ISO27001 高阶架构 之 信息安全目标规划与实现

---写在前面的话---

        管理体系的八大原则之一是“全员参与”，强调共同完成管理体系目标。这里的信息安全目标由组织定义并不能由信息安全团队所定义，或者说至少不能全部由信息安全团队定义。 ISO/IEC 27001的描述“相关职能”都应当设立信息安全目标并为之投入资源，但大多数现实情况下“相关智能和层次”却好像只包含信息安全团队，信息安全团队不能独立完成目标，沟通协作才是主旋律。但是，当信息安全团队目标与其他团队目标不同向时，如何去规划目标并实现它？标准里没写。

---6.2 信息安全目标和规划实现 标准条款---

        组织应在相关职能和层次上建立信息安全目标。
        信息安全目标应：
        a）与信息安全方针保持一致；
        b）可测量（如可行）；
        c）考虑适用的信息安全要求以及风险评估和风险处置结果；
        d）被传达；
        e）适当时进行更新。
        组织应保留关于信息安全目标的文件记录信息。
        当规划如何实现其信息安全目标时，组织应确定：
        f）要做什么；
        g）需要什么资源；
        b）由谁负责；
        d）什么时候完成；
        e）如何评价结果。

浅谈一下在组织内实现信息安全目标的最大阻碍：资源的错配。

a）领导期望与目标的错配

领导期望很大程度上代表信息安全方针，如果方针是“适度安全”，那么信息安全目标就不能是“安全要做xx行业第一”，华为的方针是“安全第一”、所以就能做到通信领域的安全第一。

b）结果与目标的错配

有些信息安全管理者错把结果当目标，导致无法衡量目标对组织的实际作用。

“信息安全团队漏洞扫描覆盖公司所有的外网资产”这是结果还是目标？是目标的话，只追求广度吗？覆盖之后呢？怎么评价漏洞检出率？只顾扫描的广度不顾漏洞的检出，这个目标对公司实际的外网风险降低有用吗？

为了达到“有效降低公司外网风险”这个目标，需要“信息安全团队漏洞扫描覆盖公司所有的外网资产”以及需要“提升漏洞扫描引擎的POC精度并减少误报、漏报率”这两个预期结果。

谁也不能保证预期结果的完全实现，但实现部分的结果也可以能达成“有效降低公司外网风险”这个目标。

c）需求的错配

任何目标都有原始的驱动力，到底是合规驱动还是风险驱动，两者有不同的使用方法，不要搞反了。

合规的红线需求是刚性的，基本上没人会反对，但最好用风险进行粉饰否则太不近人情。

风险的需求是妥协的艺术，只要需求能响应并且起到作用就好，用合规进行包装会增加成功率。

4、沟通目标的错配

让合适的人得到合适的信息，让做事的人讨论方案，让指挥做事的人知道风险的影响。

不能跟做事的人说风险，不要和指挥做事的人说方案，事倍功半。

5、理想与现实的错配

任何目标，只要资源到位，都能完成；但问题是，信息安全目标的资源永远不足，甚至稀缺。

资源不达预期怎么办？那就先做起来，信息安全目标的实现不可能一蹴而就，充分规划现有的资源，采用阶段性，循序渐进的逼近目标，“事缓则圆”这是 ISO系列管理体系所推崇的PDCA方法论，大环套小环，螺旋上升。信息安全管理者需要从一开始就对人、财、技术、时间有清晰的认识，在执行中不断调整预期结果，不断统筹资源。

当然，资源不达预期可以先做起来，但没有资源不要盲目开始，风险很多、问题也很多，不要去做没有一点希望的事情。

---写在后面的话---

标准要求组织设立信息安全目标并用文件记录，其实很大程度上体现了公司管理层对于信息安全的期待，对于信息安全管理来说就是工作的目标与任务。