聊聊ISMS风险评估及管理工具

为了简化在信息安全管理体系的工作量,有组织机构设立了相关的文档范例和模板,甚至开发或采购了相应的管理系统。对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:使用文档模板效率比较低,对于中小型机构来讲,成本也比较低。一套管理平台的费用肯定不少,上线配置、推广使用和后期运维都要花钱。而对于大型机构来讲,使用系统平台,会提升效率,同时降低成本,这是因为大型机构如果大量使用手工进行文档模板的填写,显然是人力资源的严重浪费。

不管组织机构的规模如何,都需要从构建文档体系开始,不建议在初期就直接采用市面上已有的信息安全管理系统平台。为什么呢?信息安全管理是一个逐渐发展和成熟的过程,如果一开始就使用系统平台,貌似获得了跳跃式的发展,实则根基不牢,很多用户根本不懂为什么要使用,就如同小婴儿还没学会爬走想起来跑一样,就这是很简单的道理。而有了从手工文档模板到档案存档到电子化再到系统化的发展过程,可以让人们看到管理过程的进步,让人们看到发展变化,让用户们持续保护对信息安全文档要求的理解。

文件体系的建设包括两大方面。一方面,是可用来参考的流程类文档如方针政策、标准、作业流程和操作指南等。我们的建议是最初起草这些文档时,不要在它们的基础上更改,如果有相关的文档管理系统,则应先按照标准化文档的要求自行准备,之后再和参考范例文档进行对比,并做相应的改进。

另一方面,是文档模板的建设、改进与完善,我们建议初次开始导入信息安全管理体系的组织先自行开发各类模板,如资产登记清单,风险评估模板,控制措施清单等。如果有相关的文档管理系统,则可考虑使用集中的文档管理系统。

之所以建议初始导入ISMS的组织先自行建立它们是方便组织对整个过程的深入了解和掌握,这样做也更容易形成管理体系文件架构,然后是底层文件,即用于证明ISMS各项活动的记录表格就比较容易得到完成。

当然,已经初步建立起文档体系的组织机构可以考虑选择管理工具包,即自动化的管理系统,常见的一些ISMS系统的功能包括:资产管理、风险管理等等。

组织可以考虑自行开发或采购商业化产品,自行开发的产品会更适合组织的实际需求;商业化的产品会给组织带来更多的专家经验。组织亦可以考虑外包这类系统的开发和维护,甚至使用“云”信息安全管理系统。

注意,也有供应商会将更多功能整合,比如IT系统的监控、日志审计和管理控制平台等,一般我们不推荐和ISMS文档管理系统整合,但是组织想根据自身情况考虑一下也无妨。

最后,是我们的常规性建议,通常来讲,建立一套信息安全管理体系文件系统并不难,集中力量执行一次安全检查审计和整改活动也容易,难在坚持不懈。发展良好的优秀的组织机构会保持对制度流程的持续执行和不断改进,最终形成习惯性的最佳实践。而混乱的组织机构往往会大搞运动,今天搞这明天搞那,捡了芝麻,丢了西瓜。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构提升全员的安全意识,我位推出了针对管理层的信息安全管理体系快速课程,以及针对全体职员的信息安全意识动画视频、电子课件和图片,欢迎有兴趣的客户及合作伙伴联系我们,洽谈购买及合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

大数据时代的大安全

big-security
大数据不仅成为互联网行业的热门词汇,更是目前信息化领域关注的创新技术焦点。

将信息系统应用于业务创新之时,不断产生的大量数据给传统IT管理带来挑战,特别是基于大数据的深度分析和有效利用,让IT重回业务创新流程的核心。IT初期建设之后的优化和改进在大数据时代朝气蓬勃,同时,如何有效利用大数据,将老旧的、不合时宜的、维护成本过高的信息系统顺利迁移到新的应用平台上呢?如何将安全威胁隔离出来呢?这是不少关注信息安全的IT管理者的头等大事儿。

通常关键性的行业如互联网、通讯、金融等领域拥有海量的数据,信息化程度也很高,性能问题不能一直靠简单增加服务器、网络设备及带宽来解决。高可用性的需求也时刻要求我们避免系统故障和停工时间。有效预知未来可能发生的安全事件,则是大数据时代最大的安全研究课题。

信息安全技术派可能喜欢搭建强大的信息系统来监控和侦测各信息系统的使用情况,并进行大量的条件设定,以便能通过使用大数据来实现我们所期望的大安全,进而让各类安全威胁能够被自动识别、预知、报告和进行高度关联式的响应。

偏执的信息安全技术派简单地将大安全想象成Hadoop版本的SOC,这不免有些天真的可爱。因为对于业务来讲,关心的更多的是界面和功能,对后台的深层次的技术东西,比如是用IBM,还是HP或Oracle的平台,业务部门的兴趣不大。昆明亭长朗然科技有限公司大数据安全观察员James Dong说:实际上,在后台技术方面,他们更愿意交给IT人员来做决定,当然业务部门的要求也很有道理,系统最好能够有很好的扩充性,以便满足业务不断发展的扩张的需求,此外便是价钱要合理,而且尽可能少花钱多办事儿。

那大安全如何办呢?信息安全关乎业务安全,这可是不能打折的。但是在业务眼中的信息安全是什么呢?防病毒防黑客?远不是。业务持续运行不中断,或意外中断后能快速恢复?有点道理。更重要的一点儿,业务安全期望IT安全的目标和战略能够满足到业务的目标和战略实现。

说到信息安全目标和战略,便是大数据时代大安全应该积极与其保持一致的,这不是夸夸其谈纸上谈兵来点虚妄的理论。在实践方面,大安全当然要跳出IT的思维圈子,也不仅仅是将传统的物理安全、生产安全、职业安全等纳入进来。

大安全,之所以要大,海纳百川,有容乃大。把安全做大的同时也是在创新,在安全创新方面,我们要想业务所想,急业务所急,细化业务安全目标与职责,通过大数据系统来驱动业务安全的实现。强化业务风险识别与监管、内控与合规、公司治理、防内幕交易、防腐败……

大安全不是搞一套监控信息系统的安全管理系统,而是将安全理念和安全控制内置到业务流程之中,比如在关键业务信息系统的审批和流向之中加入必要的控管措施,防止专权或渎职、防止太过于保守和太过于激进等等影响业务持续健康发展的安全隐患。

要让大安全得以成功实施,需要较多的沟通协调和人员培训。这是一项大工程,每家公司都不一样,所以需要量身定制的大安全培训解决方案。使用昆明亭长朗然科技有限公司的信息安全培训解决方案,客户可以获得物超所值的精致实用的而且贴身可靠的安全培训产品和服务。