闲谈信息安全管理体系建设与全员ISMS培训

在信息资产日益彰显价值的科技时代,信息安全成为一项重要的管理课题。严重的安全事件不仅会威胁到一家组织机构的竞争力和生存力,更让相关领导人员面临着被警告、罚款、行业禁入、甚至坐牢等等严厉的惩戒。

如何保护好信息资产的安全,是一个大课题。对管理层来讲,展示出自己在信息安全治理管理领域努力和勤勉的一面,无疑是展示工作尽职尽责和进行自我保护的良策。于是,构建信息安全管理体系就成了多数组织机构的重要工作。毕竟,依据国际和国家的相关信息安全标准行事,大的前进方向是正确的,政治层面不会犯错;同时,只要尽心尽力,也不会被人说成消极怠政或无所作为。即使运气不佳,出现大的安全事故,自己的责任也能获得减轻甚至免除。

对于外向型商业领域的组织机构来讲,国际信息安全标准ISO 27001无疑是最佳的选择。为什么要这样呢?昆明亭长朗然科技有限公司信息安全管理顾问董志军说:这是因为客户、供应链和营销链等多数也都采用此ISO标准,在标准相同的情况下,很容易沟通和建立信息安全方面的信任。毕竟,信息系统的互联、数据的交换早使得大家在商业成功方面融为一体,在信息安全管理领域也只有互相帮助、互相监督、同舟共济。

对于政府控股的、国家政策严格监管的组织机构,采用国际信息安全标准ISO 27001是一个选择,同时还少不了遵循更多的国家法规和行业规范,比如等保系列和国资及行业监管系列等。在不同的情景下,一家组织机构可能会被要求遵循和采用多个安全安全法规、标准及行规的要求。对此,昆明亭长朗然公司董志军表示:在信息安全管理领域出现多头管理是不可避免的,好在很多要求是重复的,当然管理体系的内容也是可复用的。也就是说,在建立了一套信息安全管理细则之后,一些条款可以被用来证明满足于多个法规、标准和行规的要求,只需稍稍花些功夫去一一应对。

不论是外向开放型的跨国公司,还是国家严格控制的战略领域,比较聪明的做法是建立尽可能全面的信息安全制度规范文件体系,当然,还要严格地执行落实这些制度,并保持相关工作记录或合规证据以备审核。这样,不论有什么新法规新要求,只要和现有的体系对比一下,查漏补缺,就可以快速达成合规的目标。

这道理不难理解,但是问题来了,建立一套细则可能并不太难,摘录和借鉴一些网络上通用的信息安全制度,甚至花钱请咨询服务公司来搞似乎很容易。但是请停住!这样搞那真是纸面工作,如同闭门造车,搞出来的制度文件多数不适用,因为缺乏沟通,所有没有执行力,糊弄信息安全管理体系的初级审核员都难过关。正确的方法该如何呢?昆明亭长朗然公司董志军分享经验说,应该将制度化管理的思想和流程细化工作分配给各组织单元、各下属部门,与相关流程的责任主管和协调人员沟通,让其创建和维护管辖范围内的信息安全工作流程。当然,信息安全领导人员需要定期审查流程本身、以及流程的执行情况。

闭门造车不是尽职尽责,显然是偷懒或惰政的表现,由此可见当领导不容易,当好领导就更难。话说回来,最简单的事情就是天天睡觉不干活儿,那怎么行?不断挑战难关,不仅是个人获得快速职业成长的法宝,也是组织机构提升业绩的关键。各业务单元、各下属部门可能有其独特的作业流程和信息安全规范,同时,也有很多通用的部分,而且通用的部分是大头儿。这些不管是特有的还是通用的安全流程和作业要求,都需要得到必要的沟通,以便使用者能够理解其安全思想要义,并积极主动配合。因为只有这样,信息安全管理工作才能落实,否则使用者不理解、不接受信息安全要求,只会带来对相关安全作业规定和规章制度的漠视、逃避、甚至抵抗。

如何与使用者沟通信息安全思想要义呢?董志军说:一方面,我们需要针对全员进行普及性的信息安全管理体系ISMS培训;另一方面,我们需要针对各部门特有岗位人员进行信息安全工作操作流程宣教。

针对全员的普及性信息安全管理体系培训课程,在内容方面多数源自信息安全最佳实践和国际标准,也都是在多家组织机构获得成功实施、久经考验、和不断改进的。而针对特别行业特有岗位的,可以在部门级实施,比如在部门会议上强调,也可以定制创作相关宣教内容,在部门内发布和学习。

