信息安全策略的制定

制定信息安全政策的缘由

地球人都知道信息安全的目标是为了保障组织信息资产的安全、降低组织的风险,然而,为什么要服从信息安全管理呢?对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:信息安全管理需要“师出有名”,要围绕安全目标,制定和发布相关的信息安全对策和战略。

ISO 27001要求在计划阶段的第二步制定信息安全策略。

标准要求组织制定信息安全政策。这项规定也包含在附录A的相应控制措施之中,它也是ISO 27001众多章节的最前面一章,并且受到ISO 27002最佳实践指南的支持。ISO 27002章节相关条文扩充了ISO 27001附录A中同样编号的要求,并且符合ISO 27001的规范。它解释说,将政策文件作为控制目标的一项的原因是,它提供“为信息安全对业务需求和有关法律法规的依从提供管理指导和支持。”

政策和业务目标

条文接着指出,政策文件应设置为“符合经营目标的明确的政策方向”。该标准的观点是,一个成功的和有益的信息安全管理体系将不会破坏或阻止商业活动。实施阻碍业务活动的系统来应对风险,这并不与商业目标相一致,这样的话业务内部的人们将会忽略或绕过信息安全管理体系的控制。

信息安全政策是重要的,必须制定到使每个字都是清楚的、明确的和有意义的(即提供一个“明确的方向”)。最后的政策确定是根据该项目范围的完成而定。范围的划定,即成功实施ISO 27001的九大关键要素之一,对政策的定义有着举足轻重的贡献。

信息安全政策必须由董事会签署通过,并通过恰当的方式发布给那些需要用到它的人们。

信息安全治理和信息安全管理体系

关于信息治理,信息安全治理委员会绘制了一幅架构图,它展示了管理层如何响应来自业务和其他方面的直接压力来指导、评估和监测信息安全管理体系的有效性。

管理层将评价新的或变更了的业务和IT流程,并考虑当时的风险和业务需要,通过信息安全政策,提供组织以风险控制为基础的指导,将控制措施作为其作业流程的一部分,然后监测和评估这些控制的有效性。

信息安全策略的发布

既然要让人们遵守信息安全方针政策,那么它必须得到高层签署和公开发布。当然,在今天信息充斥的时代,人们可能并不愿意投入时间去主动关注组织的信息安全策略,这就需要信息安全管理团队加强信息安全策略的推广宣传。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构加强与员工的信息安全沟通,我们创作了大量的信息安全意识宣教作品,包括动画视频、电子课件、互动游戏和宣传图片,其中包含基本的、通用的信息安全方针政策和战略思想,欢迎有兴趣、有需要的客户以及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

全球化公司大部分已经制定安全意识培训和沟通计划

安永公司的2013年全球信息安全调研报告显示:仍然有近乎三分之一的受访公司的信息安全管理仍处于“待开发”中的混沌状态,有超过半数的公司已经开发出了信息安全管理流程甚至处于相关成熟的阶段。

我们注意到在安全运营比如防病毒、补丁修复、入侵防范以及加密等等方面,只有7%的公司认为自己尚弱,但在安全意识培训和沟通方面,这个数字却达到了29%,并且不同阶段显得经纬分明,30%处于“成熟”及“非常成熟”的比较满意状态,41%处于中等发展状态。这表明,绝大多数全球化公司已经制定出比较详尽的信息安全意识培训和沟通计划,而且信息安全管理从业人员关注的焦点已经不再是传统中的安全技术使用以及日常安全运行及维护,信息安全管理专家们已经开始关注更高层面的信息安全精神问题,以及改进信息安全和进行安全管理方面的创新优化。

报告再次披露了那个老问题——信息安全缺乏熟练的人手,缺乏管理层的认知和支持,信息安全与业务目标及战略保持一致的困难。昆明亭长朗然科技有限公司国际信息安全态势观察员James Dong说:这个老问题一直解决不掉,实际上并不是问题,其实我们需要新的解决之道——强化信息安全意识培训及沟通,打造信息安全群众路线。一旦所有职员都能通过信息安全课程的学习,了解了基础的信息安全知识和掌握了必备的技能,就会实现人人皆兵或全民皆兵的信息安全立体防御体系,信息安全专业人士的缺乏便不在是问题。而管理层对信息安全的认知和支持不足是个伪问题,管理层可能不懂信息安全技术,但他们知道信息安全对于商业成功的重要性,高管可能不知如何管理信息安全,这就需要信息安全专业人员去主动沟通,针对高管,除了信息安全基础知识,还需要十五分钟左右的信息安全管理沟通课程。关于保障业务目标战略及信息安全目标战略的一致性问题,当业务部门的管理层以及所有员工都了解了基本的信息安全知识和相关职责之时,这还是个问题么?因为他们会在日常工作中将信息安全应用到里面,时刻注意着信息安全,而且在有安全问题或需求时会主动联络信息安全管理部门,这才是信息安全管理的“成熟”阶段。

一个利好消息是2013年的调查显示10%的信息安全管理人员如CISO、CSO、信息安全总监和经理等等已经直接向CEO汇报,而一年前这个数字是零,这是一个非常积极的变化,信息安全意识培训和沟通将促进信息安全管理人员在职业发展上的晋升!昆明亭长朗然科技有限公司通过提供优质的信息安全意识培训教程资源和量身定制的贴心服务来帮助信息安全管理人员实现宏伟的目标。

infosec-global-survey-2013