信息安全

浅晰信息安全管理系统的文档要求和记录控制

admin

设计和实施管理系统的关键原因之一是使组织能够认识自己的现状,在能力成熟度模型方面,它被称为一个“混沌”的组织。“混沌”组织没有一个固定的程序,或流程,结果很大程度上取决于人们的表现,而人们却花了很多时间在“消防救火”上,比如不停地修复软件错误和解决突发事件。对此,昆明亭长朗然科技有限公司信息安全管理学院的院长董志军表示:如何走出“混沌”的困境呢?在缺乏“法治”文化环境的亚洲国家,尤其需要注意逐渐建立并完善可执行的工作流程。那些不具执行力的,或者只是为了走走过场或者秀一秀的,就最好不要浪费人力物力去弄了。如何是“可执行”呢?很简单,对比管理流程与执行结果(记录文件)。

ISO 9001:2000是一个众所周知的获得广泛实施的质量保证或业务流程管理系统。如果该组织没有和ISO 9001认证管理体系兼容的文件控制体系,组织则应当获得ISO 27001的4.3条中涵盖的关于文档控制和记录问题的指导手册。

文档控制要求
ISO27001明确要求管理制度要记录在案。控制A.10.1.1明确要求的安全程序要被记录、维护、并提供给所有需要它们的用户。
其他在附件A中有明确的文件要求的包括:
* A.7.1.3可接受的资产使用
* A.8.1.1记录在案的人力资源安全的角色和责任
* A.11.1.1访问控制策略
* A.15.1.1鉴别适用的法律法规

许多其他的控制需要“正式”程序或者“明确”的沟通,而这些可以在技术上不被记录而实现,期望是所有的流程和程序都被记录。

ISMS文件的内容
文件必须是完整的、全面的、符合标准的要求并且适应每个组织不同的需求。符合要求的ISMS将有充分的记录。ISO 27001描述了ISMS所需的最小的文档体系,表明该组织保持了足够的记录,用以证明其遵守规定与标准。这些文件包括:
* 信息安全政策,ISMS的适用范围声明,风险评估,各种控制目标和适用性声明。总之,这些构成了ISMS的政策手册。
* 组织和它的管理层在ISMS的指定范围内采取的行动的证据(包括董事会会议和指导委员会会议的记录,以及其它的特别报告)。该标准规定,应记录管理层的决定,这样所有的行动都应追溯到这些决定和政策,任何已记录的结果应可以重复记录。
* 一个管理架构说明(包括指导委员会等等)。这和组织结构图可能是有相关的,非常有用。
* 风险处置计划和实施每一个指定的控制措施的基础文件程序(其中应包括责任和需要采取的行动)。一个程序描述包括,谁必须做什么,在什么条件下,或什么时候 以及如何做。这些程序将是政策手册的一部分,本身可以是纸张或电子的。标准还规定,选择的控制之间的关系,风险评估的结果和风险处理过程,以及ISMS的 政策和目标,都应该得到展示。
* 有关ISMS的管理和审查的治理流程应包括责任和必要的行动。
并不是所有组织都要实现一个同样复杂的文件结构。标准指出“由于组织的不同,ISMS文档深度可以有所不同,这些不同包括组织规模和活动的类型;安全需求和被管理系统的范围和复杂度。

记录控制
标准关于记录控制的要求对那些已经实施ISO 9001的人们来讲非常相似。因为4.3.3条规定,记录的保留是为了提供证据表明ISMS的符合标准的要求。在正常的期限中,组织也有法律法规监管所要 求的其它记录需要保存。这些记录是为了展示ISMS的有效性,这些记录必需得到良好控制,记录的内容要真实、准确、清晰和易于识别和检索;这就意味着,特 别是对电子记录,即使硬件和软件已经升级,对它们的访问必须得到保留。

附件A文件控制
附件A中有进一步的ISMS文档相关的控制要求。它们也是很重要的,这些控制包括:
* A.7.2.1分类指导原则,它处理保密分级
* A.7.2.2处理信息的标签,其中涉及不同保密级别的信息和信息媒介如何被标记
* A.15.1.3保护记录,其中涉及保存组织文件
* A.15.1.4数据保护和个人隐私信息。

文件层级
按照一般管理体系的惯例,通常是由四个层次构成的,不过也有小型组织将第二层和第三层综合一起以简化文档管理的:

