IT安全规则,要的是落实而不是死守

风险与合规是IT安全人常常挂在嘴边的热词,可是真正建立起了有效的安全策略的组织,访来问去,数来数去,不过三成而已。

技术高超的安全渗透攻击人员,只要进入到一家组织机构内部,便可以在几分钟内,轻松入侵一家组织的网络基础架构,而要有效防范这类入侵,却比徒步登天还难。保护网络信息安全是一个体系化的工作,这简单就是宇宙真理啊!如果我们有足够的物理安全防范措施,完全可以将安全渗透测试人员拒之门外,这样,入侵的难度也会成倍的增长。

说到底,保障IT安全,不能仅仅只依赖IT的手段,IT安全防护措施总是落后于入侵手段,这是一个不争的事实。但是在一个管理体系下,所有的玩法都要守规则,黑客江湖也是如此,更何况在这个文明的世代,在党所一统的江山之下呢!

说很多安全防范技术根本搞不定安全入侵者,也有些过,至少可能会很多安全技术高手不服。其实,即使您是黑客高手,您若不遵守业界普遍认可的规则,下场那是绝对逃不出技能远不如您的安全力量的惩戒,就如同孙悟空逃不出如来佛手掌一样。对一名IT安全技术热来讲,如何了解IT安全“行规”呢?其实,如同防范安全入侵一样的道理,补充好自己的短板–强化安全管理理论知识技能的学习。

您亦可能是组织机构内的IT安全管理从业人员,您讨厌那些人治的拍脑袋的安全做法,想通过一套IT安全规则来建立理想的信息(系统)使用秩序。这是多么明智的想法和做法!可是,发布一套IT安全规则容易,要让这套IT安全规则生效则很难。不是一般的难,而是阻力重重,办不了事儿常见,得罪人事小,影响士气事大。

不要怀疑自己!我们辛勤发布的IT安全规则不被遵守,并不是我们存有私心,想借此来搞办公室政治。相反,是因为我们的出发点太过于高尚和伟大,我们以为这是正确的方向和做法,大家应该会自觉的遵守。其实,我们把事情想像的太过简单和完美,在受众的眼中,IT安全规则,要么我不知道是什么;要么即使我知道了,也只是一纸文书,和我没有什么关系;哦,和我可能多少有点关系,那就是IT安全规则是整人的,没事儿找事儿!

现在您可能已经知晓了问题的核心所在,您并没有被这些话激怒,您可能开始彻悟。昆明亭长朗然科技有限公司信息安全顾问董志军表示:IT安全规则要深入人心,要获得有效的执行力,首先不能太过死板。有些IT安全专员可能会说:IT政策应该获得强制执行。我要说:“强制”一词虽然很好地强调了“效力”,但是有些高压强迫之意,有些不近人情的味道,在强调“创新为要”和“人文关怀”的年代,并不能很好地表达出“有效”。

所以,制定和发布IT安全规则,要懂得搞民主,懂得搞浪漫,营造全员参与的气氛,这时候,IT安全专业高手应该让位给沟通协调高手。有的人说:我们就搞白色恐怖,重惩戒,几次下来,安全好多了。这里面有一个假定的前提,就是默认员工们是不自觉的。如果员工们不自觉,那更多应该是组织文化管理的问题,而非仅仅是信息安全所面对的。我们不否认在白色恐怖下,人们对待安全的态度和做法会变得很谨慎。但是在白色恐怖气氛笼罩下,人员的士气和社会的生产力降低了多少!那是安全损失的多少倍!

该如何让IT安全规则获得很好的执行?首先,IT安全规则需要被受众所理解,在规则的发布过程中,重要的是沟通,培训、宣讲、演示都是不错的沟通方法,而检查沟通效果的方法是访谈和考核。其次,是检查IT安全规则的实施效果,每项IT安全流程都有其输入和输出,也有其控制点。对这些地方进行检查,是了解IT安全规则执行力的不二方法。在这里,我们不能太过于死板,特别是当IT安全规则检查成了一项常规工作之后,我们可能会有完善的检查清单,但是却缺乏一颗熟知IT安全规则背景精神的善心。就如同很多街头执法人员死搬工作条文,而不具备人道主义和人文精神一样,粗暴执法的结果常常是激化出一起又一起社会矛盾和悲剧事件。

如何让IT安全规则检查人员拥有一颗熟知IT安全规则背景精神的善心呢?需要的仍然是IT安全规则的沟通,我们要让IT安全规则的目的和精神要义得到展示,它们本身就应该是来协助我们做好工作的,而非冷冰冰的来限制我们的条文。

说到这里,很多IT安全人没有太多的经验。在IT安全规则的沟通,特别是IT安全规则的背后精神要义的讲解方面,昆明亭长朗然科技有限公司有一整套的动画素材和互动式教程。欢迎各位IT安全人来与我们探讨、合作。当然,这些安全精神要义,也可以用在IT安全范围之外。

不要死板的守着那些冰冷无情的条文,开启您的IT安全善心,感化受众,才是获得IT安全落实的最高境界!点击如下的图示,在线体验一下我们的信息安全意识沟通课件吧!其实,您可能更对IT管理感兴趣,在我们的IT安全管理教程中,就包含了大量的IT安全规则要义呢!

