當前，銀行業所面臨的內外部環境加速變化，呈現出日益復雜化和多樣化的特點。為應對激烈的市場競爭現狀，推行國際和國內標準化管理體系的應用、認證，對內部管理持續改革與創新，在規范管理、防范風險、提升競爭力方面有著重要作用。信息安全管理體系中的安全控制與業務流程的融合更是一個有益的探索。

“管理體系”已成為一類標準，例如，質量管理體系(ISO 9001)、IT服務管理體系(ISO/IEC 20000-1)和環境質量管理體系(ISO 14001)等，但是相互之間都在強調體系整合，并沒有相互包含的關系。

本文主要就信息安全控制與業務流程的結合，提供了三種途徑：校準、整合以及嵌入。

1.校準

校準是指信息安全控制也以流程的形式呈現，且無法通過其他途徑精簡，需要與最相關的業務流程進行校準，以確保該流程盡量少影響或不會影響業務流程的運轉。此外，新產生的信息安全流程也列入該類，因為之所以產生，意味著不可被精簡。

圖1 流程校準

2.整合

整合也是指信息安全控制以流程的形式呈現，這個流程與已有的業務流程各有重點，但是存在程序上或邏輯上的共同之處，可以考慮將兩者或更多整合成一個流程，從而減少了流程的總體數量，同時降低了執行者的負擔。

圖2 流程整合

3.嵌入

實際上，更多的信息安全控制是以控制點的形式呈現，并不能作為單獨的流程。嵌入主要針對信息安全控制點，是將這些控制點嵌入到現有的業務流程上。

圖3 流程嵌入

無論是流程的校準、整合還是嵌入，最主要的目的之一是要降低對主營業務流程的干擾，以更節約的方式促進信息安全控制的落地。這與是否重視信息安全并不矛盾。孤立地看待信息安全，很容易陷入到“為了安全而安全”的誤區，更嚴重的是可能導致“盡職免責”的模式，由于專業技術人員和其他部門之間存在信息不對稱問題，基于各種考慮，可能會導致最后發布的信息安全制度充滿陷阱。

本文節選自《ISO/IEC 27701:2019隱私信息管理體系(PIMS)標準解讀》。

中國金融認證中心(CFCA)在信息安全領域具有豐富的實戰經驗，服務涵蓋個人信息安全評估、數據安全治理、移動APP安全檢測、滲透測試、代碼審計、電子銀行評估、電子招投標系統檢測、芯片及嵌入式軟件檢測等，愿助力企業安全合規發展。

責任編輯：韓希宇