承担客户托付的责任,推动企业健康地发展

—— 用友软件工程公司的ISMS实施之路

成立四年来,通过众多信息技术服务实践,用友软件工程有限公司深刻体会到保护客户信息安全,建立完备的信息安全管理体系(ISMS)的必要性,并将信息安全管理作为公司的重点管理体系建设。于是,在众多优秀的信息安全认证和咨询服务机构中,公司选中了世界上第一个国家标准化机构—英国标准学会(British Standards Institution; BSI),帮助公司建设ISMS。同时认识到,良好的信息安全管理和机制成为公司为客户提供优质服务的重要保障。在BSI的帮助和指导下,公司建立了信息安全管理方针——“承担客户托付的责任,推动企业健康地发展”。

1 信息安全管理体系的重要性和必要性

随着中国在国际信息技术外包服务市场的崛起,国外客户对信息安全尤为关注,客户对于服务商在服务过程中保护知识产权,防止敏感信息泄密方面的安全性和信誉度普遍存在不同程度的担忧。这不仅仅是领先的专业技术和市场知名度所能解决的技术问题,而是我们在服务中如何尊重客户的信息,保护客户信息的安全的管理意识。

用友软件工程有限公司作为中国软件出口企业,已经认识到信息安全对公司生存与发展构成的风险,建立信息安全管理体系已成为公司必须解决的问题,信息、软件、硬件、人员、服务及企业形象都是重要信息资产类型。建立、实施和改进信息安全对于保持竞争优势、保证业务连续性、法律符合性及企业形象都是至关重要的。

在全球信息技术外包服务市场需求的基础上,从提升企业自身信息安全管理水平的需求出发,基于国际上的行业通用标准ISO27001,用友软件工程公司在BSI的指导和建议下,开始建立独特的信息安全管理体系(Information Security Management System-ISMS),并作为公司整个管理体系的一部分加以实施。

2 ISMS实施的过程

用友软件工程公司与BSI共同针对公司信息安全管理的现状和特点,研究采用了“计划-实施-检查-改进”(PDCA)模型来构架公司全部的ISMS流程,从建立、实施、运作、监控、评审、维护到改进,来保障公司关键信息资产的机密性、完整性和可用性。下面简要介绍公司的ISMS建立的策略、范围、目标、组织机构、和实施过程。

2.1 信息安全管理体系的策略、范围与目标

公司在BSI的指导下成立了ISMS小组,把建立ISMS作为一个项目来进行管理。公司将ISMS项目WBS分解成可控阶段;考虑对公司的关键业务、关键信息资产进行分析与控制,建立了ISMS整体框架,逐步将用友软件的所有业务流程、信息资产纳入到信息安全管理体系中。

首先,ISMS小组与公司总裁会及每位中高层经理访谈沟通,确定ISMS覆盖范围,用友软件工程有限公司总部在北京,ISMS首先在北京办公地点所有部门开始实施,获得审核通过后向分支机构推广实施。ISMS覆盖范围包括:全部受知识产权保护的信息,所有雇员的相关个人信息,全部相关客户资料信息,全部关于供应商及合作伙伴的资料信息,全部合同信息,全部相关信息系统的物理实体,用友软件工程有限公司所属的全部人员、IT系统、专有技术、设备、文档、公司规章制度及其它信息和信息载体。

随后,ISMS小组获得总裁批准制定了信息安全方针“承担客户托付的责任,推动企业健康地发展”,提出了信息安全要求。

  1. 贯彻落实信息安全方针,确保业务的连续性;
  2. 保护公司进行商务活动中获得的客户及公司专有技术等信息;
  3. 确保公司业务运作流程各个环节中所有信息的机密性、完整性、可用性;
  4. 使公司所有员工都接受信息安全的培训,提高全员的信息安全意识;
  5. 定期进行内部审核与管理评审,确保体系有效运行;
  6. 相关信息安全措施应符合法律和法规要求;
  7. 并从业务系统可用性,各部门信息安全事故,客户投诉等方面制定了公司整体信息安全目标。

