ISMS

发动信息安全管理体系项目

admin

科技创新是当下的主旋律,建立信息安全管理体系,对于很多成长中的科技企业来讲,是一条必走的路。从外部来讲,市场、客户、监管机关都会有网络信息安全方面的要求,从内部来讲,核心部门和关键人员都有保护知识产权、商业秘密和竞争力的要求。

准备工作

如何发动信息安全管理体系项目呢?通常来讲,是急不来的,实施的前期预备应至少包括以下四个阶段:

  • 提升认知——开发并取得包括董事会、高级管理层和关键职能经理之间的理解,关于为什么需要信息安全管理体系,以及哪些需要参与进来。
  • 加强学习——建立并深度开发信息安全管理体系工作项目组和需要直接参加项目的人员的技能和知识。
  • 确定范围——制定哪些在信息安全管理体系范围内,哪些在信息安全管理体系范围之外。
  • 制定策略——为组织开发并发布信息安全政策。这项政策规定了在业务目标范围内的信息安全管理体系的方向。

意识认知

注意:信息安全管理体系的部署是一个商业项目,而不是技术或IT项目。因此,除非获得会对业务的成功有重要影响力的董事会、高层管理及高阶业务和职能经理们的积极支持,否则项目会失败。

ISO 27001标准明确规定,管理层“应当提供其承诺的建立,实施,运行,监督,审查,维护和改进信息安全管理体系的证据。”在此,标准中明确要求了相关的控制和持续改进,任何制定和实施信息安全管理体系的组织必需得到高阶管理层的充分参与。该标准支持的论点是,如果没有高层管理者的支持,组织根本无法实现一个有用的信息安全管理体系,更不用说取得被认可的认证证书。

认知工具箱

最常用的开发意识认知的方法包括:

  • 采购和分发信息安全管理体系标准
  • 邀请内部或外部专家进行关于标准和实施要求的演讲和研讨会
  • 使用电子屏幕播放信息安全知识动画视频
  • 使用在线电子学习或其他内部沟通和培训工具
  • 大规模人员的集中讲解和培训学习班

重要的是,所有的意识建设活动需集中体现该组织从信息安全管理体系实施中可获得的具体利益,以及该组织面临具体的威胁及风险,因为这样做有助于建立参与这一进程的所有工作人员的理解和承诺。对此,昆明亭长朗然科技有限公司信息安全意识专员董志军表示:商业组织对此的认知越来越强烈,在人力资源越来越高企,时间就是金钱的当下,信息安全意识活动应该更为精准和高效。使用工作环境中根本不能出现的安全意识场景,让员工学习对工作安全威胁没用的教学片,简直就是在白白浪费金钱。

欢迎信息安全管理人员联系我们,预览我们的作品,然后选择适用的,即不浪费采购费用,也不浪费职员们的学习时间。

昆明亭长朗然科技有限公司

保持和改进信息安全管理体系

admin

在获得了信息安全管理体系的评审之后,组织机构可以暂时放松并庆祝一下。但是,不要以为从此就可以高枕无忧,对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示说:保持和改进信息安全管理体系,维护ISMS认证证书的有效性,需要组织证明其尽职尽责。

保持和改进相关的内容非常简短,它反映了ISO 27001条款的简单需求,即PDCA中的A,相关条款列出了从前面C监控和评审活动中学习到的所有东西的要求,它们需要得到实施。它也和ISO 27002有密切关联,包括持续改进、纠正措施、预防措施,它描述了这项活动的目的和它一定要成为组织信息安全管理体系日常管理工作中的必不可少的一部分。

管理评审

这里也和管理评审有关系,管理评审应该导致“采取适当的纠正和预防措施”,以及随时随地推进可能影响ISMS的变革,和改进的建议。

需要注意的是纠正性和预防性措施应基于风险评估的结果区分优先级别。

分析和评估风险对任何组织都是必需的核心竞争力,对实现和维护ISO 27001标准认可的认证非常重要。标准的最后语句也指出:“对非符合项的预防措施通常要比纠正行动更具成本效益。”它总结了标准基于风险的,具有成本效益的,常识性的方法。

绩效评估

信息安全管理体系的认证审核内容当然也会包括此“行动”(PDCA之A)步骤,以考察组织对方法论的理解和执行情况。正式版的ISO 27004专门用于指导对信息安全管理的绩效评估。这一标准提供各类组织如何衡量和报告他们的信息安全管理体系的有效性的方法。它涵盖ISO 27001中定义的信息安全管理流程和ISO 27002中定义的安全控制。

为了便于评估信息安全管理体系的有效性的,ISO 27004提供用于开发和使用的测量和评估指南和建议,包括信息安全管理体系策略和目标,以及ISO27001中特别指定的安全控制。
ISO 27004标准也适用于实施信息安全管理体系的各类规模的组织。

这些衡量应该允许信息安全活动得到有针对性的评估、各个阶段的信息安全活动达到得的各项水准得到监控,各类不同的组织也可以得到相应的参照值,并进行信息安全有效性的评比。

美国国家标准技术研究所NIST也有发布相关的信息安全绩效评估指南,编号文档:SP800-55。它是开发信息安全管理体系的衡量和矩阵的指南。

补充之话

信息安全管理体系是一个动态的不断循环改进的过程,信息安全管理者需要注意不断改进工作,并保持工作记录,以证明在不断维持和改进信息安全管理体系。简单说,就是要按科学的方式工作,并且“秀”出来。很多从信息安全技术转至管理岗位的人员,对文档和记录的注重度不够,这就会在后续审计工作时遇到麻烦,需引起警惕。

昆明亭长朗然科技有限公司以帮助提升客户职员的信息安全意识为己任,创作了大量的知识内容,同时,针对管理层,我们也设计和制作了相关的安全管理知识课程,欢迎有兴趣的信息安全管理负责人员联系我们,共同研究和探讨安全管理治理话题。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898