首先，信息安全目标应与企业业务目标保持一致。

　　信息安全目标是否能够与企业的业务目标相一致，将直接影响到ISMS运行的效率和效果，因此，信息安全的目标必须要符合企业的业务目标。要保证信息安全目标与企业业务目标的一致性，可以通过以下两个方面来考虑：

　　1) 制定企业发展战略时，考虑业务目标的实现对信息安全的要求。在业务规划时，不仅仅分析业务需求，还应该同时进行信息安全需求分析，并且将这些信息安全的需求的实施内容加入到业务发展规划中。比如，企业将向某个新行业客户提供外包服务为企业的战略，那么在业务战略规划中应加入客户行业的安全需求调研、客户行业安全知识库建设、信息安全管理人才培养、外包服务车间的安全建设等信息安全内容。

　　2) 制定信息安全目标时，继承企业的业务目标。信息安全目标是信息安全管理体系前进的方向，因此，只有将业务目标层层分解，最终得出信息安全目标，再将安全目标分解到各信息安全控制措施的具体指标，并且进行有效的过程改进，才能保证ISMS的有效行。

　　其次，项目执行过程固化信息安全管理活动。

　　信息安全管理活动能否固化到项目的执行过程中，或者说信息安全管理活动与项目运作的结合程度，已经成为了企业ISMS实施能否成功的关键因素。因此，企业想要建立并运作有效的ISMS，必须将信息安全管理作为项目管理活动的一部分，固化到项目实施的各个阶段。信息安全管理活动与项目执行过程的结合可以从以下方面考虑：

　　1) 项目售前阶段客户信息安全需求管理。从项目售前阶段开始，对客户外包项目的信息安全需求进行归纳、分析，并且形成正式的客户安全需求文档。这份需求文档应包含客户所有正式提出的安全要求，每项的安全要求需要有相对应的具体的安全管理活动，并且在项目的整个声明周期由专人进行维护、管理，真正做到客户安全需求的符合性管理。

　　2) 项目执行阶段信息安全管理活动实施。首先，在项目管理流程中，将项目运作过程中的信息安全管理职责明确定义下来，并且将各类项目所包含的信息安全管理活动定义下来。其次，在项目执行阶段，项目经理需要按照既定的项目安全管理活动进行操作，即从人、机、料、法、环的角度进行资产识别、风险评估、风险处理等活动。最后，在项目执行的过程中，需要审计人员定期或不定期的对项目的各个活动进行安全审计，从而保证项目安全管理活动的有效性。

　　3) 项目结束后信息安全管理措施。项目结束时，项目相关的信息资产需要妥善的得到处理，避免由于管理不善导致敏感信息的泄露、丢失等问题。

　　最后，在新业务开拓中考虑ISMS的附加价值。

　　管理体系如何才能直接为企业创造价值，这一直都是每个企业所关心，并且非产困惑的问题，但是，信息安全管理体系却能够很好的为外包企业创造额外的价值。外包企业在提供通常的外包服务之外，还可以为根据不同安全等级需求的客户，提供不同安全级别的外包服务，为重点客户提供VIP的服务环境，例如：

　　1) 提供单独的物理场所作为工作环境;

　　- 独立碎纸机

　　- 独立打印机

　　- 独立门禁系统

　　2) 提供符合客户要求的网络环境;

　　3) 更为频繁的回顾与审计等。

　　总之，在进行信息安全管理体系建设的过程中，只有充分的考虑到企业业务需求，并使各项管理措施渗透到企业的业务运作中，真正做到ISMS与外包企业的业务相结合，才能使信息安全管理体系发挥最大的效能，为外包企业带来更大的价值。

　　作者简介：

　　李鹏飞，北京谷安天下顾问。专业领域：信息安全风险评估，信息安全管理体系建设，信息系统安全集成，IT系统运行维护。