信息安全管理体系(isms)落地之道

信息安全管理体系(isms)落地之道

ID:5340008

大小:746.54 KB

页数:3页

时间:2017-12-08

信息安全管理体系(isms)落地之道_第1页
信息安全管理体系(isms)落地之道_第2页
信息安全管理体系(isms)落地之道_第3页
资源描述:

《信息安全管理体系(isms)落地之道》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Security信息安全管理体系(ISMS)落地之道最近几年,国内企业有统计表明2008年年初.中国保人员具备基本的信息安全意识和操作以金融、电力、软件等行大陆地区建立信息安全管理体系并通过技能。业为代表,在信息安全方了lS027001标准认证的企业是80家,·在支持保障方面.建立起内/外部面投入显著且发展很快,2009年年初是180家.而到了2010年审核、管理评审、有效度量、日常检查特别是参照IS027001这年初.这个数字已经变成了近300家。等多项检查监督机制.确保信息安全管样的国际权威标准,建立数字只是一个直观的统计.我们更希望理体系的持续运行和改进有着推动和保符合现代

2、企业治理需要的看到其代表的企业从中取得的收益。一障基础。信息安全管理体系,已经般来说.建立信息安全管理体系并通过有了这样的基础.企业不再发愁信成为高度依赖IT且重视信IS027001认证.企业或者是基于法律息安全无从下手.不再质疑管理和技术息安全的企业一项必然的合规的要求.或者是迫于外部客户的压孰轻孰重,也不再担心信息安全制度不选择。力.而更多的.则是出于自身业务发展清责任不明,至少在风险管控的基本面的需要。无论出发点是什么,从结果来看,上企业解决了“有没有”的问题.初一个信息安全管理体系建设的项目和持步形成信息安全规范化管理的格局。续改进过程,不仅仅只是获得一张证书,信息安全不

3、再务虚更重要的是在多个方面形成层次化整体性的信息安全管理框架:不过理想与现实往往存在差距·在策略制度方面.形成从方针手在实际工作中,常会有企业的信息安全册.到程序文件.操作规程直至记录表负责人发出这样的疑问:“我们体系也格在内的层次化的文件体系.为信息安建了.认证也过了可一场运动后.一全管理体系奠定制度基础。切又回至q过去.信息安全难道就是走过·在组织建设方面,建立决策、管理、场7外部检查内部检查大检查小执行和监督多维的组织架构.明确信息检查,可谁心里都没底,信息安全到底安全相关角色和职责,奠定信息安全管还有没有问题7””一大堆制度文件理体系的组织基础。可说归说做归做,到最后谁都

4、不把制度·在风险管理方面.通过风险评估当回事.”管理就是务虚.信息安全和处置过程.建立起全面的信息安全内管理体系更是虚.27001跟9000有什部控制(包括技术和管理两个方面).么区别呢7”结合信息安全事件管理和业务连续性管种种困惑.其实都是围绕着信息安理.确保从整体上将信息安全风险控制全管理体系如何贯彻落实而展开的。这在可接受水平。里不妨先对具体问题做个归纳总结.·在人员意识方面.通过有序组织·信息安全制度文件已成体系,大信息安全培训及相关意识宣贯活动.确而全.但在全面覆盖的同时.却存在空Security而泛和执行落地问题。制度要求与岗位信息安全管理体系,至少要保证制度层安全风

5、险管控有没有的问题,让包括最及流程脱节缺乏检查点,责任难落实面“有法能依”而不仅仅有法可依”高管理者在内的业务层面能够听得到效果难评价。此91、制度文件的管理和组织层面能责任到人而不仅仅虚信息安全(包括信息安全管理部门)的维护更新也缺乏有效控制。设角色”,风险管控能流程管理”而声音。·风险管理工作和实际需求脱节,非就事论事,人员意识需耳濡目·目标化管理的ISMS:以IT基础风险评估和管理过程简单依靠项目或例染而非单一培训”.检查监督可以设施和业务活动相关风险为核心.建立行操作来推动,没有真正融入到业务活“量化评价”而不是“主观判断。在策略制度、岗位角色和风险管理之间的动当中没有实

6、时性,难以体现预防为信息安全管理体系建设之后很长一段时紧密关系从流程控制和人员责任两个主的思想。与此同时,业务梳理、资产间内这些应该是企业解决落地化问题方面设定目标以量化评价为依据.建识别难以形成稳定的、可维护的、关系的关键立层次化分解和可设定、可衡量的目标型的框架基础。相关工作也缺乏得力的管理机制.同时将过于集中的信息安全微好整体趱劁工具支持。控制,向普遍参与实时反应的信息安全·安全管理组织和人员与实际的业在建设并完善信息安全管理体系的流程管理转化解决做得够不够的问题,务活动关系不紧密.职责要求未能融入过程中企业应该有整体规划的目标和让包括最高管理者在内的业务层面能够到日常工作

7、当中,绩效难以评价积极思路,避免运动式的单一项目推进方看得见信息安全的绩效,使得现在可考14也不高。式。~个治理完善、管理有序、实施落量、过去可比较,将来可预期。·员工安全意识尚有欠缺,单一的地的信息安全管理体系应该是分阶段·平台化管理的ISMS将目标化管培训不足以满足需要.在明确了信息逐步建立起来的并非一蹴而就但也理ISMS的成果,以电子平台方式进行安全人人有责”的同时.难以形成“信不是难以预期。基于最佳实践从建立固化并融入到日常工作和业务活动当息安全人人担责”的普遍文化。IS

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。