【51CTO.com 归纳音讯】许多企业都现已树立了信息安全办理系统，来满意事务需求或上层办理部分的要求，其间不乏成功事例，但咱们都会面对一个一起的问题，那便是怎么将信息安全办理系统（ISMS）继续的运转下去，不断的PDCA到达继续改善的意图，正如咱们以往经历所说的那样：信息安全不是一场运动，而是一个锲而不舍的活动，是确保事务安全运转的办理作业，信息安全应体现在日常作业的每一个细节傍边。

ISO27001是国际上通用的信息安全办理系统标准，咱们以这个标准要求为例，来简略解释一下树立信息安全办理系统以及往后还需求做的作业：首要要取得办理层的支撑并确认树立信息安全办理系统的规模，企业还需求做好各种预备和策划作业，包含教育训练、拟定方案、现状调研，以及人力和资源方面的分配；

然后在这个规模内搜集信息财物以辅佐危险点评，辨认出危险后挑选适用的危险处理办法并进行处理，从全体和大局的视角，从信息系统的一切层面进行全体安全建造，并将其文档化，坚持文件化的信息安全办理系统，作为安排施行危险操控、点评和改善信息安全办理系统、完结继续改善必不可少的依据。

信息安全办理系统文件编制完结往后，安排应按照文件的操控要求进行审阅与同意并发布施行，在得到领导层对剩余危险的同意和对施行运转ISMS的授权，并预备适用性声明（SoA），在系统运转一段时间后进行内审、有效性丈量和办理评定，并拟定纠正防备办法，尔后需求对财物进行不断的更新，并不断地进行危险点评、处理……以及这往后的各种作业。

传统咱们都是靠办理系统自身来支撑这一系列作业的，ISMS建造的施行人员，除了要具有必要的常识技能和办理认识外，还要面对很多具体、繁琐和单调的作业，例如对信息财物的搜集和保护进程，以及对其进行危险点评时的很多案牍作业等等。如果能辅佐以信息办理系统对危险点评进程进行办理，将是一种趋势，现代企业办理中ERP现已得到广泛认可和运用，出产制作、质量监控、财务办理、商务办理、人力资源办理、客户关系办理、电子商务等，现已可以整合在一套依据网络的、开发渠道一致的、灵敏装备事务流程的信息系统傍边，而信息安全办理系统建造与保护，相同也可以经过相似的办法进行办理。

目前谷安全国研制的IT危险办理系统（ITRM）正是可以满意系统保护需求的一款软件：将树立和保护ISMS的进程固化在软件中，内置多职业多原则常识库，对ISMS规模轻松办理，例如原则规模、安排架构、财物清单、流程界说、事务界说等，支撑安全查看和距离剖析，全面支撑危险点评、系统建造、内审、有效性丈量、办理评定等一系列作业，确保这一系列作业的继续运转和不断改善，并产生丰厚的报表和陈述。

下面就简略谈谈保护信息安全办理系统进程中几项要害的作业与ITRM系统的结合之道：

一、辨认事务的改变

国际环境瞬息万变，因而一个安排的事务跟着商场、政治、科技等方面的开展而改变是十分正常且必定的。但是咱们在树立信息安全办理系统时所划定的办理规模是必定的，后续在系统运维进程中首要应该重视的便是事务的改变，然后才是后续其他细节的作业。在一个安排内保护信息安全的意图便是确保事务的安全运转，因而从***含义上说事务是咱们保护的政策。而事务的改变对信息安全办理系统的影响是巨大的，或许会导致安全指导政策层面的根本性改变，所以笔者把事务放在***位。

ITRM系统将事务作为一个操控政策进行辨认和保护，正是为了满意信息安全系统保护的基本要求：

图1

#p#

二、辨认安排架构的改变

安排外部环境会产生改变，相应的安排内部相同或许依据事务的改变而产生改变，尤其是决策层的改变，或许会影响到对办理系统的支撑力度等方面。

安排架构是ITRM系统在进行危险点评时的根底，系统支撑对安排架构的灵敏调整，并且对后续危险点评等一系列作业都将产生严重影响。在ITRM系统中安排架构是项目规模的要素之一。

图2

#p#

三、辨认财物、技能、场所、新要挟等方面的外在改变

这些是做财物危险点评的根底，也是标准中所要求的。财物清单需求确保必定的实时性和精确性，这或许需求必定的作业量，一般咱们都是运用文档（Excel格局）对财物清单进行办理，一开始搜集财物时，这种办法是十分便利的，但在日后更新时会显得比较费事。

