信息安全认证项目成关注焦点

       讯纳消息2012-12-19：近些年来，信息安全显得日益严峻，而各企业对于信息安全领域的投入更几乎是耗尽心力。据信息安全专业人士透露，目前国内信息安全行业的发展，包括在线信息安全的评估及咨询服务已经越来越受到重视，一些专门提供信息安全认证项目也受到了更广泛的关注及使用，我国的信息安全体系正在逐步完善。

信息安全认证项目的背景

       组织面临的信息安全问题日益严重，而通过建立信息安全管理体系来控制组织的信息安全风险日益成为各方的共识。组织建立信息安全管理体系的驱动力来源于内部的业务需求以及外部的合规驱动。

       内部的业务需求会驱使组织会根据自身业务特点建立以业务为核心的信息安全管理体系；但是国内相当数量的组织目前所处的信息化水平不高，更多的是合规方面的要求，所以驱动力的不同导致组织在建设信息安全体系的过程也有所侧重。但是不管驱动力如何，越来越多的组织加入到以认证为目的的信息安全体系建设的队伍中。

       建立信息安全管理体系意味着组织需要投入资源提升其信息安全水平，但是对于多数组织而言，信息安全的预算是有限的 ，组织在面临业务或合规的压力时，获得信息安全管理体系的认证成为组织信息安全工作的重要选择。因为信息安全管理体系的认证可以侧面证明组织的信息安全获得了相应的保障，组织的信息安全风险是可控的，也在一定程度上满足了业务或合规的要求，这也就导致了 “认证项目”的出现。

信息安全认证项目的特点

       组织根据自身业务的需求以及企业的文化甚至与相关项目发起人的个人诉求开了认证项目的实施。那么认证项目有什么样的特点呢，对于组织而言信息安全认证项目究竟是好是坏。

       认证项目的特点总结起来可为四个字“多、快、好、省”。

      “多”，有相当数量中小型企业甚至大型企业由于种种原因都采用认证项目的形式开始了信息安全体系的建设，这就造成了认证项目较多，方法论较为成熟，但其中有相当数量的组织是为了追求认证而认证，这就造成的体系不易执行 ；

       “快”，信息安全体系建设项目周期一般较长，且效果不易显现，但认证项目能够在较短的时间将成果展现出来，但是快速的认证项目就容易造成建成的体系存在问题，所以需要组织后期不断的跟进；

       “好”，组织获得认证并满足业务与合规的要求，但是获得认证并不能代表组织的信息安全的真实水平；

       “省”，认证项目只需要投入有限的资源，同样的，有限的资源对于提升组织信息安全的能力是有限的。

       认证项目四个特点在反应了其自身的优点时同样也反映了其缺点所在。像前面所说的组织获得信息安全体系认证是为了满足业务需求或者合规需求，或两者都有，但不管怎样，组织为了获得信息安全体系的认证，一般会请咨询方介入，帮组组织获得认证。

       认证项目本身无所谓好坏，而是在实施的过程中，由于多方面的原因，导致某些组织的信息安全体系的建设偏离了建立信息安全建设的最终目标而片面的追求认证。

       由于组织的资源紧缺，组织不但想获取所需的认证，同时也为了节省资源，组织不断压缩资源使得咨询方的投入也在减少，同样是为了获取认证，咨询方通过“成熟的方法论”，通过咨询放象征性的去调研，然后进行形式上的风险评估，然后拿成熟的模板出一堆文档，最后顺利的运行一段时间，补一堆记录，组织同样达到了节省资源的目的，组织同样也能够获取认证。

       当组织获取完认证后，咨询方撤场，留下一堆不知所云的文档以及记录，组织才发现原来自己除了获取那张证书外，什么也没有获得，没有得到相应的知识，也没有提升组织自身的信息安全水平。这是组织的初衷亦或是咨询方的初衷，都不是，但是现实确不得不让我们低头，组织的资源确实有限。

信息安全认证项目的实施

       信息安全认证项目既然达不到初衷，是不是没有做的必要了，或者说为了应付业务或者合规的需求，或者暂时就这样，至少当前先应付过去。信息安全认证项目到底要如何实施才能保证信息安全目标的实现呢。

      信息安全认证项目首先需要高层的支持。这样才能保证资源能够满足，体系的执行能够通畅，获得高层的支持是认证项目成功与否的关键。

       信息安全认证项目的实施要保证知识的转移。体系运转需要人来支持，如果组织没有员工掌握信息安全管理体系运转的知识，那么建立起来信息安全管理体系只会是空中楼阁。

        信息安全认证项目需要全员的参与。信息安全认证项目的实施不仅是项目成员的事情，更是组织全员的事情，只有全员参与才能够意识到信息安全，才能贯彻和执行信息安全体系建立的制度和文件。

       信息安全认证项目需要工具的支撑。信息安全认证项目可能投入的不多，但是依然需要大量的人力来支持项目的实施，如果通过工具可以极大的简化人员的工作量以及工作难度，甚至于降低组织的花费，增加资源的利用率。

       当然，信息安全认证项目的成功实施不仅仅靠上面提的，还有其他方面，比如好的顾问，但是好的顾问需要组织的资源投入，而且不同的企业文化和行业背景对顾问的要求也不同。

信息安全认证项目的总结

       认证项目无论从哪方面来说目前对于组织而言是获得信息安全保障的重要保证。为了成功实施认证项目，在应对认证项目特点时，组织应该结合组织自身需求进行平衡。并在实施过程中，组织应尽可能的获得各种支持，哪怕得不到有形的，但是无形的支持更加重要。