信息安全标准与其他管理系统的兼容性及可集成性

经过多年的发展,信息安全管理体系标准逐渐同ISO 9001质量管理体系和ISO 14001环境管理体系等等之间建立了和谐的关系。在多项工作的方法论上进行了统一,这一步骤反映了一些组织将信息安全同其管理系统进行整合和一致性调整的尝试。对此,昆明亭长朗然科技有限公司信息安全研究员董志军表示:很多企业机构都建立有标准化的制度体系,往往以文档管理系统的方式而存在,按照框架来讲,不管是质量、安全、环境、可持续发展、风险管理、业务持续还是信息安全等等,都可以使用该框架。

ISO 27001 附录C以及整合
ISO 27001 附录C只是参考性的,而非强制性的——并没有组织被要求来设法整合进它的管理系统。附录C列出了其中个别条文如何对应ISO 9001和ISO 14001中的条文。对于大多数,但不是所有的组织来讲,关键的对应关系将是ISO 27001与ISO 9001的。如下的ISO 27001条文是管理系统集成的出发点:
1) 第4.3条,其中涉及文档需求
2) 第5.1条,其中涉及管理层承诺
3) 第7条,其中涉及管理审查
4) 第6条,其中涉及内部审计。
他们之间这些相同的条文,使两个管理系统可能部署共同的文件体系、管理以及审核流程。

综合管理系统
一套综合管理系统只需要:
1) 一份程序手册,其中包含质量和信息安全的程序
2) 一套全面和综合的审计程序,内容包括审查过程所有方面的活动
3) 标准的管理授权、批准、监测和审查流程,它将处理所有落在这些适用范围内的活动,这些范围包括信息安全管理体系,质量管理体系或环境管理体系。

ISO 9001
已经拥有同ISO 9001标准相兼容的系统的组织可以很简单地添加一些,就可获得ISO27001认证认可的信息安全管理体系。条文1.2已经提到这一点:
“如果一个组织已经有一个可操作性的业务流程管理系统,在大多数情况下,它可以用来满足本国际标准在这个现有的管理体系之上的要求。”

反思与检讨

刚入门的职员甚至技术类的信息安全专员们可能并不喜欢综合管理系统,文档的格式化要求看起来有些复杂。其实,看似局部复杂的东西,一经整合,反倒会使整体变得简单。针对不同的标准,很多可复用的部分,一旦集成起来,可以省出很多重复性的工作。比如服务外包领域的认证,今天可能是IT服务管理,明天可能是软件质量管理,后天可能是云服务管理,它们之间有相同的或重复性的文件和流程,就要以合并起来,以节省工作资源。

有些职员们不喜欢综合管理系统的一个重要原因是没有认识到好处,进一步深究,即是没有得到系统的制度化工作培训,缺乏这方面的实践。对此,董志军表示:让职员们了解管理体系的政策、标准和流程,以及与自身日常工作的关系,是非常必要的。昆明亭长朗然科技有限公司不仅在信息安全领域创作了大量的宣传教程,以帮助职员们理解和认识信息安全政策、标准和流程的精神要义;同时也在更为广泛的安全领域,创作了大量的安全生产、职业卫生、职场健康和环境保护等话题的宣传资源。欢迎重视制度化管理,希望建立安全文化的组织机构联系我们,预览我们的课程内容,以及洽谈合作事宜。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

IT安全规则,要的是落实而不是死守

风险与合规是IT安全人常常挂在嘴边的热词,可是真正建立起了有效的安全策略的组织,访来问去,数来数去,不过三成而已。

技术高超的安全渗透攻击人员,只要进入到一家组织机构内部,便可以在几分钟内,轻松入侵一家组织的网络基础架构,而要有效防范这类入侵,却比徒步登天还难。保护网络信息安全是一个体系化的工作,这简单就是宇宙真理啊!如果我们有足够的物理安全防范措施,完全可以将安全渗透测试人员拒之门外,这样,入侵的难度也会成倍的增长。

说到底,保障IT安全,不能仅仅只依赖IT的手段,IT安全防护措施总是落后于入侵手段,这是一个不争的事实。但是在一个管理体系下,所有的玩法都要守规则,黑客江湖也是如此,更何况在这个文明的世代,在党所一统的江山之下呢!

