信息安全管理体系

发动信息安全管理体系项目

admin

科技创新是当下的主旋律,建立信息安全管理体系,对于很多成长中的科技企业来讲,是一条必走的路。从外部来讲,市场、客户、监管机关都会有网络信息安全方面的要求,从内部来讲,核心部门和关键人员都有保护知识产权、商业秘密和竞争力的要求。

准备工作

如何发动信息安全管理体系项目呢?通常来讲,是急不来的,实施的前期预备应至少包括以下四个阶段:

  • 提升认知——开发并取得包括董事会、高级管理层和关键职能经理之间的理解,关于为什么需要信息安全管理体系,以及哪些需要参与进来。
  • 加强学习——建立并深度开发信息安全管理体系工作项目组和需要直接参加项目的人员的技能和知识。
  • 确定范围——制定哪些在信息安全管理体系范围内,哪些在信息安全管理体系范围之外。
  • 制定策略——为组织开发并发布信息安全政策。这项政策规定了在业务目标范围内的信息安全管理体系的方向。

意识认知

注意:信息安全管理体系的部署是一个商业项目,而不是技术或IT项目。因此,除非获得会对业务的成功有重要影响力的董事会、高层管理及高阶业务和职能经理们的积极支持,否则项目会失败。

ISO 27001标准明确规定,管理层“应当提供其承诺的建立,实施,运行,监督,审查,维护和改进信息安全管理体系的证据。”在此,标准中明确要求了相关的控制和持续改进,任何制定和实施信息安全管理体系的组织必需得到高阶管理层的充分参与。该标准支持的论点是,如果没有高层管理者的支持,组织根本无法实现一个有用的信息安全管理体系,更不用说取得被认可的认证证书。

认知工具箱

最常用的开发意识认知的方法包括:

  • 采购和分发信息安全管理体系标准
  • 邀请内部或外部专家进行关于标准和实施要求的演讲和研讨会
  • 使用电子屏幕播放信息安全知识动画视频
  • 使用在线电子学习或其他内部沟通和培训工具
  • 大规模人员的集中讲解和培训学习班

重要的是,所有的意识建设活动需集中体现该组织从信息安全管理体系实施中可获得的具体利益,以及该组织面临具体的威胁及风险,因为这样做有助于建立参与这一进程的所有工作人员的理解和承诺。对此,昆明亭长朗然科技有限公司信息安全意识专员董志军表示:商业组织对此的认知越来越强烈,在人力资源越来越高企,时间就是金钱的当下,信息安全意识活动应该更为精准和高效。使用工作环境中根本不能出现的安全意识场景,让员工学习对工作安全威胁没用的教学片,简直就是在白白浪费金钱。

欢迎信息安全管理人员联系我们,预览我们的作品,然后选择适用的,即不浪费采购费用,也不浪费职员们的学习时间。

昆明亭长朗然科技有限公司

信息安全领导小组或管理委员会的组建

admin

信息安全管理体系项目需要一个有适当组织架构和资源的项目团队。这是一个常识,它也反应了ISO 27001条款的要求,以及附录中相关章节的控制要求。

那么,为什么要建立信息安全管理体系领导小组或管理委员会呢?昆明亭长朗然科技有限公司信息安全管理顾问专员董志军称:信息安全管理离不开人员People、流程Process和技术Technology,这三者要有机结合,发挥效力,离不开强力的组织和领导,否则不论谁想尝试建立信息安全管理体系,都将是乌合之众玩一玩儿而已,难成气候。

展示管理承诺

ISO 27001条款要求管理层展示其承诺的“建立,实施,运行,监控,审查,维护和改进信息安全管理体系”,并且给出如下需提供证据的步骤:

1.建立信息安全政策,它应该得到正式的讨论,并由董事会或高层管理团队进行签署;
2.确保信息安全管理体系目标和计划的建立,它最好由信息安全管理体系项目团队来完成;
3.建立信息安全的角色和职责,它应从建立ISMS项目团队入手;
4.传达信息安全的重要性给组织,为信息安全管理体系和它的持续改进提供支持;
5.为信息安全管理体系的开发和部署的各个阶段和方面提供足够的资源;
6.决定风险的接受和控制标准,这些标准应在正式的管理会议上完成;
7.确保信息安全管理体系审计的进行;
8.对信息安全管理体系进行管理评审。

项目小组/指导委员会

最高管理者应建立一个由业务牵头的项目小组或指导委员会,负责设计和实施信息安全管理体系。这个团队应该是由一名对业务负责的高层经理来领导,最好的人选是组织的CEO。经验告诉我们,这个团队不应该由IT经理来带领,因为IT经理没有足够的跨业务和商业管理经验及威信,将业务作为一个整体来建立和实施管理制度。

在总经理带领下的项目小组,应包括关键的职能部门经理以及IT和信息安全的技术专家。如果内部没有足够的资源,应该使用外部的技术专长;当使用外部承包商时,要应用和第三方合约相关的各类控制,如保密协议和外部各方。

信息安全协调

控制项要求组织的不同部分的代表在整个组织内共同协调信息安全。在所有除了非常大型的组织里,这个团队应该是信息安全管理体系项目组原班人马。这个团队也被赋予信息安全责任和分配详细的任务,详情见分配信息安全责任章节。

总之,建立信息安全管理体系工作的大部分内容都是沟通交流、协作推进,要让信息安全相关政策得以理解和贯彻,让信息安全管理目标和计划得以认可和执行,让信息安全的重要性和工作要求得以宣导和满足,必须要组建信息安全领导小组或管理委员会,由最高层强力支持、发起承诺并进行指导。对此,董志军补充说:所谓“大海航行靠舵手,万物生长靠太阳”的革命主义思想在信息安全管理体系中的生动体现。尽管信息安全管理不是搞革命运动,更不是倡导个人崇拜和集权主义,但是强调组织领导的关键性作用却是相同相通的。