Internet security online business concept pointing security services

欢迎联系我们,在线免费预览我们的各种课程内容。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

闲谈信息安全管理体系建设与全员ISMS培训

在信息资产日益彰显价值的科技时代,信息安全成为一项重要的管理课题。严重的安全事件不仅会威胁到一家组织机构的竞争力和生存力,更让相关领导人员面临着被警告、罚款、行业禁入、甚至坐牢等等严厉的惩戒。

如何保护好信息资产的安全,是一个大课题。对管理层来讲,展示出自己在信息安全治理管理领域努力和勤勉的一面,无疑是展示工作尽职尽责和进行自我保护的良策。于是,构建信息安全管理体系就成了多数组织机构的重要工作。毕竟,依据国际和国家的相关信息安全标准行事,大的前进方向是正确的,政治层面不会犯错;同时,只要尽心尽力,也不会被人说成消极怠政或无所作为。即使运气不佳,出现大的安全事故,自己的责任也能获得减轻甚至免除。

对于外向型商业领域的组织机构来讲,国际信息安全标准ISO 27001无疑是最佳的选择。为什么要这样呢?昆明亭长朗然科技有限公司信息安全管理顾问董志军说:这是因为客户、供应链和营销链等多数也都采用此ISO标准,在标准相同的情况下,很容易沟通和建立信息安全方面的信任。毕竟,信息系统的互联、数据的交换早使得大家在商业成功方面融为一体,在信息安全管理领域也只有互相帮助、互相监督、同舟共济。

对于政府控股的、国家政策严格监管的组织机构,采用国际信息安全标准ISO 27001是一个选择,同时还少不了遵循更多的国家法规和行业规范,比如等保系列和国资及行业监管系列等。在不同的情景下,一家组织机构可能会被要求遵循和采用多个安全安全法规、标准及行规的要求。对此,昆明亭长朗然公司董志军表示:在信息安全管理领域出现多头管理是不可避免的,好在很多要求是重复的,当然管理体系的内容也是可复用的。也就是说,在建立了一套信息安全管理细则之后,一些条款可以被用来证明满足于多个法规、标准和行规的要求,只需稍稍花些功夫去一一应对。

不论是外向开放型的跨国公司,还是国家严格控制的战略领域,比较聪明的做法是建立尽可能全面的信息安全制度规范文件体系,当然,还要严格地执行落实这些制度,并保持相关工作记录或合规证据以备审核。这样,不论有什么新法规新要求,只要和现有的体系对比一下,查漏补缺,就可以快速达成合规的目标。

这道理不难理解,但是问题来了,建立一套细则可能并不太难,摘录和借鉴一些网络上通用的信息安全制度,甚至花钱请咨询服务公司来搞似乎很容易。但是请停住!这样搞那真是纸面工作,如同闭门造车,搞出来的制度文件多数不适用,因为缺乏沟通,所有没有执行力,糊弄信息安全管理体系的初级审核员都难过关。正确的方法该如何呢?昆明亭长朗然公司董志军分享经验说,应该将制度化管理的思想和流程细化工作分配给各组织单元、各下属部门,与相关流程的责任主管和协调人员沟通,让其创建和维护管辖范围内的信息安全工作流程。当然,信息安全领导人员需要定期审查流程本身、以及流程的执行情况。

闭门造车不是尽职尽责,显然是偷懒或惰政的表现,由此可见当领导不容易,当好领导就更难。话说回来,最简单的事情就是天天睡觉不干活儿,那怎么行?不断挑战难关,不仅是个人获得快速职业成长的法宝,也是组织机构提升业绩的关键。各业务单元、各下属部门可能有其独特的作业流程和信息安全规范,同时,也有很多通用的部分,而且通用的部分是大头儿。这些不管是特有的还是通用的安全流程和作业要求,都需要得到必要的沟通,以便使用者能够理解其安全思想要义,并积极主动配合。因为只有这样,信息安全管理工作才能落实,否则使用者不理解、不接受信息安全要求,只会带来对相关安全作业规定和规章制度的漠视、逃避、甚至抵抗。

如何与使用者沟通信息安全思想要义呢?董志军说:一方面,我们需要针对全员进行普及性的信息安全管理体系ISMS培训;另一方面,我们需要针对各部门特有岗位人员进行信息安全工作操作流程宣教。

针对全员的普及性信息安全管理体系培训课程,在内容方面多数源自信息安全最佳实践和国际标准,也都是在多家组织机构获得成功实施、久经考验、和不断改进的。而针对特别行业特有岗位的,可以在部门级实施,比如在部门会议上强调,也可以定制创作相关宣教内容,在部门内发布和学习。

昆明亭长朗然科技有限公司创作了数百部采取国际标准、国家标准和行业最佳实践的信息安全宣传漫画、动画视频、互动教程和电子课件。这些内容可以被用来进行组合,发起针对全员的信息安全管理体系培训,当然也可以挑选适合特定业务岗位人员的内容,或者定制创作培训内容,以便发起有针对性的安全意识宣教活动。

欢迎联系我们,获得作品清单,预览作品,以及洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898