信息安全管理体系项目需要一个有适当组织架构和资源的项目团队。这是一个常识,它也反应了ISO 27001条款的要求,以及附录中相关章节的控制要求。
那么,为什么要建立信息安全管理体系领导小组或管理委员会呢?昆明亭长朗然科技有限公司信息安全管理顾问专员董志军称:信息安全管理离不开人员People、流程Process和技术Technology,这三者要有机结合,发挥效力,离不开强力的组织和领导,否则不论谁想尝试建立信息安全管理体系,都将是乌合之众玩一玩儿而已,难成气候。
展示管理承诺
ISO 27001条款要求管理层展示其承诺的“建立,实施,运行,监控,审查,维护和改进信息安全管理体系”,并且给出如下需提供证据的步骤:
1.建立信息安全政策,它应该得到正式的讨论,并由董事会或高层管理团队进行签署;
2.确保信息安全管理体系目标和计划的建立,它最好由信息安全管理体系项目团队来完成;
3.建立信息安全的角色和职责,它应从建立ISMS项目团队入手;
4.传达信息安全的重要性给组织,为信息安全管理体系和它的持续改进提供支持;
5.为信息安全管理体系的开发和部署的各个阶段和方面提供足够的资源;
6.决定风险的接受和控制标准,这些标准应在正式的管理会议上完成;
7.确保信息安全管理体系审计的进行;
8.对信息安全管理体系进行管理评审。
项目小组/指导委员会
最高管理者应建立一个由业务牵头的项目小组或指导委员会,负责设计和实施信息安全管理体系。这个团队应该是由一名对业务负责的高层经理来领导,最好的人选是组织的CEO。经验告诉我们,这个团队不应该由IT经理来带领,因为IT经理没有足够的跨业务和商业管理经验及威信,将业务作为一个整体来建立和实施管理制度。
在总经理带领下的项目小组,应包括关键的职能部门经理以及IT和信息安全的技术专家。如果内部没有足够的资源,应该使用外部的技术专长;当使用外部承包商时,要应用和第三方合约相关的各类控制,如保密协议和外部各方。
信息安全协调
控制项要求组织的不同部分的代表在整个组织内共同协调信息安全。在所有除了非常大型的组织里,这个团队应该是信息安全管理体系项目组原班人马。这个团队也被赋予信息安全责任和分配详细的任务,详情见分配信息安全责任章节。
总之,建立信息安全管理体系工作的大部分内容都是沟通交流、协作推进,要让信息安全相关政策得以理解和贯彻,让信息安全管理目标和计划得以认可和执行,让信息安全的重要性和工作要求得以宣导和满足,必须要组建信息安全领导小组或管理委员会,由最高层强力支持、发起承诺并进行指导。对此,董志军补充说:所谓“大海航行靠舵手,万物生长靠太阳”的革命主义思想在信息安全管理体系中的生动体现。尽管信息安全管理不是搞革命运动,更不是倡导个人崇拜和集权主义,但是强调组织领导的关键性作用却是相同相通的。