说很多安全防范技术根本搞不定安全入侵者,也有些过,至少可能会很多安全技术高手不服。其实,即使您是黑客高手,您若不遵守业界普遍认可的规则,下场那是绝对逃不出技能远不如您的安全力量的惩戒,就如同孙悟空逃不出如来佛手掌一样。对一名IT安全技术热来讲,如何了解IT安全“行规”呢?其实,如同防范安全入侵一样的道理,补充好自己的短板–强化安全管理理论知识技能的学习。

您亦可能是组织机构内的IT安全管理从业人员,您讨厌那些人治的拍脑袋的安全做法,想通过一套IT安全规则来建立理想的信息(系统)使用秩序。这是多么明智的想法和做法!可是,发布一套IT安全规则容易,要让这套IT安全规则生效则很难。不是一般的难,而是阻力重重,办不了事儿常见,得罪人事小,影响士气事大。

不要怀疑自己!我们辛勤发布的IT安全规则不被遵守,并不是我们存有私心,想借此来搞办公室政治。相反,是因为我们的出发点太过于高尚和伟大,我们以为这是正确的方向和做法,大家应该会自觉的遵守。其实,我们把事情想像的太过简单和完美,在受众的眼中,IT安全规则,要么我不知道是什么;要么即使我知道了,也只是一纸文书,和我没有什么关系;哦,和我可能多少有点关系,那就是IT安全规则是整人的,没事儿找事儿!

现在您可能已经知晓了问题的核心所在,您并没有被这些话激怒,您可能开始彻悟。昆明亭长朗然科技有限公司信息安全顾问董志军表示:IT安全规则要深入人心,要获得有效的执行力,首先不能太过死板。有些IT安全专员可能会说:IT政策应该获得强制执行。我要说:“强制”一词虽然很好地强调了“效力”,但是有些高压强迫之意,有些不近人情的味道,在强调“创新为要”和“人文关怀”的年代,并不能很好地表达出“有效”。

所以,制定和发布IT安全规则,要懂得搞民主,懂得搞浪漫,营造全员参与的气氛,这时候,IT安全专业高手应该让位给沟通协调高手。有的人说:我们就搞白色恐怖,重惩戒,几次下来,安全好多了。这里面有一个假定的前提,就是默认员工们是不自觉的。如果员工们不自觉,那更多应该是组织文化管理的问题,而非仅仅是信息安全所面对的。我们不否认在白色恐怖下,人们对待安全的态度和做法会变得很谨慎。但是在白色恐怖气氛笼罩下,人员的士气和社会的生产力降低了多少!那是安全损失的多少倍!

该如何让IT安全规则获得很好的执行?首先,IT安全规则需要被受众所理解,在规则的发布过程中,重要的是沟通,培训、宣讲、演示都是不错的沟通方法,而检查沟通效果的方法是访谈和考核。其次,是检查IT安全规则的实施效果,每项IT安全流程都有其输入和输出,也有其控制点。对这些地方进行检查,是了解IT安全规则执行力的不二方法。在这里,我们不能太过于死板,特别是当IT安全规则检查成了一项常规工作之后,我们可能会有完善的检查清单,但是却缺乏一颗熟知IT安全规则背景精神的善心。就如同很多街头执法人员死搬工作条文,而不具备人道主义和人文精神一样,粗暴执法的结果常常是激化出一起又一起社会矛盾和悲剧事件。

如何让IT安全规则检查人员拥有一颗熟知IT安全规则背景精神的善心呢?需要的仍然是IT安全规则的沟通,我们要让IT安全规则的目的和精神要义得到展示,它们本身就应该是来协助我们做好工作的,而非冷冰冰的来限制我们的条文。

说到这里,很多IT安全人没有太多的经验。在IT安全规则的沟通,特别是IT安全规则的背后精神要义的讲解方面,昆明亭长朗然科技有限公司有一整套的动画素材和互动式教程。欢迎各位IT安全人来与我们探讨、合作。当然,这些安全精神要义,也可以用在IT安全范围之外。

不要死板的守着那些冰冷无情的条文,开启您的IT安全善心,感化受众,才是获得IT安全落实的最高境界!点击如下的图示,在线体验一下我们的信息安全意识沟通课件吧!其实,您可能更对IT管理感兴趣,在我们的IT安全管理教程中,就包含了大量的IT安全规则要义呢!

Internet security online business concept pointing security services

欢迎联系我们,在线免费预览我们的各种课程内容。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898