ISO20000里的信息安全策略，真不是“写个文档就完事”

ISO20000认证里头，信息安全策略常被当成“配套材料”随便应付——写几条“加强密码管理”“定期备份数据”，盖个章就交上去。结果审核一来，专家翻两页就皱眉：“这策略怎么没和你们的服务目录挂钩？谁负责执行？多久评审一次？”

其实，ISO20000:2018标准第8.2.3条清清楚楚写着：组织必须建立、实施并持续维护与服务管理体系（SMS）相一致的信息安全策略。关键词是三个：一致、可执行、能演进——它不是独立存在的“安全守则”，而是服务交付的“神经末梢”。

策略不是口号，得长在业务流程里

很多企业把信息安全策略做成PDF孤本，存在共享盘里三年不更新。但ISO20000要求它必须和事件管理、变更管理、配置管理等流程咬合。比如：当运维团队执行一次高危系统变更时，策略里得明确“此时需触发哪类信息风险评估”“谁有权放行”“日志留存至少90天”。九蚂蚁帮客户梳理策略时，第一件事就是拉出他们的服务地图，把每项服务背后的数据流、权限点、接口方全标出来——策略，得从这里长出来。

责任不能悬空，要落到具体角色上

“IT部门负责信息安全”？不行。ISO20000强调职责嵌入SMS角色体系。我们建议客户用RACI矩阵（Responsible, Accountable, Consulted, Informed）重新定义：谁对策略有效性负责（Accountable）？谁日常执行访问控制（Responsible）？哪些业务部门必须参与年度评审（Consulted）？在九蚂蚁辅导的案例中，有家金融外包公司把“客户数据脱敏规则”直接写进服务级别协议（SLA）附件，由服务交付经理签字确认——责任瞬间落地。

别等审核才想起它，让它自己“呼吸”

信息安全策略不是静态文件，而是活的治理机制。标准要求它必须随SMS一起评审（通常每年至少一次），更要随重大变更即时触发更新——比如上线新云平台、更换第三方服务商、发生数据泄露事件后。我们在陪跑过程中，会帮客户搭一个轻量级策略看板：左侧列策略条款，中间连对应流程/记录证据，右侧标下次评审节点。策略不再是档案柜里的纸，而是每天在服务台、变更委员会、管理评审会上被提起、被验证、被优化的“活规则”。

说到底，信息安全策略在ISO20000里，从来不是一道门槛，而是一根准绳——它丈量着你的服务管理，是不是真的“以客户信息为本”。做得扎实，认证是水到渠成；敷衍了事，证书拿回来也压不住风险。