安全监理三部曲

作为信息监理体系中的一个分支和必要组成部分，信息安全监理既保有信息监理的基本特征，同时又有很多个性特质，这主要是信息安全本身的特性使然。

尽管针对信息系统的监理工作已经开展了多个年头，但是其主要的工作目标仍然集中在以系统集成为代表的信息基础设施建设以及以软件研发为代表的应用系统建设，对于认知度和重要性日益提高的信息安全，监理体系的发展尚有很长的路要走。

作为信息监理体系中的一个分支和必要组成部分，信息安全监理既保有信息监理的基本特征，同时又有很多个性特质，这主要是信息安全本身的特性使然。

在实践中，信息安全不但与通常的监理对象一样具有规划、实施、运营等等清晰的工作周期，而且由于信息安全工作在变更、响应、教育方面的高要求，使得信息安全监理在开展过程中需要关注更多的问题。处理好这些问题，信息安全才能真正保障。

认识篇：安全监理 并不遥远

基于多年对信息技术产业的关心和促进，我国已经形成一系列的法规、条例和标准用于信息领域相关工作的规范和管理。针对信息安全领域，于1994年2月18日的《中华人民共和国计算机信息系统安全保护条例》，是我国信息系统安全体系的核心法律依据；而作为GB17859-1999国家标准的《计算机信息系统安全等级保护划分准则》则为我国的信息安全工作提供了标准上的支持。特别是2006年上旬公安部的《信息安全等级保护管理办法(试行)》，也称7号文件，其中针对不同等级的信息系统明确的在监管和监管资质方面进行了规定。这些法规标准的出台和实施为信息安全的监理工作提供了有效的生长环境，同时也预示着信息安全监理的大幕正在拉开，通过第三方的监理手段提高信息安全工作有效性正成为产业中一股新的力量。

重视实施

在信息安全工作体系当中，监理可以发挥极为重要的作用，有效的监理工作可以节约资源并保障信息安全工作的顺利开展。

在实施信息安全的过程中，监理机制可以保障安全特性与系统核心的工作目标适配，避免安全目标与系统目标之间发生冲突。即使对于信息安全本身，其保密性、完整性和可用性三大基本要求之间也存在着潜在的冲突，例如,在很多时候为了提高保密性的要求而可能会损害到信息的可用性，这些问题的权衡和建议体现了监理工作在整个系统体系设计层次的作用。

基于资源有限这一基本原理，在实施信息安全工作的过程中一个非常重要的问题在于使用合适的资源对不同类型的信息资产进行保护。很多信息安全工程或是没有分清保护的重点，或是对某些信息资产投放了过度的资源，这对于系统的安全乃至系统本身的运转都会造成不良影响。监理机制能够在资源调配上起到监管作用，从设计阶段就发现信息安全系统中潜藏的缺陷。

作为监理机制最重要的作用之一，监督信息安全的实施过程是信息安全监管的重中之重。即使拥有完善的信息安全系统设计也并不能保证信息安全工作的成功，保证实施方按照设计方案正确的进行实施与对设计方案的分析一样重要。在很多信息安全工程中存在着执行不利的问题，监理工作非常适合在执行过程中的发挥保障作用，在这类相对确定且可变性较低的层面可以充分发挥监理的标准化能力及管理能力。

从规范到管理

众所周知，在信息安全体系中管理制度和人员的因素与其它信息工程相比要占据更重要的地位。从信息安全制度规范的实施到安全意识技能培训，往往受制于企业内部的阻力。通过监理的形式促进这些工作的开展，除了可以有效的提高信息安全工作的质量，同时还可以推进整套工作的进展。

一个容易被忽视的信息安全问题是信息安全体系建设完成之后的管理，在一个信息安全系统建设完成之后并不代表着工作的结束，运营过程中的监管是不容忽视的。一个应用系统层面的变更带来的往往是生产力的促进和提高，而这种变更所带来的安全层面的变更往往会对信息安全体系造成巨大的破坏。所以在信息安全体系建设之后的生命周期当中，监理机制仍能够起到重要作用，保证信息安全工作的延续性。

对比篇：拨开安全监理与审计的迷雾

审计通常是指审计方在接受委托后，通过收集各种信息和证据从而对审计目标是否达到了预先设定的目标进行判断和指导，延伸到信息安全领域就是通过对计算机系统的数据进行记录和检验从而了解系统是否达到了要求的安全指标。而依照《信息系统工程监理暂行办法》，信息系统监理是指依法设立且具备相应资质的监理单位受托依据国家有关法规和标准对信息系统工程项目实施监督及管理。从概念上分析，这两种服务的目的都在于降低信息系统工程实施过程中的风险，从基本出发点上是完全相同的。

走出概念的误区

在实际的工作范畴以及作用等方面，监理和审计并不完全相同。

就一个信息安全体系来说，本身就需要记录充分的信息予以存档留待需要时分析，这也是审计机制中最核心的鉴证功能。但是一个成熟的信息审计过程并不仅仅如此，更重要的是通过第三方的力量对目标信息的真实性、完整性、可靠性进行验证，从而为决策行为提供充分有效的证明。从不同的视角对一个安全系统进行分析，可以更加真实的还原信息系统的安全现状，同时可以利用审计机构所具备的知识和经验，完善系统设计，以提高实施成功率。

