络安全以及密码管理差。导致的后果可能是非常严重的，比如知识产权被竞争对手利用，从而失去市场份额。知识产权被盗或丢失的可能性很高，因为每个国家关于信息安全的法律与监管力度不尽相同。

大多数与信息有关的犯罪来自企业内部，员工的不满是一个非常强烈的动机，对此我们可以采取的缓解策略主要包括为员工和合作伙伴制定保密协议。我们应该定义谁拥有我们的机密信息，以及合作伙伴将如何保护它；还应该检查合作伙伴的安全策略，看他们是否至少与我方的策略相近。

我们需要在合作伙伴的协议中加入约束条款，确定好他们对于我方机密数据储存的区域和方式。我们还应该要求其对数据进行加密，以防止因外部不可控因素而造成的损失。该协议还应该涉及策略被破坏后具体的惩罚条款，并提供一个审计对方安全的手段。

知识产权损失的另一个方面，来自合作伙伴对我方产品进行的逆向工程。他们很容易接触到我们的制造过程，这将导致合作伙伴未来成为我们的竞争对手，拥有我们所有的知识。我们可以通过上述强有力的保密协议，并挑选一个在无窃取知识产权方面有良好信誉记录的合作伙伴来减少这种情况。

第二个威胁是我们可能会对产品的质量控制。新的合作伙伴可能不具备满足我方标准制造产品的人员或流程，其后果包括退货造成的利润损失，降低我们的竞争优势，并损害我们的声誉等。只要我们的合作伙伴在开发和交付方面经验丰富，这种威胁的可能性是低到中等的。

我们可以通过完备的服务水平协议来减轻这种威胁，比如对不良的质量控制进行的惩罚。同时，这可为我们提供监督合作伙伴条件，并要求员工接受培训，达到可接受的标准。我们必须制定一些规章制度，让我们的合作伙伴在软件开发期间审计他们的变更控制；同时我们要跟踪这些变化，以防出现问题。

第三个威胁是合作伙伴的制造延误。我们无法保证合作伙伴能及时交付我们的产品，延迟交付会严重影响我们的供应商关系，失去潜在客户，并损害我们的收入来源。另外，如果我们的规模较小，意味着不会有那么大的需求量，同时由于大企业使用同一制造商，导致我们可能被推后。这种威胁可以通过一个良好的服务水平协议来缓解，如果产品不能按时交付，就会产生惩罚。

第四种威胁是软件数据丢失而造成的影响。这种损失的产生可能是由于基础设施落后造成的停电，或是开发人员计算机或网络断电导致的数据丢失等，这可能影响开发周期并导致产品延误。解决方法应包括一个良好的备份策略以及完善的应急响应措施。

第五种威胁还涉及因外包而导致的未来能力的丧失。比如我们可能发现自己无法开发软件和产品，更有甚者，我们会因为外包开发而失去创新的能力。其后果是严重的，因为它将削弱我们未来的生存能力。鉴于其他企业丧失开发能力的历史记录，这种可能性是中等偏高的。缓解这种风险的方法是，不允许我们的知识产权过多地流向外部，并将我们的一些核心人才留在内部。

拟议的变更为我们以前未曾面临的风险打开了大门，其中一些风险可能会给我们带来灾难性的影响。但通过适当的规划、沟通和管理层的指导，就可以在威胁发生时有效地减轻我们的损失。

我们如何提升到更成熟的信息安全管理体系？仅仅拥有一项策略就能使我们安全吗？答案是否定的，因为策略需要具备所有相关人员的意识才能真正有效。作为高级管理层，有责任和义务支持我们的信息安全倡议。可以推动几个步骤，从查缺补漏传统的合规性转变为创造一种信息安全的文化。这涉及审查我们的策略，确保我们制定的规则能够成功，并符合企业文化。

在审查我们的策略时，可以约见关键的利益相关者，如IT人员和其他高级管理层。IT人员主要包括那些直接参与需要符合各类标准的系统或基础设施的人员；高级管理层将帮助确定作为利益相关者的其他人员，人力资源和法律顾问也是需要参与的其他利益相关者。这些群体中的每一个人都在健全的信息安全策略的整体架构中发挥着作用。

利益相关者将检查策略中与他们专业知识有关的领域，这种审查可以确定策略中不相关或需要改进的领域。来自IT部门的专家可以检查涉及数据安全和数据隔离的策略，会负责梳理暴露在外的所有敏感数据。可以提出建议，保护任何未受保护的数据，也可以对我们的IP和客户数据进行任何加密。人力资源可能会审查任何与员工违反政策有关的惩罚措施，也可以提供一个培训计划，对员工进行政策和意识教育。在这个完善政策的过程中，应该让每个利益相关者都感到自己很重要。

作为高级管理层，有责任对这些策略表示支持，并鼓励我们的同事也支持这些策略，这种支持对于鼓励员工拥护政策至关重要。可根据需要的鼓励分配资源，高级管理层也应该在有冲突的地方为这些策略提供指导。

还应该研究同行业同领域内其他企业成功的安全政策。可以对彼此之间的策略进行差距评估，并在必要时修正我们的策略。还可以聘请外部专家来审计内外部合规性，测试我们的漏洞管理流程，并改进任何不符合标准的流程。

需要确保这些策略不会对某些人造成负担或惩罚过当，还需要测试我们的安全计划，确认它符合企业需求。通过至少每两年一次的持续审查，以更新安全策略。还应持续与关键利益相关者谈话，以保持高度的信息安全意识，然后，关键利益相关者应该与基层员工进行对话，告诉他们为什么要做这些事情。也需要听取反馈意见，并保持讨论的开放性。

信息安全策略应该包括一个调整期，违反策略的用户需要重新进行培训，温故而知新。为了使大家保持一种信息安全的文化，策略应该是一个持续更新的文件，由利益相关者不断地审查和改进。

引用《中国超越》作者张维为教授曾经在其书中提到的一段话：

邓小平说过，一个听过枪声的士兵和没有听过枪声的士兵就是不一样，实地考察过一个地方和没有考察过也是不一样的。

我认为这句话同样适用于这个议题的主题。如果没有亲身参与过体系化的安全建设或进行过体系化的安全思考，那么本议题所提到的内容可能并不能使您感同身受或者有所受益，但期望这篇拙劣的文章可以给您带来一丝思考和启发。

有些企业光有管理、技术、运营三个体系是不够的，应该还有一个安全审计体系，实现“权责分离”。安全审计将对安全组织的权利进行制约，同时对安全体系建设的成果进行考核和审计，使安全体系更加有效。

罗马不是一天就能建成的，安全体系建议也不是一下子就能建好的，需要打好基础，循序渐进，一步一步来。