信息安全策略的制定

制定信息安全政策的缘由

地球人都知道信息安全的目标是为了保障组织信息资产的安全、降低组织的风险,然而,为什么要服从信息安全管理呢?对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:信息安全管理需要“师出有名”,要围绕安全目标,制定和发布相关的信息安全对策和战略。

ISO 27001要求在计划阶段的第二步制定信息安全策略。

标准要求组织制定信息安全政策。这项规定也包含在附录A的相应控制措施之中,它也是ISO 27001众多章节的最前面一章,并且受到ISO 27002最佳实践指南的支持。ISO 27002章节相关条文扩充了ISO 27001附录A中同样编号的要求,并且符合ISO 27001的规范。它解释说,将政策文件作为控制目标的一项的原因是,它提供“为信息安全对业务需求和有关法律法规的依从提供管理指导和支持。”

政策和业务目标

条文接着指出,政策文件应设置为“符合经营目标的明确的政策方向”。该标准的观点是,一个成功的和有益的信息安全管理体系将不会破坏或阻止商业活动。实施阻碍业务活动的系统来应对风险,这并不与商业目标相一致,这样的话业务内部的人们将会忽略或绕过信息安全管理体系的控制。

信息安全政策是重要的,必须制定到使每个字都是清楚的、明确的和有意义的(即提供一个“明确的方向”)。最后的政策确定是根据该项目范围的完成而定。范围的划定,即成功实施ISO 27001的九大关键要素之一,对政策的定义有着举足轻重的贡献。

信息安全政策必须由董事会签署通过,并通过恰当的方式发布给那些需要用到它的人们。

信息安全治理和信息安全管理体系

关于信息治理,信息安全治理委员会绘制了一幅架构图,它展示了管理层如何响应来自业务和其他方面的直接压力来指导、评估和监测信息安全管理体系的有效性。

管理层将评价新的或变更了的业务和IT流程,并考虑当时的风险和业务需要,通过信息安全政策,提供组织以风险控制为基础的指导,将控制措施作为其作业流程的一部分,然后监测和评估这些控制的有效性。

信息安全策略的发布

既然要让人们遵守信息安全方针政策,那么它必须得到高层签署和公开发布。当然,在今天信息充斥的时代,人们可能并不愿意投入时间去主动关注组织的信息安全策略,这就需要信息安全管理团队加强信息安全策略的推广宣传。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强与员工的信息安全沟通,我们创作了大量的信息安全意识宣教作品,包括动画视频、电子课件、互动游戏和宣传图片,其中包含基本的、通用的信息安全方针政策和战略思想,欢迎有兴趣、有需要的客户以及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

缺失的信息安全方针政策

信息安全方针也称“信息安全政策”或“信息安全策略”,您的组织有信息安全方针吗?昆明亭长朗然科技有限公司的一项安全调查表明:近半数人们并不清楚,而剩下的受访者中近半数表示没有,近半数表示有。

搜索“信息安全方针”,我们往往会被引导至日本公司的网站,撇开可能给日本公司带来的商业机会不谈,这至少让本土的信息安全人员们深深感悟到中日两国在信息安全管理之上的差距。

信息安全爱好者或技术人员往往期望能够推动公司内部的信息安全体系建设,不过这往往难获得成功。昆明亭长朗然科技有限公司的资深安全顾问James Dong说:因为信息安全管理是至上而下的体系,成功的关键要素是公司最高层对信息安全的重视和承诺。除此之外,还有更多如下因素:

由于历史的原因,中国的中坚人才出现过一段时间的“断层”,特别是在国际化、标准化方面的管理人才十分匮乏。不过,改革开放以来,知识技能得到了重视,英雄得以用武之地,再加上人才培养和交流机制的作用,不少社会精英早已经爬到各类型组织的高管层。尽管如此,至少在信息安全管理层面,我国的社会精英们与发达国家之间的管理水平差距还相当遥远。

从产业层面探讨,信息安全管理水平和信息化水平密不可分,中国人基数大,多数领域内手工操作可能优于自动化或信息化,对信息系统和信息数据的安全要求可能不会太高,安全管理水平落后是情理之中可以理解的。

从文化差异方面来探讨,中国人的文化强调和谐一致,而不像西方人那么重视个人独立,所以在,中国人的隐私保护观念极为落后,而隐私保护无疑是个人信息安全保护的重要的推动力量,这方面的薄弱很大程度上影响着多数安全管理负责人对信息安全的态度。

从社会法制层面来看,我国几千年形成的人治体系不能在短时间内消亡,多数人还是乐意凭关系而不是凭规则来办事,法律观念的淡漠表现在对专利版权和规章制度的态度之上。如果人们不重视自己和他人的智慧财产权保护,随意使用盗版资源,同时把法律法规和规章制度当成摆设之物,信息安全管理也难以在这个大环境中取得突破。

尽管上述种种原因可以为信息安全管理负责人的不作为找借口,我们不需要背负历史的深重罪责,但是我们需要看到未来,看到希望。亭长朗然公司的James说:在品质管理上,精品国货与服务已经取得了阶段性的成功,但是我们可以看到重获消费者信任的路途很艰难;在环境保护领域,先破坏再治理让我们付出了深重的代价;在信息安全领域,我们不能再忽视对客户或自家关键信息数据或信息系统的安全保护,这不仅关系着我们的核心竞争力,更是关系着组织的信誉。

您的组织有信息安全方针吗?不要再纠结这个问题,立即行动起来,建立和更新组织的信息安全方针吧。信息安全方针政策,不仅仅是一份文件或口号,更应该是对股东、客户以及合作伙伴们的承诺,还是信息安全管理体系的关键组成部分。