浅谈企业认证ISO27001的误区

企业通过ISO27001认证予以相应的补贴是政府鼓励企业通过企业获得国际认证,这是提升国内服务外包企业整体形象的有力途径,也是企业获得更多的外包业务的有力条件之一。但是ISO27001信息安全管理体系(ISMS)认证当前在某些企业成了名副其实的面子工程。对于标准认证这点,可能是很多从事国际国内认证标准的专业人士心头的痛,ISO9001质量体系认证在国内的情况就是一个例子。对国际标准认证认识的误区无疑将影响认证产业的健康发展,同时也让企业对国际标准的作用产生的怀疑甚至轻视。造成这种局面,体制、文化等方面因素在此我就不多做分析,这本身比较复杂,也不是本文的出发点,我想还是从管理体系标准自身的特点来看,目前当前国际上大部分的管理体系标准都源自于英国标准,而这些管理体系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法,PDCA模型本质是改进模型而不是状态模型,认证公司给企业颁发ISO27001认证证书的最低标准是该企业是否已经建立了PDCA的改进体制以及相配套的制度和流程,而不是这家企业的信息安全防范水平已经达到了某个等级。这不同于给学生授予优秀学生称号是以该学生德智体达到某个要求,而不是该学生相比自己的过去有进步就行了。
  PDCA循环又名戴明环,威廉.爱德华.戴明上个世纪五十年代提出的,主要为解决问题的过程提供一个简便易行的方法。1950年,戴明到日本担任产业界的讲师及顾问,其间大力推广企业在持续改善的过程中运用PDCA循环,这个方法重塑了日本产业制度,塑造了风靡世界的日本企业管理模式。
  对于认证的这个误区,我们把眼光投到我们的邻国日本就明白我们真的错了。PDCA方法在日本的成功,我们完全有理由相信,PDCA是企业服务质量持续改善的良好方法。
  3. 对“信息安全”管理体系认识不足
  信息安全管理体系(ISMS)遵循流程的方法,这与其他管理体系,比如在国内广泛实施的质量管理体系是一致的,都是按照PDCA的大的流程来运转和维护管理体系。而对于外包公司来说,由于企业没有复杂的IT应用系统和庞大的复杂网络设施,另外一个也是从成本考虑到角度,一般情况下企业的IT人员的配备不足,技术力量有限。特别是对于软件外包公司来说,为了软件开发的需要,在建立信息安全管理体系(ISMS)之前很多软件企业通过CMMI的认证来提升企业软件开发的能力,以获得发包企业对其开发能力的认可,因此,这些公司都由质量管理部按照CMMI的要求监控和审核软件开发质量,人力资源相对比较充足,因此,企业从整合管理体系节约成本的角度出发,信息安全管理体系(ISMS)也是由质量管理部推动、管理与维护。这本来也无可厚非,每个企业都有自身的管理水平,人员技能等或这或那的问题,外包企业也是如此。殊不知,信息安全管理体系(ISMS)其管理的对象是企业的信息安全风险,而信息安全风险有其专业特性,应该由企业内部IT条线的专业人员负责识别、评价和采取对应的控制措施。质量管理部尽管在体系维护方面经验比较多,但是缺乏的就是对信息系统,网络设备的技术特性的了解。(安信达咨询www.isocsr.com)
  正确对待这个问题的办法应该是在综合考虑外包公司现有情况下,质量管理部履行信息安全管理体系(ISMS)的管理工作,制定和颁布信息安全策略,而IT 部门执行信息安全策略,IT部门识别和评价信息安全风险,并提出对应控制措施以及解决方案,质量管理负责审核方案。
  大力发展服务外包产业,加速我国产品结构升级,完成从“世界工厂”到“世界服务”的华丽转变,这是我国产业发展的大局,而对于国内的服务外包公司来说,如何更好适应这个大势,使企业具有更强竞争力,必要途径之一是在信息安全管理方面,服务外包企业要切实正确认识信息安全,切实提升企业的信息安全管理水平。