承担客户托付的责任 推动企业健康地发展《质量经营》

 The newsletter of BSI China 服务外包专刊    2007年8月 第6辑

——记用友软件工程公司ISMS实施之路

（缩略版）用友软件工程有限公司（UFIDA Software Engineering Co., Ltd.）成立于2003年7月，是用友集团主要成员企业，是全球化软件与信息技术服务供应商。致力于为全球客户提供专业的IT应用规划咨询、软件系统开发及相关IT运营与支持服务。通过向全球客户及时交付高质量的个性化软件产品和IT服务，最大限度地协助我们的客户创造价值，不断成长与发展。

成立四年来，通过众多信息技术服务实践，用友软件工程有限公司深刻体会到保护客户信息安全，建立完备的信息安全管理体系（ISMS）的必要性，并将信息安全管理作为公司的重点管理体系建设。于是，在众多优秀的信息安全认证和咨询服务机构中，公司选中了世界上第一个国家标准化机构——英国标准学会(British Standards Institution; BSI)，帮助公司建设ISMS。同时认识到，良好的信息安全管理和机制成为公司为客户提供优质服务的重要保障。在BSI的帮助和指导下，公司建立了信息安全管理方针——“承担客户托付的责任，推动企业健康地发展”。

1 信息安全管理体系的重要性和必要性

随着中国在国际信息技术外包服务市场的崛起，国外客户对信息安全尤为关注，客户对于服务商在服务过程中保护知识产权，防止敏感信息泄密方面的安全性和信誉度普遍存在不同程度的担忧。这不仅仅是领先的专业技术和市场知名度所能解决的技术问题，而是我们在服务中如何尊重客户的信息，保护客户信息的安全的管理意识。只有充分尊重客户，保护客户的信息安全，才能赢得全球客户的信赖，从而赢得国际服务市场。

用友软件工程有限公司作为中国软件出口企业，已经认识到信息安全对公司生存与发展构成的风险，建立信息安全管理体系已成为公司必须解决的问题，信息、软件、硬件、人员、服务及企业形象都是重要信息资产类型。建立、实施和改进信息安全对于保持竞争优势、保证业务连续性、法律符合性及企业形象都是至关重要的。

在全球信息技术外包服务市场需求的基础上，从提升企业自身信息安全管理水平的需求出发，基于国际上的行业通用标准ISO27001，用友软件工程公司在BSI的指导和建议下，开始建立独特的信息安全管理体系（Information Security Management System-ISMS），并作为公司整个管理体系的一部分加以实施。

2 ISMS实施的过程

用友软件工程公司与BSI共同针对公司信息安全管理的现状和特点，研究采用了“计划-实施-检查-改进”（PDCA）模型来构架公司全部的ISMS流程，从建立、实施、运作、监控、评审、维护到改进，来保障公司关键信息资产的机密性、完整性和可用性。下面简要介绍公司的ISMS建立的策略、范围、目标、组织机构、和实施过程。

2.1 信息安全管理体系的策略、范围与目标

公司在BSI的指导下成立了ISMS小组，把建立ISMS作为一个项目来进行管理。公司将ISMS项目WBS分解成可控阶段；考虑对公司的关键业务、关键信息资产进行分析与控制，建立了ISMS整体框架，逐步将用友软件的所有业务流程、信息资产纳入到信息安全管理体系中。

首先，ISMS小组与公司总裁会及每位中高层经理访谈沟通，确定ISMS覆盖范围，用友软件工程有限公司总部在北京，ISMS首先在北京办公地点所有部门开始实施，获得审核通过后向分支机构推广实施。ISMS覆盖范围包括：全部受知识产权保护的信息，所有雇员的相关个人信息，全部相关客户资料信息，全部关于供应商及合作伙伴的资料信息，全部合同信息，全部相关信息系统的物理实体，用友软件工程有限公司所属的全部人员、IT系统、专有技术、设备、文档、公司规章制度及其它信息和信息载体。

随后，ISMS小组获得总裁批准制定了信息安全方针“承担客户托付的责任，推动企业健康地发展”，提出了信息安全要求，包括：
1、 贯彻落实信息安全方针，确保业务的连续性；
2、 保护公司进行商务活动中获得的客户及公司专有技术等信息；
3、 确保公司业务运作流程各个环节中所有信息的机密性、完整性、可用性；
4、 使公司所有员工都接受信息安全的培训，提高全员的信息安全意识；
5、 定期进行内部审核与管理评审，确保体系有效运行；
6、 相关信息安全措施应符合法律和法规要求；
7、 并从业务系统可用性，各部门信息安全事故，客户投诉等方面制定了公司整体信息安全目标。
2.2 公司信息安全管理体系组织结构
同时，公司建立了完备的信息安全管理体系。
 

2.3 ISMS项目阶段介绍

ISMS项目的实施划分为六个大的阶段，包括：前期准备阶段、风险评估阶段、建立ISMS阶段、运行ISMS阶段、内部审核及管理评审阶段、认证审核前的预审及改进阶段。

3 业务的连续管理

ISMS小组通过与各部门的沟通，总结出本公司影响关键业务的灾难与安全失效的情况主要有：病毒大规模暴发，网络中断，关键服务器中断等，针对不可接受中断的灾难，制定了业务连续性计划、模拟和定期演练，极大提高了企业对突发事件和外部威胁的风险防范能力。

4 经验总结

任何项目都是存在风险，ISMS项目也不例外。在项目前期公司进行了系统化的分析和风险识别，通过缓解、监控和管理等各种途径降低风险，这也是保证体系建立项目成功的前提。
例如：国内软件行业做信息安全并通过认证的企业不多，在实施过程中不可避免会由于经验缺乏而导致项目失败，公司很早就识别出了此风险，聘请了信息安全咨询顾问来规避此风险；高层对实施信息安全管理体系的认识不足，在前期联系外部信息安全专家进行ISO27001相关知识介绍，提升了高层的理解与重视。

ISMS帮助公司识别、管理和减少信息所面临的各种风险，并在实施ISMS的过程中获得了成功的经验：
1.最高领导层对信息安全管理体系的承诺与支持，通过培训以及高层强有力支持，改变员工对建立信息安全管理体系的疑惑和抵制；
2.体系与整个公司文化保持一致性，与业务营运目标保持一致性，所建立的信息安全管理体系要符合公司运作的实际情况，使得体系真正为公司服务，尽量在建立信息安全管理体系定义中发挥有限资源的作用；
3.识别关键信息资产、明确信息安全的要求，明晰风险评估系统方法；
4.选择合格的信息安全小组组长，高层对其工作予以充分支持，明确各部门各岗位信息安全职责，建立系统化、程序化、文件化的管理体系；
5.有效的宣传、培训，提升信息安全意识；
6.均衡的测量监控体系，持续监控各种变化，从监控结果中寻求持续改进的机会。

用友软件工程公司通过全面实施ISMS，从公司高层到普通员工，大大增强了信息安全管理意识，“承担客户托付的责任，推动企业健康地发展”的信息安全方针落入人心。信息安全管理已成为每个员工日常工作中的自觉行为。

信息安全管理体系的实施，最大意义在于让企业拥有可控的风险管理架构、方法和保障落实机制。正是因为拥有这套机制，才确保企业在不断变化的安全风险环境中，始终能够通过科学的方法和持续的改进。信息安全管理体系为公司建立起安全防御机制，从而保护了客户的利益，为公司的良性发展提供了保障，成为公司的核心竞争力之一。