从这一点来看，信息安全审计服务与信息安全监理服务的作用有一定的交叉性。而在此基础之上，信息安全监理还具有一些信息安全审计不具备的职能。首先信息安全监理需要履行监管的职责，也即不仅仅象信息安全审计过程一样要进行咨询、分析、建议，还要对整个安全体系的实施乃至运行采取强于审计工作的控制，以第三方的力量稳定项目发展的轨道。另外，信息安全监理还需要在项目开展过程中协调客户与实施方等多方之间的关系，保证参与方确实的履行合同条款，去除隐藏的欺诈行为。也就是说信息安全监理更侧重于项目成功的保障，而信息安全审计更侧重于信息的可信性。

值得一提的是，在针对项目范畴的信息审计在关注信息可信的基础上也包含了对信息系统有效性的审计，集中体现于对项目完成后系统运营状态的审计，在对于这一生命周期的关注上信息安全审计要强于信息安全监理。

正确实践

在实际的信息安全项目当中，信息安全监理与信息安全审计也有很多区别，集中体现于工作主体上的差异。

对于监理来说，必须由第三方完成相关工作，否则就失去了公正性和监管力。而对于审计来说，除了聘用外部机构对系统的安全性开展审计工作之外，很多情况下审计工作也可以由组织内部的信息安全团队完成。在通常情况下，基本的信息安全审计都是由内部人员定期执行并向管理层进行反馈，利用外部力量进行审计的情况相对较少，这也与国内用户对第三方审计的认知不够有关。

另外，审计和监理服务所面向的服务对象也有一定的差异。信息审计所具有的公证性目标，在执行信息安全审计时往往服务于类似管理层这样发起审计要求的局部对象。而信息安全监理则往往服务于用户和实施方两方，即使在特定情况下监理机制作用于组织内部的不同部门和层级，也具有作用多个对象的特征。

总体来看，在作用方面信息安全监理与信息安全审计处于相互融合、互相支撑的关系。在一个成功的信息安全项目当中，两者的作用都不容忽视，应该根据具体需要进行具体选择，并开展符合实际应用环境的具体应用。

实践篇：安全规划 重在督导

缺乏规划性是很多信息安全项目失败的主因，所以监理机构有责任向用户提出实施规划方面的建议。建议的方面有很多，而主要的原则面则基于成熟的信息安全项目操作经验。

安全原则不容忽视

首先我们要在规划制订过程中树立以人为本的意识，对计算机系统进行安全管理要充分结合对人的管理。授权最小化是安全管理的核心原则之一，保障权限授予的合理并减少冗余是任何安全体系成功的基础。

另外，在安全规划中不能忽视却常常被忽视的一个问题就是物理安全，协助用户分析如何管理各种存储介质，完善用户所在建筑物的安全管理，都是在监理工作过程中需要注意的问题。

对于安全事件的响应也是监理应该重点关心的方向，很多用户的信息安全体系具有完善的保护计划，但是在执行保护工作的过程中却常常因为缺乏健全的响应计划而导致信息资产的损失。特别是对于那些服务范围只涉及建设过程的监理，如果在规划阶段忽视了运营过程中的响应机制，就会给客户遗留一个缺乏后续保障的安全体系。

除此以外，还有很多问题值得关注，但相对来说有更多的范例可以借鉴，同时也更加容易通过规范来保障。信息安全监理应该在全局掌握的基础上，重点关注那些相对容易忽视、可变性较高、人员协调需要较强的范畴。

有效沟通是保障

规划的建立只是开始，在整个信息安全监理工作过程中，应该通过与用户的充分沟通，形成一套切实可行的安全管理制度。一般常见的安全管理制度包括了权限管理、操作规章、定期检测制度、信息分级、信息销毁、介质管理、响应计划、变更管理、员工培训等等。在形成制度的同时，一个更加不容忽视的问题在于制度的学习和实践，这也是监理机构发挥督管作用的重要阵地。

在实际工作过程中，制度的推行往往在客户方遇到一定的阻碍，而面对这种阻碍，往往会导致实施方降低项目的推进力。在这种情况下，监理方应该及时、确实的把握双方的思维动向，缓冲双方之间的矛盾，以便于达到项目协调的作用。

另外，监理方还应该对照双方确认完成的制度条款，通过检验手段保证安全管理工作能够顺利实施。这样既能够保证用户得到有效的安全保护系统，同时也是对实施方的工作成果负责，在此基础上监理方才能对双方的利益开展协调。在监理工作当中还有一个需要高度重视的问题，那就是监理方本身对于制度的遵守和执行。

作为用户与实施方的媒介，监理方必须严格依照实现制订的标准完成监理工作，这是获得信任的基础。同时监理方也应该尽力遵守用户和实施方之间的协议以及制订出的制度（例如进场制度），只有得到两方的尊重，才能顺利保证监理工作的开展。

教育在信息安全体系中的重要性已无需多言。信息安全所包含的知识跨越了很多领域，既有计算机技术，又覆盖了安防意识的范畴，而且还包含了诸如物理安全、社交工程学等很多与计算机科学没有直接联系的内容。

特别是相对于计算机应用知识，信息安全的概念很少为一般用户所熟识。这要求在信息安全教育过程中，不但要注重知识培训，还要注重意识培训，同时在需要的情况下要开展足够的法规培训，充分的将培训内容与用户组织本身的制度培训结合起来。在整个培训过程中，监理方对于培训内容、培训规划、培训进程、培训效果的反馈，可以有效的提高教育质量。特别是对于过程的掌握，可以防止培训工作偏离教育目标，第三方视角在这类问题上展现的作用尤其突出。

在实际的监理实施过程中，安全管理者应该时刻注重自身的监管职责，牢记监理机制的协调作用，始终以项目的成功为目标，积极的开展监理工作，这样才能够充分发挥监理应有的职能，为用户提供一份满意的答卷。