第一级–安全政策手册
它是管理架构的摘要,其中包括了信息安全方针政策和控制措施目标,以及适用性声明中所提及已实施的控制措施。

第二级–各类程序文件
程序用来实施所要求的控制措施,描述由谁,做什么,在什么条件下或什么时候,以及如何做等的安全流程。

第三级–具体的作业指导书、检查清单等
解释特殊工作和活动的细节,以及如何完成特定的工作。包括详细的工作指导书、表单、流程图、服务标准和系统手册等。

第四级–记录文件
实施各项流程的执行记录成果,以符合上述1、2和3等级文件要求的客观证据。

补充与剖析

在实际工作中,我们可以看到:有很多专业人员不喜欢弄文档,也不喜欢受流程的“束缚”。他们觉得制作PPT、工作报告和作业记录是文职人员干的,其实这种想法非常错误。程序文件用来指导工作,文件记录是工作的输出内容之一,也是关键的证明物。因此,记录文件应该是信息安全管理工作的重要组成部分,不仅专业人员应该注意调整自己的认识,管理人员也应该特别注意文档体系和记录控制,不能仅仅交由熟练Office办公软件的下属去弄。

“混沌”的组织缺乏制度化的管理文件,也缺乏制度化管理的输出记录。“成熟”的组织也没有多么高强,只是在不断地创建和更新制度文件,并严格地执行。人是容易忘记很多事情的,也容易流失或扯皮。如果组织在信息安全管理方面有了文档记录,就相当于人类在漫长的进化过程中有了文字片的历史记录,因此可以不断促进文明向前发展。

昆明亭长朗然科技有限公司认识到制度化、流程化对于信息安全管理的重要性,因此,我们在针对全员的信息安全意识培训课程内容中特别强调安全政策标准、规范流程等的重要性,也会讲解各种安全控管措施的精要内涵,以便受众可以理解并认可相关的管控精神。我们深信,只有用户认可了信息安全要求,他们才会认真遵守。我们有大量的安全意识宣教素材内容,并不断进行开发创作中,欢迎有兴趣的客户联系我们,预览作品或进行业务合作洽谈。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

信息安全护驾数字时代

admin

在我们的数字时代,保护敏感数据已变得至关重要。许多行业,例如金融、医疗保健和电子商务,都严重依赖信息安全。网络攻击构成重大威胁,因此强有力的安全措施必不可少。通过投资信息安全,组织可以降低风险并获得竞争优势。信息安全确保信息的机密性、完整性和可用性。

  • 机密性是指保持数据的私密性并防止未经授权的访问。通过保密,组织可以保护个人数据和商业秘密。
  • 完整性确保数据在其整个生命周期中保持准确、不变且值得信赖。维护数据完整性可以建立信任、防止欺诈并维护信息的价值。
  • 可用性意味着授权人员可以在需要时访问数据。确保可用性可最大限度地减少中断并实现平稳的业务运营。

信息安全还可以防范各种威胁,例如黑客攻击和数据泄露。通过实施安全措施,组织可以有效地检测和预防这些风险。如果未能保护信息安全,则可能会导致经济损失、声誉受损和法律后果。此外,信息安全还可以帮助组织遵守法规要求和标准。

只有当人们相信自己的信息是安全的时候,他们才会更倾向于参与在线活动。因此,信息安全对于构建安全可靠的数字生态系统具有举足轻重的作用。通过保护数据机密性、确保完整性和保持可用性,我们可以捍卫我们的数字未来。

了解信息安全的重要性对于个人和组织至关重要。那么,组织该如何做些什么以保障信息安全呢?遵循如下一些准则可以保护个人和组织:

  • 实施强密码、加密和防火墙,它们是关键的安全实践。
  • 定期更新软件并对员工进行安全风险教育也至关重要。

根据一项跨国机构的网络安全情报指数,95%的网络安全事件是由人为错误引起的,防火墙无法阻止员工们遭遇网络钓鱼、社会工程和电信诈骗。那么,该如何赋能员工们,让他们成为信息安全“高手”,以减少人为错误造成的安全事件呢?

让我们仔细看一看昆明亭长朗然科技有限公司推出的这份安全意识宣教计划方案:其中有45分钟的完整信息安全基础课程,用于对全体员工和新入职员工进行安全意识培训;每隔一个月还有邮件通讯,让员工可以在5分钟内了解和跟进最新的信息安全动态和威胁;每隔一月还一份有趣的信息安全视频,让员工们的信息安全意识在5分钟的轻松时光里得到刷新和升华;每半年有一份安全测试,每次只需10分钟时间,即可让员工们的安全意识在颇具迷惑性的挑战节目中得到评估和检验!

通过订阅该计划方案,信息安全管理人员可以快速拥有和开始使用专有的信息安全在线学习网站,和定期更新的信息安全意识培训内容。通过该安全意识计划,还可以及时同员工进行沟通,获得他们的反馈,倾听他们的声音,评估他们的意识水平以及通过紧密的协同合作来建立组织的信息安全文化。欢迎有兴趣的客户及伙伴联系我们,预览、体验样品,以及洽谈业务合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com