企业信息安全管理建设（1）

昨天刮了一夜的大风，今天天气格外晴朗，但风没见小，降温了，明显比上周凉了不少。早上我想开车去公司上班，但十一假期去了外地，车停在了树下，假期回来车上全是落叶，我人又懒，周末是向来能不出门就不出门的，车脏了就更不想出门了，越不想出门车就越脏了……
北方城市秋天来得快走得更快，空气突然变得干燥，然后就容易产生静电，而我最害怕静电。手指摸到金属物的时候“啪”的一声响，说疼不疼的感觉，太烦人！每到这个时候我脱外套总会用手指头掐着脱，跟林黛玉一样。

什么是信息安全管理

信息安全管理可以理解为为了保障企业信息系统能够正常、安全的支撑业务运行而做的一些必要的安全管理措施。

信息安全管理主要从两方面入手，一个是技术方面，一个是管理方面。

技术方面主要是通过各种技术和设备来控制用户的行为，管理方面主要是通过管理制度来规范用户的行为。技术手段和管理手段两者相辅相成，缺一不可。

我看有很多安全设备厂商，我买他们设备不久行了么？

有很多公司觉得信息安全就是上设备，上策略，只要设备和策略到位，就能做到信息保护了。

这种想法绝对大错特错！

首先，安全措施一定是以牺牲一定程度的便捷性为代价的，比如很多公司的办公电脑都是直接管理员账号登陆的，有的甚至直接使用本地默认管理员账号登录，想安装什么就安装什么，运行任何软件也都没有问题，十分方便。但这样安全吗？

我们知道在“别有用心的人”渗透到企业的信息系统中后要做的第一件事情就是提权（把权限提升），管理员账号和权限在这些人眼中就像饥饿的老虎看到了羔羊，还是撒了孜然和辣子面烤得外焦里嫩滋滋冒油的那种，所以在几乎所有的安全最佳实践中都会把禁用管理员账号作为一个必选项。

禁用掉管理员账号势必会带来一些不便利，比如有些测试工具运行时会警告权限不足，有些软件安装不了了，等等。这势必导致有的员工“走捷径”和“搞特殊”，为了工作上的“便利性”而不遵守公司策略，导致出现防护缺口。

其次，员工的有些个人行为很难去控制，比如公司不允许私搭无线网络，但智能手机加无限流量使得用手机当作热点上网已经司空见惯，你在公司路由器上加再多的策略防止员工访问危险网站，员工通过手机热点直接bypass了。

当然有本地防火墙来防止这类事情，这个就是纵深防御的话题了，我们以后一定会聊到。

所以，在信息安全的各个链条上，人员安全永远都是最薄弱的，我们可以有各种各样的技术手段来保护我们的资产，但没有任何技术可以保证人员不违反安全规定，再强大的防范措施也无法抵抗内鬼的攻击。

网上有很多信息安全管理制度的模板，我下载下来用就可以了啊

有的同学说：网上有很多信息安全管理制度的模板，我下载下来删删改改，然后发到员工手中让他们遵守不就行了吗？

这样的想法也是错的。

首先，网上确实有很多优秀的管理制度模板，而且大多都是大厂的，这些模板都是经过反复迭代了几代之后才形成的，它们都高度耦合这个公司的业务需求，直接拿来套用不但不会提升公司的安全水平，很有可能会阻碍业务的发展，甚至导致员工的反弹情绪，又由于套用的制度缺少实际的调研，颁布制度的管理层面对业务部门的反弹很有可能朝令夕改，这样导致信息安全的意识在员工眼中变成儿戏。

安全行业有一个说法叫“三分靠技术；七分靠管理”。信息安全管理看似简单，不就是做规章制度嘛，但实际操作起来就会发现，一个落地效果好的规章制度实施起来有多困难！博主在一个欧美企业工作，这家企业每年在安全方面的花费达到数百万的级别，但依然可以看到员工共享账号、私搭网络、权限滥用的现象发生

信息安全管理该怎么做呢？

首先大声喊出来：业务为王！业务为王！业务为王！

一个公司的安全部门一定是成本部门，无论自己做安全的甲方还是提供安全服务的乙方，业务永远都是第一位的，安全制度和技术不能也不应该阻碍业务的发展。

安全应当作为业务的一个属性，为业务保驾护航，让公司的客户更加信赖公司提供的服务，让公司的业务在市场上更加具有竞争力，更加可靠。

做到上面这些，需要业务部门和安全部门的共同努力，缺一不可。业务部门要主动要求安全部门提供安全意见，安全部门要主动要求业务部门提供业务需求，两边一起努力，沟通，做出契合业务实际需求的安全方案。

道理我都懂，那我第一步要做什么？

安全管理一定要自上而下

自上而下的意思是实施信息安全管理制度这件事，要由公司高层领导提出，不能是某个副手，甚至某个IT部门经理来主导这件事情。原因我们前面大致说过了，安全措施一定是以牺牲一定程度的便捷性为代价的。没有一个强有力的背书，安全工作很难做下去。

所以第一步是得到公司高层的支持，那也就是说要公司高层认识到安全的重要性。根据博主的经验，这个高层最低也要是CIO的级别，最好是CEO的级别。有了这个级别的管理者背书，员工才会更加重视这件事，工作展开也会更加容易。

公司C字头的管理层不可能去身体力行的推动安全工作，但他们要有一个声明，并在声明上签字，有了这个声明，安全工作算是有了保证——公司的拥有者想让公司成为这样的公司，我话讲完，谁赞成？谁反对？

如何写企业白皮书

前面说的声明可以是企业白皮书，这个白皮书就是企业形象和责任的声明，同时企业白皮书也是一个企业管理制度中最顶层的文档。

主要有三大部分内容：企业对员工，企业对合作伙伴，企业对社会

企业对员工：企业要对员工负责，保证员工的安全，等等

企业对合作伙伴：企业要保证合作伙伴的安全和公平，企业对合作伙伴是可信任的，等等

企业对社会：企业对社会要创造贡献，创造价值，不会对社会产生不利影响，等等

按照上面这三个方向写好企业白皮书，新的问题就来了，企业如何做到白皮书上面的事情呢？

这就由企业白皮书生成了许多下层文档，比如对员工负责，就有了员工手册，保密协议等等；对合作伙伴负责，就有了合作伙伴筛选流程，合作伙伴的责任和义务等等；对社会负责，就有了遵守当地法律法规，反垄断，公平竞争，如果有海外业务，要尊重当地文化等等。

其中为了保证员工，合作伙伴，社会不被公司的信息系统遭到滥用而受到伤害，要实施信息安全管理制度。

这样，在公司信息系统这一块，信息安全管理制度就是一个顶层文档了

上面说到的这些文档要互相关联，互相支撑，不能独立存在