昆明亭长朗然科技有限公司创作了数百部采取国际标准、国家标准和行业最佳实践的信息安全宣传漫画、动画视频、互动教程和电子课件。这些内容可以被用来进行组合,发起针对全员的信息安全管理体系培训,当然也可以挑选适合特定业务岗位人员的内容,或者定制创作培训内容,以便发起有针对性的安全意识宣教活动。

欢迎联系我们,获得作品清单,预览作品,以及洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

信息安全不是意识形态“制脑权”的争夺

近日,关注军事频道、网络战争和互联网舆论监管的人们应该对“制脑权”不陌生,话说这未来的战争,很可能是网络媒体之间的战争,是意识形态领域的战争,是认知空间上的战争。只有打好网上舆论斗争的主动仗,才能争得话语权,赢得制脑权,最终夺得制胜权。

同时我们也看到有一些疑问和不同的意见,比如:为什么要“制脑”呢?“制脑”是不是“洗脑”?“制脑”和“愚民”有什么区别?昆明亭长朗然科技有限公司安全顾问James Dong对此进行了一些简单的考证,发现人们对“制脑权”的概念有一些不同的理解。最初,郑友林著书《制脑权》中对此的概念是:在全球的经济竞争中,掌握了知识与智慧,人才与速度,就掌握了“制脑权”的机遇,从而就可以在竞争中获胜,创造财富。

我们不是国家安全和政治军事方面的专家,所以不敢妄谈在信息化战争领域中认知空间和思想意识争夺的重要性。但是从浩瀚的人类历史上看,精神文化的传播往往主要依靠经济活动,比如古希腊文明席卷欧洲靠的是希腊商人,基督教的起源和传播也与擅长经商的犹太人密不可分,中国佛教的起源也和信奉佛教的千万西域商人聚居东汉都城洛阳紧紧相关。

让我们从逻辑层面想一想,外来文化不是拿来把玩儿的东西,而是附属于经济实力的,经济实力的领先才会造就文化的领先。所以,我们与其说以美国为首的西方资本主义国家在对我们实施潜移默化的认知空间思想攻击,倒不如说是他们对我国发起强大的全球经济活动入侵。让我们问一问,为防止经济侵略,能关掉对外开放的大门吗?苏联解体东欧剧变时中国也很担心美国会搞“和平演变”,校长拿尼克松出的书《1999不战而胜》来教育我们,邓南巡才让这事儿给冷却下来。

我们今天谈信息安全意识,也得注意“制脑权”,知晓和重视信息安全意识教育的多数还是一些外向型的公司,比如外资公司以及合资公司。为什么呢?因为以美国为首的西方资本主义国家在信息技术方面更为领先,在信息安全管理方面更为发达。对员工进行信息安全意识教育如同向员工灌输职业道德操守和日常行为规范一样,是领先文化内容的一部分。

中国近些年对外办了不少孔子学院,在传授汉语的同时,也在灌输意识形态,借此影响对中国的评价。中国崛起之势不可挡,但是由政府来组织对外输出意识形态,使用非经济手段来制老外的脑,这种手法可取,但效果不会太好。反过来想想,假如街头开了些巴西语培训班,都有多少什么人会参加呢?我们要对外输出有利于我国的文化价值观,就得依赖经济手段,依赖拓展海外的中资公司,让来自中国的跨国公司要对外展示中国的文化魅力,这才是正道,才能在对外文化推广方面收到有效的成绩。

文化大革命对传统的中国文化进行了大规模的破坏,不过近些年的国学回归活动已经让人们看到重拾信心的希望。在信息安全意识方面,我们无疑也需要正确的战略指导,需要热衷于中国优秀文化的信息安全思想家、理论家和实践家,也更需要一些商业公司方面的力量。在这一个细分的边缘领域,亭长朗然公司无疑是这方面的探路者和先行者。James说:如同企业管理思想和智慧一样,信息安全管理可以借鉴的传统文化元素有很多,其中有太多需要被深度挖掘和发扬光大。但是在前期无疑我们需要“西为中用,中西结合”的战术,先建立起一套框架,再拿博大精深的中国文化精髓来不断丰满和润泽内容。

有时人在年轻时,自己的娘说的话的一句听不进去,人家的娘说句话,顶自己亲娘的二十几年的养育之恩。来自中国的跨国公司通过领先的经济实力和优秀的文化来影响西方国家的员工,进而征服和控制更大范围内的人心。

文化的融合依赖商业的往来,亭长朗然公司,对国内的外资及合资公司,我们引进海外优质信息安全意识资源;对开拓海外的中资公司,我们帮助建立全球信息安全合规文化,并助客户借此向外推进灿烂的中华文明。我们帮助走进来和走出去的各类公司推进企业安全文化交流,增加理解和互信,并借此让世界更加的平安、和谐、美好。