Ultra-SCM 安全合规性管理体系运转平台软件

通讯安全

近年来，合规已经成为一种趋势和要求。BS7799/ISO27001系列信息安全管理标准早在多年前就已经成为国际化标准，受到广泛关注和认可，一些国家和组织更是对合作伙伴提出了强制性认证要求。而随着信息系统安全等级保护与涉密信息系统分级保护系列法规的出台和颁发，我国在27号文件“《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）”和66号文件“《关于信息安全等级保护的实施意见》（公通字[2005] 66号）”中也对信息系统安全管理建设提出了更为明确的强制性要求。所有这些都使信息系统的管理者们进一步的认识到了安全合规性建设的迫切性，安全合规性管理已经成为了国内外信息安全厂商和各行业信息系统管理者的关注焦点之一。

我国的信息化建设工作起步比较晚，整体的信息安全管理水平比较低，合规性建设存在各种各样的问题，神州泰岳凭借多年信息安全技术和服务的经验积累，总结出合规性建设过程中的主要问题如下：

*合规性要求和策略管理困难：面对组织内外蜂拥而至的合规性要求和散落四处的各种策略，缺乏有效的集中管理手段，导致大量重复性要求的产生和重叠策略的建设。

*基础数据无法有效利用：经过多年的信息化建设，组织大都拥有了大量的信息化基础数据，由于缺乏集中的管理手段，导致数据缺乏格式化、结构化和系统化，基础数据难获得、难保存和难共享，谁也说不清，谁也用不好。

*缺乏职能角色管理手段：由于人员流动、工作繁忙、协同困难、分工困难、资产管理混乱等问题，导致职责无法准确快速定位到相关人员，更无法有效结合人员、流程和技术，以实现安全管理的全局协作和持续监控跟踪，严重影响合规性建设的进度和效果。

*合规性建设的标准符合度低：

由于缺乏建设过程的规范性管控手段，管理内容无法量化，管理数据无法自动评估计算，工作过程难监控、难统计，且受到人员变动、基础数据变化等因素影响，导致合规性建设容易造成过度建设或者建设不足。

*缺乏合规性的测评辅助工具：根据合规性要求，在建设过程中经常需要进行测评审计，现有的建设手段缺乏有效的辅助工具，导致测评审计的工作量巨大且准确性不足。

*分析展现困难：由于缺乏集中的管控手段，各种数据难获得、难统计，使得各种工作的分析和展现缺乏依据，且传统的统计展现方式耗时耗力、效果不佳。

在面对等级保护、分级保护和27001等合规性要求全面落实执行的情况下，组织的管理者迫切需要一套有效的安全合规性管理体系运转平台，以实现信息安全管理部门以及各个专业职能部门之间统一的安全要求管理、安全策略管理、审计测评管理和风险管理，辅助职能部门以过程化、规范化、结构化的运作方式开展安全保护工作并自查自评。

信息系统的安全合规性建设需要吸取国际的先进理论和经验。参考业界安全成熟度模型和国际安全标准，信息安全管理分为被动型、技术型、管控型和成熟型四种模式，流程导向与风险导向是组织信息安全管理成熟的标志，组织的信息系统安全管理建设工作应以流程导向和风险导向为目标。
 

有效的流程支撑和风险管理手段就是建立一个符合安全管理模型的信息系统安全合规性管理体系运转支撑平台，以适应不同阶段管理成熟度的需求：

*学习平台——建立信息安全要求、标准、策略、实践参考等信息的知识库，供平台使用者学习用。

*流程导向的基础工作平台——作为信息中心各专业部门的安全工作台，应以流程为导向，实现信息安全要求、标准引入管理，进行职责分工，实施策略应答，对安全策略执行情况进行评估和审计，检测安全检测效果。即支持信息安全的正向建设实施。

*职能管理和全面风险管理平台——从外部信息安全要求、标准出发，实施差距性风险评估，以风险为核心实施管控，促进信息安全策略的完善，推动信息安全建设。