2.2 公司信息安全管理体系组织结构

同时,公司建立了完备的信息安全管理体系,其组织结构如下图所示:

ISMS

2.3 ISMS项目阶段介绍

ISMS项目的实施划分为六个大的阶段,包括:前期准备阶段、风险评估阶段、建立ISMS阶段、运行ISMS阶段、内部审核及管理评审阶段、认证审核前的预审及改进阶段。如下图所示:

ISMS

3 业务的连续管理

ISMS小组通过与各部门的沟通,总结出本公司影响关键业务的灾难与安全失效的情况主要有:病毒大规模暴发,网络中断,关键服务器中断等,针对不可接受中断的灾难,制定了业务连续性计划、模拟和定期演练,极大提高了企业对突发事件和外部威胁的风险防范能力。

3.1 业务连续性管理策略

在有计划及受控制的情况下,执行可预见的减少业务停顿、失败或灾难影响的措施,尽可能消除业务活动所出现的中断,保护关键业务过程免受重大故障或灾难的影响,避免和减少可以导致公司关键业务中断事件的发生,减少意外事故所造成的影响,缩短业务中断的恢复时间,保证公司关键业务活动的连续性。

3.2 业务连续性管理的主要过程

  1. 确定公司业务中哪些是关键的业务进程,分出紧急先后次序;
  2. 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间。
  3. 通过日常工作了解哪些停顿可能影响业务,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(BCP)/灾难恢复计划(DRP)。
  4. 定期测试及更新业务连续性计划(BCP)/灾难恢复计划(DRP),并对员工进行培训。
  5. 定期对公司的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。

 
4 经验总结

ISMS项目在实施前期公司进行了系统化的分析和风险识别,通过缓解、监控和管理等各种途径降低风险,这也是保证体系建立项目成功的前提。

ISMS帮助公司识别、管理和减少信息所面临的各种风险,并在实施ISMS的过程中获得了成功的经验:

  1. 最高领导层对信息安全管理体系的承诺与支持,通过培训以及高层强有力支持,改变员工对建立信息安全管理体系的疑惑和抵制;
  2. 体系与整个公司文化保持一致性,与业务营运目标保持一致性,所建立的信息安全管理体系要符合公司运作的实际情况,使得体系真正为公司服务,尽量在建立信息安全管理体系定义中发挥有限资源的作用;
  3. 识别关键信息资产、明确信息安全的要求,明晰风险评估系统方法;
  4. 选择合格的信息安全小组组长,高层对其工作予以充分支持,明确各部门各岗位信息安全职责,建立系统化、程序化、文件化的管理体系;
  5. 有效的宣传、培训,提升信息安全意识;
  6. 均衡的测量监控体系,持续监控各种变化,从监控结果中寻求持续改进的机会。

用友软件工程公司通过全面实施ISMS,从公司高层到普通员工,大大增强了信息安全管理意识,“承担客户托付的责任,推动企业健康地发展”的信息安全方针落入人心。信息安全管理已成为每个员工日常工作中的自觉行为。

通过ISO27001体系建设和实施,用友软件工程建立了完备的信息安全管理体系,为公司各项安全相关活动提供了明确的目标和操作指引;通过系统的方法建立起组织保障体系,具备了信息安全风险驾驭能力,保证公司核心业务的可持续运行;通过把ISO27001 的要求引入业务流程,使现有的业务运作更加安全规范,全面提升了公司本身和客户信息资产的安全度,尤其是加强了对客户知识产权和商业秘密的保护,提高了对客户信息安全的保障水平,更重要的是体现了用友软件工程公司对客户信息的一贯尊重态度。ISMS使得公司在项目管理、过程控制软件方面保持与世界先进水平同步。ISMS实施成功的经验表明用友软件工程公司对安全风险的管理能力获得国际权威机构认可,进一步树立了在信息安全服务领域的专业形象,具备了软件与信息技术服务企业信息安全管理建设的国际一流水准。