为了简化在信息安全管理体系的工作量,有组织机构设立了相关的文档范例和模板,甚至开发或采购了相应的管理系统。对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:使用文档模板效率比较低,对于中小型机构来讲,成本也比较低。一套管理平台的费用肯定不少,上线配置、推广使用和后期运维都要花钱。而对于大型机构来讲,使用系统平台,会提升效率,同时降低成本,这是因为大型机构如果大量使用手工进行文档模板的填写,显然是人力资源的严重浪费。
不管组织机构的规模如何,都需要从构建文档体系开始,不建议在初期就直接采用市面上已有的信息安全管理系统平台。为什么呢?信息安全管理是一个逐渐发展和成熟的过程,如果一开始就使用系统平台,貌似获得了跳跃式的发展,实则根基不牢,很多用户根本不懂为什么要使用,就如同小婴儿还没学会爬走想起来跑一样,就这是很简单的道理。而有了从手工文档模板到档案存档到电子化再到系统化的发展过程,可以让人们看到管理过程的进步,让人们看到发展变化,让用户们持续保护对信息安全文档要求的理解。
文件体系的建设包括两大方面。一方面,是可用来参考的流程类文档如方针政策、标准、作业流程和操作指南等。我们的建议是最初起草这些文档时,不要在它们的基础上更改,如果有相关的文档管理系统,则应先按照标准化文档的要求自行准备,之后再和参考范例文档进行对比,并做相应的改进。
另一方面,是文档模板的建设、改进与完善,我们建议初次开始导入信息安全管理体系的组织先自行开发各类模板,如资产登记清单,风险评估模板,控制措施清单等。如果有相关的文档管理系统,则可考虑使用集中的文档管理系统。
之所以建议初始导入ISMS的组织先自行建立它们是方便组织对整个过程的深入了解和掌握,这样做也更容易形成管理体系文件架构,然后是底层文件,即用于证明ISMS各项活动的记录表格就比较容易得到完成。
当然,已经初步建立起文档体系的组织机构可以考虑选择管理工具包,即自动化的管理系统,常见的一些ISMS系统的功能包括:资产管理、风险管理等等。
组织可以考虑自行开发或采购商业化产品,自行开发的产品会更适合组织的实际需求;商业化的产品会给组织带来更多的专家经验。组织亦可以考虑外包这类系统的开发和维护,甚至使用“云”信息安全管理系统。
注意,也有供应商会将更多功能整合,比如IT系统的监控、日志审计和管理控制平台等,一般我们不推荐和ISMS文档管理系统整合,但是组织想根据自身情况考虑一下也无妨。
最后,是我们的常规性建议,通常来讲,建立一套信息安全管理体系文件系统并不难,集中力量执行一次安全检查审计和整改活动也容易,难在坚持不懈。发展良好的优秀的组织机构会保持对制度流程的持续执行和不断改进,最终形成习惯性的最佳实践。而混乱的组织机构往往会大搞运动,今天搞这明天搞那,捡了芝麻,丢了西瓜。
昆明亭长朗然科技有限公司专注于帮助各类型的组织机构提升全员的安全意识,我位推出了针对管理层的信息安全管理体系快速课程,以及针对全体职员的信息安全意识动画视频、电子课件和图片,欢迎有兴趣的客户及合作伙伴联系我们,洽谈购买及合作事宜。
- 电话:0871-67122372
- 微信:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898
