公司安全部門成立的較晚（目前就我一個人負責），高層領導也對信息安全沒有什么認識，甚至連安全策略和針對性的法律法規文件都沒有，但是運營側小伙伴卻興致勃勃的搞起了ISO27001體系認證，那么作為大家經常說的“一個人的安全部門”，只能一邊苦笑，一邊配合。

　　前期體系的建設工作分為三步：

　　1、 填寫各種各樣的材料，沒完沒了的編和想象；

　　2、 糊弄評審老師，告訴他們我們公司目前信息安全體系很棒；

　　3、 請老師吃飯；

　　通過近半年的奮戰，公司終于完成了ISO27001的復審，按照評審老師的評價：“貴公司沒有什么大問題，該有的材料都有，信息安全體系建設的不錯”，應該是離拿證不遠了。但是作為信息安全建設管理者，回想起前段時間為了應付檢查，大量撰寫的“公司信息安全體系落地文件”，不經出了一身冷汗，公司的信息安全真是處于“原始社會”；

　　很多時候，我們在應付ISO270001評審的同時，又在對未知的信息安全問題抱有幻想，猜測與恐慌：你無法預料到那天出現安全危機，無論是技術層面上的（病毒大面積感染，公司QQ被集體脫庫，絕密聊天記錄被曝光，網站被DDOS等等），還是管理層面上的（內部員工泄密，間諜盜走財務數據等等）；而誰也不知道我們首先應該做些什么；經過近一年的努力和探索，在這里我分享一下自己在建設公司安全管理體系和落實ISO27001之間采取的平衡策略和妥協，還請大家多多指教；

　　一、自己清楚體系的核心

　　換句話來說，你得明確貫徹落實最關鍵的二八原則，公司的體系建設類似于為一個人定制一套衣服，首先肯定是解決裸奔的問題，而不是舒適度或者是美觀；你得清楚哪些對我們公司運營是當務之急的，哪些又是暫時沒必要，沒有預算，或者實施不了，甚至是實施了以后影響工作效率的；例如說信息安全工作評審，手冊文件上說每一個月都要進行一次評審會議，高層必須參加，但是領導層如果不是專職信息安全的人員，而且又不懂各種各樣的體系，那么與其開這種一個人說話的會議不如改成每一個月的工作匯報，通過群發郵件的方式，讓大家了解進展即可；又比如面對什么信息安全制度體系都沒有的技術部門，你一下子甩幾個三類文件規程，和幾十個日志文件給他們，讓他們實現什么日志評審，第三方工作日志評審，并定期讓他們跟你進行工作匯報，那么我想別人肯定也只能靠編撰了。工作如果僅僅是這樣做，那“建設”就成了空話，沒有意識和規定，單單靠要求是不現實的事情。

　　二、領導層知道你在做什么

　　要進行體系的建立，首先就是指定責任人與領導小組，這些領導小組無非是一些公司的高層，很多做信息安全體系建設的同事對此嗤之以鼻，覺得他們都不懂安全，不應該由他們來組織實施體系的建設工作；

　　但是，不懂安全的領導來擔任信息安全指揮家，不是更能夠讓你“為所欲為”了嗎；你也不能一個人埋頭苦干而忽視了領導層，畢竟領導們處在的位置決定了他們比你更好調動資源。

　　三、根據公司的運營現狀階段實施

　　對一個操作進行評審的前提，是必須要有這個操作，這是毋庸置疑的。進行體系建設也一樣，如果說我們剛剛進行了防火墻日志的統計和收集，大家還不了解日志的內容，甚至說里面充斥著大量的冗余無關日志，那么進行日志的評審就顯得沒有必要了，這時候的當務之急應該是將日志進一步進行分析，精簡，等過了這個階段，日志分析納入了日常工作范疇，評審才能夠提上議程；

　　四、劃分部門指導工作與培訓

　　公司整體性提升信息安全意識要靠定期的培訓與宣傳，但是針對管理體系的培訓更應該因人而異。初到公司我也進行過培訓，讓大家了解到信息安全建設的重要性，ISO27001體系對公司會有哪些好處。但是效果并不明顯，第一是因為大家才初步了解信息安全的概念，這個時候提信息安全體系還為時過早；第二是因為每一個部門對信息安全體系的側重點并不一樣，研發部門可能會關心他們辛辛苦苦寫出的代碼，而財務部門卻關心的是公司的防泄密體系；這個時候，周期性的，針對部門進行培訓，并在其中穿插進體系的內容，大家就好理解。由淺到深尤為重要，比如這個月我針對財務系統給大家講解了脆弱性和威脅，那么大家對風險評估就會有一定的理解，接下來開展相應的資產識別工作就容易了很多。

　　五、和監管部門進行配合

　　信息安全工作請務必讓公司的“內控監察”部門配合，實現有法可依和制度的執行；特別是當初到公司，信息安全管理制度一片空白的情況下，不能每一件事都是“善意的提醒”，例如，我們可以在“內控監察”的配合下，對員工的日常行為進行了規范，（如清屏策略，密碼復雜度要求，內外網分離要求等），納入每一個月的績效考核中，讓每一個人心中都有一個最基礎的信息安全意識。

責任編輯：韓希宇