信息安全管理的科学方法,让信息安全同业务目标保持一致

在过去的几年中,我为大量的组织创建了许多安全方案。由于公司所属的行业、风险状况和文化的不同,每个项目也都不尽相同。决定我使用的方法的最大的差异之一在于执行官的支持程度。

当我拥有高层的支持时,我使用自上而下的方法。我和管理层一起,建立一个启动和实施安全实践的框架。风险管理战略同组织的战略和目标紧密联系。治理 模式和政策也适用于执行战略和整体保护标准。这种方法的关键在于,有了高层的支持,可以协同、一致并有效地利用资源。人员,流程和技术一起工作来共同管理风险和成本。合规是实施了整体安全方案,而非具体目标的结果。

不是很成熟的组织使用自下而上的方法,操作人员在高层制定政策和程序之前加固核心资产。这种方法的问题之一在于,管理层没有为安全方案指定大的方 向,而只是设定了一些诸如数据防泄漏、端点保护、Web应用防火墙等可能和组织整体战略相脱节的目标。例如:合规成了总体目标,基于修复的需要,技术控制 措施被采购和部署。政策和流程被执行应对一个可以感知的威胁或风险,而不是基于回归到一个整体的框架。所采纳的框架(如ISO 27001标准,COSO,COBIT等等)往往只是被选择性的应用。

简单地说,自下而上是一种战术方法,而自上而下是一种战略方法。

一个好的首席信息安全官将帮助执行管理层了解信息安全对业务的重要性,让它成为可提高现有流程和操作效率的业务驱动力。当安全和业务流程保持一致 时,成本与效益的关系变得更容易被理清。但是无论多么优秀的首席信息安全官,如果没有同跨组织的各个部门工作的能力,没有让其他利益相关者加入的能力,自 上而下的办法是不可能的。

如果您想维持一定的成本,并实行有效的安全,您需要得到并拥有整体业务战略的支持——即使用自上而下的方法。一个自下而上的方法看起来似乎是有效的,但实际上它是非常低效率的。

security-for-business-success

员工安全期刊在安全管理中的价值

尽管有不少创新和高效的员工安全意识培训方式,安全意识教育期刊仍然被多数安全管理负责人采用。任何事物的存在都有其客观的道理,这句名言证明了安全通讯刊物仍然有其独特的市场价值。

内部刊物是企业进行员工沟通的重要桥梁,在信息安全领域也是如此。昆明亭长朗然科技有限公司安全培训顾问Alice Wong说:公司需要定期将安全政策、标准、要求和相关新闻动态等等告知全体员工甚至合作伙伴,安全内刊无疑是一种可供选择的重要信息推广渠道。此外,安全内刊也是其它安全意识培训工作的促进力量,多种方式交叉并用,能够帮助形成立体的安全意识教育体系。

刊物创立是否要公司的批准呢?当然需要,除了安全管理本部门负责人的批准之外,根据各组织管理职能的不同,可能还需要内部沟通部门的准许意见。那么,您可能想问:信息安全内容是否能够整合进其它内部刊物呢?通常不可以,因为每种内刊都有其独特的宗旨,其它刊物多数并非专注于安全意识推广教育,所以还是建议自行创造刊物。

刊物是否只是单向的呢?传统上的期刊杂志确实比较缺乏实时有效的互动,充其量是刊载一些并不足够的“读者来信”之类的栏目,而且受限于图片和文字,新型的互动型、支持多媒体音视频的杂志逐渐问世,但多少需要一些特别的制作技能和后台信息系统的支持。

多媒体视频、在线学习、互动游戏、门户、博客、论坛、问答、Podcast、WIKI、微博、社交网站等等方式让传统的内部期刊受到挑战,但是期刊有其独特的价值,特别适合计算机网络覆盖不足的员工群体和分支机构,例如针对于不使用计算机的生产线员工显然基于电脑的各类方式不适用,而大型安全意识宣传活动往往难以轻松覆盖到某些较小型的分支机构,内部信息安全期刊无疑会帮助这些员工紧跟大部队的步伐。

如何有效使用信息安全意识内刊呢?将PDF文档上传到内部安全网站相应的安全意识教育模块,通过邮件发送链接是不错的方式。当然,直接在安全网站上建立HTML格式的网页,免去员工们的往本地的下载,也是不错的主意。至于是否要印刷成纸质的文档或装订成册,则看情况而定,毕竟安全意识教育期刊也能用来装点门面、方便访客阅读或证实公司在安全管理上的努力。

内部安全教育期刊在内容制作上要考虑什么呢?定制是首要的,每家公司的LOGO、主营业务和企业文化多少都有些不同,除此之外,便是安全相关的方针政策、标准规定、操作流程、安全组织架构、安全工具和联络方式等等。此外,即使是通用的安全意识教育内容也可能需要根据实际情况进行词句语法的简单调整。

发行内部安全意识刊物并非是强制性的必需措施,它对安全管理体系的贡献度和它的有效性一样难以衡量,不过尽管如此,我们仍然鼓励安全意识负责人尝试通过这一渠道来丰富安全意识沟通方式。在管理流程上,无非是规划些主要栏目的设置,制定出适合的页面模板,选择好相关的安全意识模块,采购或撰写内容并持续更新……

尽管内部安全意识期刊是最经济实惠的一种沟通渠道,然而办理高质量的期刊却需要安全方面的智慧和激情,尤其是内容的创作和杂志的制作方面,需要付出大量的努力。

最后,伟人说:一个人,做一件好事并不难,难的是一辈子只做好事,不做坏事。发行一两期刊物并不太难,要充分发挥员工安全期刊在安全管理中的价值,贵在坚持不懈和持续改进。

您可以通过联系我们,来预览我们的安全通讯期刊样本。