信息安全控制如何有效植入业务流程？

　　当前，银行业所面临的内外部环境加速变化，呈现出日益复杂化和多样化的特点。为应对激烈的市场竞争现状，推行国际和国内标准化管理体系的应用、认证，对内部管理持续改革与创新，在规范管理、防范风险、提升竞争力方面有着重要作用。信息安全管理体系中的安全控制与业务流程的融合更是一个有益的探索。

　　“管理体系”已成为一类标准，例如，质量管理体系(ISO 9001)、IT服务管理体系(ISO/IEC 20000-1)和环境质量管理体系(ISO 14001)等，但是相互之间都在强调体系整合，并没有相互包含的关系。

　　本文主要就信息安全控制与业务流程的结合，提供了三种途径：校准、整合以及嵌入。

　　1.校准

　　校准是指信息安全控制也以流程的形式呈现，且无法通过其他途径精简，需要与最相关的业务流程进行校准，以确保该流程尽量少影响或不会影响业务流程的运转。此外，新产生的信息安全流程也列入该类，因为之所以产生，意味着不可被精简。

图1 流程校准

　　2.整合

　　整合也是指信息安全控制以流程的形式呈现，这个流程与已有的业务流程各有重点，但是存在程序上或逻辑上的共同之处，可以考虑将两者或更多整合成一个流程，从而减少了流程的总体数量，同时降低了执行者的负担。

图2 流程整合

　　3.嵌入

　　实际上，更多的信息安全控制是以控制点的形式呈现，并不能作为单独的流程。嵌入主要针对信息安全控制点，是将这些控制点嵌入到现有的业务流程上。

图3 流程嵌入

　　无论是流程的校准、整合还是嵌入，最主要的目的之一是要降低对主营业务流程的干扰，以更节约的方式促进信息安全控制的落地。这与是否重视信息安全并不矛盾。孤立地看待信息安全，很容易陷入到“为了安全而安全”的误区，更严重的是可能导致“尽职免责”的模式，由于专业技术人员和其他部门之间存在信息不对称问题，基于各种考虑，可能会导致最后发布的信息安全制度充满陷阱。

　　本文节选自《ISO/IEC 27701:2019隐私信息管理体系(PIMS)标准解读》。

　　中国金融认证中心(CFCA)在信息安全领域具有丰富的实战经验，服务涵盖个人信息安全评估、数据安全治理、移动APP安全检测、渗透测试、代码审计、电子银行评估、电子招投标系统检测、芯片及嵌入式软件检测等，愿助力企业安全合规发展。

　　作者：业务安全团队