信息安全策略的制定

制定信息安全政策的缘由

地球人都知道信息安全的目标是为了保障组织信息资产的安全、降低组织的风险,然而,为什么要服从信息安全管理呢?对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:信息安全管理需要“师出有名”,要围绕安全目标,制定和发布相关的信息安全对策和战略。

ISO 27001要求在计划阶段的第二步制定信息安全策略。

标准要求组织制定信息安全政策。这项规定也包含在附录A的相应控制措施之中,它也是ISO 27001众多章节的最前面一章,并且受到ISO 27002最佳实践指南的支持。ISO 27002章节相关条文扩充了ISO 27001附录A中同样编号的要求,并且符合ISO 27001的规范。它解释说,将政策文件作为控制目标的一项的原因是,它提供“为信息安全对业务需求和有关法律法规的依从提供管理指导和支持。”

政策和业务目标

条文接着指出,政策文件应设置为“符合经营目标的明确的政策方向”。该标准的观点是,一个成功的和有益的信息安全管理体系将不会破坏或阻止商业活动。实施阻碍业务活动的系统来应对风险,这并不与商业目标相一致,这样的话业务内部的人们将会忽略或绕过信息安全管理体系的控制。

信息安全政策是重要的,必须制定到使每个字都是清楚的、明确的和有意义的(即提供一个“明确的方向”)。最后的政策确定是根据该项目范围的完成而定。范围的划定,即成功实施ISO 27001的九大关键要素之一,对政策的定义有着举足轻重的贡献。

信息安全政策必须由董事会签署通过,并通过恰当的方式发布给那些需要用到它的人们。

信息安全治理和信息安全管理体系

关于信息治理,信息安全治理委员会绘制了一幅架构图,它展示了管理层如何响应来自业务和其他方面的直接压力来指导、评估和监测信息安全管理体系的有效性。

管理层将评价新的或变更了的业务和IT流程,并考虑当时的风险和业务需要,通过信息安全政策,提供组织以风险控制为基础的指导,将控制措施作为其作业流程的一部分,然后监测和评估这些控制的有效性。

信息安全策略的发布

既然要让人们遵守信息安全方针政策,那么它必须得到高层签署和公开发布。当然,在今天信息充斥的时代,人们可能并不愿意投入时间去主动关注组织的信息安全策略,这就需要信息安全管理团队加强信息安全策略的推广宣传。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强与员工的信息安全沟通,我们创作了大量的信息安全意识宣教作品,包括动画视频、电子课件、互动游戏和宣传图片,其中包含基本的、通用的信息安全方针政策和战略思想,欢迎有兴趣、有需要的客户以及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

浅谈移动计算及云计算时代的网络安全

政府、金融和商业机构越来越依赖于基于移动计算和互联网的交易访问,因此,网络安全已受到越来越多的关注,特别是终端设备的安全以及用户账户的安全。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:传统上,信息总监或经理会认为,数据不应该离开工作区域,政府的数据在行政服务中心,银行的数据在服务网点,商业机构的数据在工厂和门店。移动计算和互联网的发展,让这些传统的工作区域缩减甚至消失了。现在,各类机构的工作区域转移或跳转到了“云端”和“终端”。因此保护这些数据的工作变得更加更具挑战性和复杂性。

据统计,世界上的移动劳动力正在不断增加,从2020年的大约50%,到2030年的至少90%的预计增长。当今的专业工作者被要求在任何地点、任何时间进行工作,当然越来越多地通过任何工作设备。那么,我们如何增强对数据安全性的信任,同时又不使用户体验复杂化呢?正确的解决方案是安全政策和安全技术的结合。对此,董志军表示:各种类型各种规模的组织必须在工作方式上建立和更新安全政策及安全文化,尤其针对在办公室之外的工作。此外,信息安全管理团队必须使用适当的技术工具,以使用户具有信息技术所需的控制性、可见性和灵活性。

加强安全的关键是预防,安全成功的关键起点是安全政策,政策需要人们的理解、认可和执行。因此,制定有人性化的、浅显易懂的、可执行的网络安全政策,是确保新的移动计算与云计算时代信息安全的关键措施。此外,再好的政策也需要沟通,加强与员工们进行信息安全政策的互动宣传,有助于强化员工们对安全政策的理解,只有员工们理解了相关的政策、规则和要求,他们才会认真对待。具体的沟通要注意接地气,不要玩假大空的愚弄玩法,员工们可不傻。正确的安全沟通可以使员工们不仅知道他们应该做什么,而且知道他们为什么要这样做以及不遵守规则的后果。

尽管技术是安全的促成因素,对安全的帮助很大,但是技术不是万能的,技术需要人们来使其发挥安全作用。如果获得网络访问、共享和传输文件的技术简单、无缝和安全,那么它将促进业务成功。反之,操作复杂、难以使用、不被人们所理解的安全技术往往会成为业务成功的羁绊。

总之,所有考虑为其员工提供移动工作解决方案的组织都必须使安全性成为其工作不可或缺的一部分。在移动计算和云计算时代,网络安全解决方案应与工作人员的计算环境相匹配,并应具有解决现代劳动力分散现实所需的灵活性。提供必要的移动工作安全政策及技术措施对于确保远程员工的生产力及信息安全至关重要。只有相关的安全政策和安全技术得到员工们的理解和使用,安全性才能有保障,移动化工作才能真正成功。

昆明亭长朗然科技有限公司常年致力于帮助各类型的组织机构进行员工网络安全意识教育,我们团队拥有丰富的企业信息安全管理经验,对网络安全政策和技术有深入的理解和认识。我们创作了大量的安全意识培训课程资源,同时不断推出新的知识内容,并且为客户提供量身定制的安全教育内容生产服务。欢迎希望更新安全意识教育内容,或者需要创新安全意识内容及形式的客户及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898