淺談企業(yè)認(rèn)證ISO27001的誤區(qū)

Date25 1 月 2016

企業(yè)通過ISO27001認(rèn)證予以相應(yīng)的補(bǔ)貼是政府鼓勵(lì)企業(yè)通過企業(yè)獲得國(guó)際認(rèn)證，這是提升國(guó)內(nèi)服務(wù)外包企業(yè)整體形象的有力途徑，也是企業(yè)獲得更多的外包業(yè)務(wù)的有力條件之一。但是ISO27001信息安全管理體系(ISMS)認(rèn)證當(dāng)前在某些企業(yè)成了名副其實(shí)的面子工程。對(duì)于標(biāo)準(zhǔn)認(rèn)證這點(diǎn)，可能是很多從事國(guó)際國(guó)內(nèi)認(rèn)證標(biāo)準(zhǔn)的專業(yè)人士心頭的痛，ISO9001質(zhì)量體系認(rèn)證在國(guó)內(nèi)的情況就是一個(gè)例子。對(duì)國(guó)際標(biāo)準(zhǔn)認(rèn)證認(rèn)識(shí)的誤區(qū)無疑將影響認(rèn)證產(chǎn)業(yè)的健康發(fā)展，同時(shí)也讓企業(yè)對(duì)國(guó)際標(biāo)準(zhǔn)的作用產(chǎn)生的懷疑甚至輕視。造成這種局面，體制、文化等方面因素在此我就不多做分析，這本身比較復(fù)雜，也不是本文的出發(fā)點(diǎn)，我想還是從管理體系標(biāo)準(zhǔn)自身的特點(diǎn)來看，目前當(dāng)前國(guó)際上大部分的管理體系標(biāo)準(zhǔn)都源自于英國(guó)標(biāo)準(zhǔn)，而這些管理體系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法，PDCA模型本質(zhì)是改進(jìn)模型而不是狀態(tài)模型，認(rèn)證公司給企業(yè)頒發(fā)ISO27001認(rèn)證證書的最低標(biāo)準(zhǔn)是該企業(yè)是否已經(jīng)建立了PDCA的改進(jìn)體制以及相配套的制度和流程，而不是這家企業(yè)的信息安全防范水平已經(jīng)達(dá)到了某個(gè)等級(jí)。這不同于給學(xué)生授予優(yōu)秀學(xué)生稱號(hào)是以該學(xué)生德智體達(dá)到某個(gè)要求，而不是該學(xué)生相比自己的過去有進(jìn)步就行了。
　　PDCA循環(huán)又名戴明環(huán)，威廉.愛德華.戴明上個(gè)世紀(jì)五十年代提出的，主要為解決問題的過程提供一個(gè)簡(jiǎn)便易行的方法。1950年，戴明到日本擔(dān)任產(chǎn)業(yè)界的講師及顧問，其間大力推廣企業(yè)在持續(xù)改善的過程中運(yùn)用PDCA循環(huán)，這個(gè)方法重塑了日本產(chǎn)業(yè)制度，塑造了風(fēng)靡世界的日本企業(yè)管理模式。
　　對(duì)于認(rèn)證的這個(gè)誤區(qū)，我們把眼光投到我們的鄰國(guó)日本就明白我們真的錯(cuò)了。PDCA方法在日本的成功，我們完全有理由相信，PDCA是企業(yè)服務(wù)質(zhì)量持續(xù)改善的良好方法。
　　3. 對(duì)“信息安全”管理體系認(rèn)識(shí)不足
　　信息安全管理體系(ISMS)遵循流程的方法，這與其他管理體系，比如在國(guó)內(nèi)廣泛實(shí)施的質(zhì)量管理體系是一致的，都是按照PDCA的大的流程來運(yùn)轉(zhuǎn)和維護(hù)管理體系。而對(duì)于外包公司來說，由于企業(yè)沒有復(fù)雜的IT應(yīng)用系統(tǒng)和龐大的復(fù)雜網(wǎng)絡(luò)設(shè)施，另外一個(gè)也是從成本考慮到角度，一般情況下企業(yè)的IT人員的配備不足，技術(shù)力量有限。特別是對(duì)于軟件外包公司來說，為了軟件開發(fā)的需要，在建立信息安全管理體系(ISMS)之前很多軟件企業(yè)通過CMMI的認(rèn)證來提升企業(yè)軟件開發(fā)的能力，以獲得發(fā)包企業(yè)對(duì)其開發(fā)能力的認(rèn)可，因此，這些公司都由質(zhì)量管理部按照CMMI的要求監(jiān)控和審核軟件開發(fā)質(zhì)量，人力資源相對(duì)比較充足，因此，企業(yè)從整合管理體系節(jié)約成本的角度出發(fā)，信息安全管理體系(ISMS)也是由質(zhì)量管理部推動(dòng)、管理與維護(hù)。這本來也無可厚非，每個(gè)企業(yè)都有自身的管理水平，人員技能等或這或那的問題，外包企業(yè)也是如此。殊不知，信息安全管理體系(ISMS)其管理的對(duì)象是企業(yè)的信息安全風(fēng)險(xiǎn)，而信息安全風(fēng)險(xiǎn)有其專業(yè)特性，應(yīng)該由企業(yè)內(nèi)部IT條線的專業(yè)人員負(fù)責(zé)識(shí)別、評(píng)價(jià)和采取對(duì)應(yīng)的控制措施。質(zhì)量管理部盡管在體系維護(hù)方面經(jīng)驗(yàn)比較多，但是缺乏的就是對(duì)信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備的技術(shù)特性的了解。（安信達(dá)咨詢znojukyf.cn）
　　正確對(duì)待這個(gè)問題的辦法應(yīng)該是在綜合考慮外包公司現(xiàn)有情況下，質(zhì)量管理部履行信息安全管理體系(ISMS)的管理工作，制定和頒布信息安全策略，而IT 部門執(zhí)行信息安全策略，IT部門識(shí)別和評(píng)價(jià)信息安全風(fēng)險(xiǎn)，并提出對(duì)應(yīng)控制措施以及解決方案，質(zhì)量管理負(fù)責(zé)審核方案。
　　大力發(fā)展服務(wù)外包產(chǎn)業(yè)，加速我國(guó)產(chǎn)品結(jié)構(gòu)升級(jí)，完成從“世界工廠”到“世界服務(wù)”的華麗轉(zhuǎn)變，這是我國(guó)產(chǎn)業(yè)發(fā)展的大局，而對(duì)于國(guó)內(nèi)的服務(wù)外包公司來說，如何更好適應(yīng)這個(gè)大勢(shì)，使企業(yè)具有更強(qiáng)競(jìng)爭(zhēng)力，必要途徑之一是在信息安全管理方面，服務(wù)外包企業(yè)要切實(shí)正確認(rèn)識(shí)信息安全，切實(shí)提升企業(yè)的信息安全管理水平。