缺失的信息安全方针政策

信息安全方针也称“信息安全政策”或“信息安全策略”,您的组织有信息安全方针吗?昆明亭长朗然科技有限公司的一项安全调查表明:近半数人们并不清楚,而剩下的受访者中近半数表示没有,近半数表示有。

搜索“信息安全方针”,我们往往会被引导至日本公司的网站,撇开可能给日本公司带来的商业机会不谈,这至少让本土的信息安全人员们深深感悟到中日两国在信息安全管理之上的差距。

信息安全爱好者或技术人员往往期望能够推动公司内部的信息安全体系建设,不过这往往难获得成功。昆明亭长朗然科技有限公司的资深安全顾问James Dong说:因为信息安全管理是至上而下的体系,成功的关键要素是公司最高层对信息安全的重视和承诺。除此之外,还有更多如下因素:

由于历史的原因,中国的中坚人才出现过一段时间的“断层”,特别是在国际化、标准化方面的管理人才十分匮乏。不过,改革开放以来,知识技能得到了重视,英雄得以用武之地,再加上人才培养和交流机制的作用,不少社会精英早已经爬到各类型组织的高管层。尽管如此,至少在信息安全管理层面,我国的社会精英们与发达国家之间的管理水平差距还相当遥远。

从产业层面探讨,信息安全管理水平和信息化水平密不可分,中国人基数大,多数领域内手工操作可能优于自动化或信息化,对信息系统和信息数据的安全要求可能不会太高,安全管理水平落后是情理之中可以理解的。

从文化差异方面来探讨,中国人的文化强调和谐一致,而不像西方人那么重视个人独立,所以在,中国人的隐私保护观念极为落后,而隐私保护无疑是个人信息安全保护的重要的推动力量,这方面的薄弱很大程度上影响着多数安全管理负责人对信息安全的态度。

从社会法制层面来看,我国几千年形成的人治体系不能在短时间内消亡,多数人还是乐意凭关系而不是凭规则来办事,法律观念的淡漠表现在对专利版权和规章制度的态度之上。如果人们不重视自己和他人的智慧财产权保护,随意使用盗版资源,同时把法律法规和规章制度当成摆设之物,信息安全管理也难以在这个大环境中取得突破。

尽管上述种种原因可以为信息安全管理负责人的不作为找借口,我们不需要背负历史的深重罪责,但是我们需要看到未来,看到希望。亭长朗然公司的James说:在品质管理上,精品国货与服务已经取得了阶段性的成功,但是我们可以看到重获消费者信任的路途很艰难;在环境保护领域,先破坏再治理让我们付出了深重的代价;在信息安全领域,我们不能再忽视对客户或自家关键信息数据或信息系统的安全保护,这不仅关系着我们的核心竞争力,更是关系着组织的信誉。

您的组织有信息安全方针吗?不要再纠结这个问题,立即行动起来,建立和更新组织的信息安全方针吧。信息安全方针政策,不仅仅是一份文件或口号,更应该是对股东、客户以及合作伙伴们的承诺,还是信息安全管理体系的关键组成部分。

保障信息安全策略的设计开发和有效执行

各类组织机构如公司为了保护信息资产的安全,需要设计开发适当的信息安全策略(也称方针或政策),更重要的是需要将信息安全策略发布给所有员工,甚至客户以及合作伙伴。

设计开发信息安全策略仿佛很简单,国际上有成熟的标准体系、行业里也有相关的安全法规,也有些模板可以供参考和拿来进行修改,说到底,信息安全策略常常被各类组织信息中心负责人看作是繁杂的文书工作,便简单委派给文秘相关的人员。

实际上,信息安全策略远不是能交给部门秘书或文笔较好的职员能充分胜任的,最重要的原因是安全策略的制定不能脱离公司的业务环境。昆明亭长朗然科技有限公司的安全管理顾问Bob Xue说:多数国内组织机构的信息安全管理仍然很依赖“人治”的混沌水平,主要原因是领导和下属们的文档意识并不够,这和跨国公司依赖规章流程来进行信息安全管理有很大的差距。

为了应付各类信息安全管理相关的检查和审计,多数组织不得不炮制出许多临时的“信息安全手册”,包括诸如安全策略、标准、流程等等,甚至有制作出相关的“记录”和“证据”,更有下大力气召开信息安全动员会,领导挂帅发动信息安全突击项目……

多数的结果是:运动战式的信息安全突击项目往往都是短视行为,一阵风过后,领导又要忙于其它项目,似乎并也不那么在意信息安全了,下属员工们在安全自律方面也松懈了……

问题在哪里呢?亭长朗然公司的Bob说:大量的安全管理文件都是公司内部的少数人员依据标准体系或法规遵循而“闭门造车”出来的,这显然脱离实际的工作环境,容易造成“曲高和寡”,不能被多数员工们所理解。目前只有极少数的公司信息安全负责人拥有安全管理方面的智慧,他们往往会将信息安全相关的文件体系分级委派给各个不同层级的部门和岗位,由这些部门的领导主管和信息安全协调人员们根据部门和岗位的实际情况撰写适合自身的“信息安全作业流程”。

当然,信息安全负责人可能需要出台在整个公司范围内所通用的安全方针政策和标准流程,但是更多的工作却是培训和指导各部门的领导主管和信息安全协调员,要让他们了解信息安全管理的基础智能和理念,以及提供必要的安全技能培训,让他们有能力撰写出合格的“信息安全作业流程”。

在撰写“信息安全作业流程”时也有一个误区,有公司信息安全流程负责人可能会拿出固定的模板,让各部门协调人员照样子搬抄,这是偷懒、不专业也不负责的做法。的确,整个公司范围内的“信息安全作业流程”应该遵循一些标准,比如至少要有作业流程的目标、流程中人员的职责、相关的信息输入和输出、必要的流程控制点和流程本身的所有者和维护信息等等。这些都是必要的,然而,这些并不是沟通和培训的关键。

那么关键的问题何在呢?亭长朗然公司Bob说:至关重要的是要让各部门领导和信息安全协调人员了解如何真正让信息安全作业流程发挥必要的安全控管目标,比如要让真正需要得到保护和控制的信息资产被识别出来,要知晓人员如何与信息及系统进行互动。

要了解人员与信息及系统之间的互动至关重要,因为工作流程要这些信息及系统的使用者们来执行,安全作业流程同样也要让他们来遵循。

在完成了适当的信息安全管理文件体系“信息安全手册”的建设之后,重要的不是搜集执行的结果——“记录”或“证据”,因为执行信息安全作业流程的主体是人员,而不是系统,所以重要的是加强与信息安全作业流程的使用者之间的沟通。

沟通的目的当然不仅仅是让信息安全作业流程得以顺利遵照执行,还有一个目标是强化信息安全策略的效力。沟通是双向的,但受众主要是信息安全作业流程的使用者,这里面可能并不限于公司内部员工。沟通的手段无非是培训和再培训,普遍性的安全方针政策和标准流程培训可以在全公司范围内实施,由信息安全管理领导负责人来牵头进行全员信息安全意识教育比较好;关于各特定部门和岗位的独特性培训,则需由信息安全负责人与各部门领导及安全协调人员进行磋商,以便合理分配和有效利用安全培训资源。

借助对信息安全管理的深刻理解和认识,信息安全意识教育业界领导厂商昆明亭长朗然科技有限公司不仅提供普遍性的信息安全意识培训课程,更能针对每家客户的独特性而量身定制安全意识沟通课程,这些无疑能够帮助客户强化信息安全方针政策和作业流程的有效执行。

如果您有兴趣了解更多内容,欢迎联系我们获取更多详情。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898