ITRM系统在对财物进行保护时，支撑大批量导入和分权限办理，用户可以将搜集到的财物一次性的导入到系统中，尔后在系统中进行保护，无论是增加、修正、删去，系统都可以保护着一份精确安稳的当时版别的财物清单，一起用户还可以查看前史财物的内容；而分权限办理财物，可以将财物办理下放到部分，由部分办理员对本部分的财物进行保护，本部分只能对自己部分的财物及危险进行保护，对其他部分的财物和危险则无权查看。这大大简化了安排级安全办理员的作业，并可以将危险办理的思维落实到每个部分傍边，一起简化了财物改变的上报流程，部分办理员将改变的财物及时的更新到系统中，安排级办理员随时可以进行查看和更正，因而安排的危险状况可以随时坚持***，使安排可以敏捷精确的对危险进行响应和处理。

图3

#p#

四、危险点评和处理

在树立完信息安全办理系统往后，要依据安排规则定时从头进行危险点评和处理，当然此项作业的根底是前面说到的几项作业都现已完结，而危险点评的办法在这往后往往不会产生太大的改变，安全专员在做过一次危险点评后就能把握危险点评的办法，这往后大多是保护危险清单的作业。对危险的处理或许会跟着环境的改变以及技能的开展不断更新，所以安全专员还需求不断学习来进步自己的事务才能。

ITRM系统中心功用之一便是危险点评模块，系统中固化了危险点评办法论和具体作业流程，一起还针对不同职业，把谷安全国多年来堆集的咨询经历汇总成危险引荐放在常识库中，用户可以挑选自己职业的常识库，在录入完财物后就可以看到针对本职业最简单呈现的危险，用户站在伟人的膀子上再进行危险点评将会有更好的精确性和功率。

图4

图5

#p#

五、内审及其他安全查看

齐备的查看机制是确保系统正常高效运转的手法，一般安排会依据自身状况拟定办理规则，标准查看机制和内审机制。在系统运维进程中，查看是十分重要的一项作业，要在确保事务正常运转的条件下，高效、全面、客观地查看安排内部在履行进程中的真实状况，以便拟定纠正和防备办法，并对办理系统进行必要的改善。别的内审和安全查看的进程自身也是十分值得讨论的，怎么精确的找到问题点，怎么对不契合项进行盯梢改善，改善作用怎么等等，不光需求很多的文档作业，也需求不断跟进科技时代的脚步，了解当时***的技能。

ITRM系统内置了内审流程和安全查看功用，可以为内部审阅与安全查看作业供给辅佐与记载。

图1

#p#

六、有效性丈量

每逢说到ISMS的有效性丈量时，咱们都会感觉有些茫然或无能为力，但有句话叫做“你不能改善你不能丈量的东西”，这充沛说明了有效性丈量的重要性，由于有效性丈量可以对信息安全办理政策进行查核，是ISMS继续改善的重要依据，也是对信息安全办理作业的绩效查核，一起满意契合性的要求。并且有效性丈量系统需求融入到ISMS系统的PDCA进程中，首要有效性丈量的政策要与ISMS的Plan阶段拟定的政策符合，并搜集丰厚的材料信息；在ISMS的Do运作阶段要针对有效性丈量系统进行具体规划，对有效性丈量的需求进行剖析，分化丈量政策，拟定丈量政策搜集方案，搜集政策并进行记载；在ISMS的check阶段，依据有效性丈量的成果对ISMS进行点评，别的也需求对有效性丈量系统自身进行点评；在ISMS的Act改善阶段，对ISMS及丈量政策系统别离进行改善，使之更好地为ISMS服务。 ITRM系统支撑对ISMS系统的有效性丈量作业，将有效性丈量的政策、年度方案、丈量政策、丈量方案、丈量成果等进程固化在系统中，并在常识库中预设了常见的有效性丈量政策。

七、办理评定

定时对ISMS进行办理评定，以确保ISMS规模坚持充沛，ISMS进程的改善得到辨认。

ITRM系统内置了办理评定的作业流程，可以对办理评定作业供给辅佐与记载。

八、纠正防备，继续改善

纠正办法是要消除与ISMS要求不契合的原因，并避免再次产生；防备办法是确认办法消除潜在的不契合的原因，避免其产生。而继续改善则是经过运用信息安全政策、安全政策、审阅成果、监督事情的剖析、纠正和防备办法以及办理评定等办法，继续改善ISMS的有效性。

ITRM系统内置了纠正防备办法的作业流程，可以对纠正防备作业供给辅佐与记载，这也是确保系统继续改善的办法之一。

以上这八项活动仅仅保护信息安全办理系统中比较重要的几项有必要要做的作业，并且是不断循环往复的，如果能得到谷安全国ITRM系统的支撑，将会极大的减轻作业量，进步作业功率和精确性。当然这是这仅仅对系统进行保护的手法之一，往后咱们还将讨论更多的系统保护经历和手法，来确保信息的真实安全。