备战信息安全管理体系审核

信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价,使组织在信息安全管理方面有更大的可信性,并且能够使用证书向利益相关的组织提供信心保证。对此,昆明亭长朗然科技有限公司信息安全顾问专员董志军称:信息安全管理体系认证的好处不用多说,在经历了长期的信息安全管理体系建设之后,通过第三方独立而权威的组织的审计,获得ISO/IEC等国际权威机构的认证,是组织机构的高管以及信息安全管理层的重要目标,也是信息安全管理体系成功的一项重要展示奖项。

在允许外部审计师进行正式的认证审核之前,组织很有必要进行一项针对信息安全管理体系的设计和实施的全面的复查。

复查应该由组织的内部审计团队进行,在ISO 27001的章节中有强制性规定内审团队要负责审计活动。

一项全面、逐步的审核很有必要,它不仅能找出安全认证计划中可能漏掉的关键步骤,而且是确保信息安全管理体系得到适当和全面部署的最好的方法。

评审的流程需按照ISO 27001中关于评审的要求得以建立和归档,当一个详细的审核完成后,管理层应该评审相关的发现,并且这些报告应该按照ISO 27001的章节要求进行存档。

通常来讲,高管以及信息安全总监发起信息安全管理体系计划,并对其进行支持和赞助,这就需要有相应的组织团队。同时,也需要信息安全专业人员,ISO 27001就有一些培训课程,典型的比如面向Internal Auditor(内审员)和Lead Auditor(主任审核员)的培训课程,当然,也有面向Executive高阶管理层的信息安全领导课程,以及面向全员的信息安全意识课程。

虽然不比专业的信息安全及审核方面的认证如CISSP和CISA等含金量高,但是这些仍然很值得实施信息安全管理体系的组织和人员参加。

内审员的培训课程一般为三天,适合欲建立一套符合ISO 27001标准的信息安全管理体系的企业,组织中将要执行内审的人士以及IT经理、系统经理、IT安全经理等。

主任审核员的培训课程一般为五天,是内部审核员的进阶课程,适合于想把信息安全管理体系引入组织的人员以及立志为第三方认证机构工作的人员,它如何管理和领导信息安全管理体系审核活动。

请注意,由于组织中信息安全相关人员的职责有些差异,所以相关的培训课程也会不断地变化,例如近些年,很多信息安全培训机构已经更新了相关的信息安全管理体系课程,以便更加有角色的针对性。昆明亭长朗然科技有限公司在成立之初,便创作推出了“九章信安”信息安全管理体系实施课程,该课程由24段动画以及知识讲解视频组成,向众多组织机构的信息安全管理人员科普了必要的知识。近年来,我们创作了大量的针对管理层和普通职员的信息安全意识及最佳操作课程,与人们的日常信息安全实践密切相关,用于提升全员的信息安全能力和素养。进一步,推动组织建立成功的信息安全管理体系,并获得权威机构的认证。

欢迎有兴趣预览作品的客户及行业伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

发动信息安全管理体系项目

科技创新是当下的主旋律,建立信息安全管理体系,对于很多成长中的科技企业来讲,是一条必走的路。从外部来讲,市场、客户、监管机关都会有网络信息安全方面的要求,从内部来讲,核心部门和关键人员都有保护知识产权、商业秘密和竞争力的要求。

准备工作

如何发动信息安全管理体系项目呢?通常来讲,是急不来的,实施的前期预备应至少包括以下四个阶段:

  • 提升认知——开发并取得包括董事会、高级管理层和关键职能经理之间的理解,关于为什么需要信息安全管理体系,以及哪些需要参与进来。
  • 加强学习——建立并深度开发信息安全管理体系工作项目组和需要直接参加项目的人员的技能和知识。
  • 确定范围——制定哪些在信息安全管理体系范围内,哪些在信息安全管理体系范围之外。
  • 制定策略——为组织开发并发布信息安全政策。这项政策规定了在业务目标范围内的信息安全管理体系的方向。

意识认知

注意:信息安全管理体系的部署是一个商业项目,而不是技术或IT项目。因此,除非获得会对业务的成功有重要影响力的董事会、高层管理及高阶业务和职能经理们的积极支持,否则项目会失败。

ISO 27001标准明确规定,管理层“应当提供其承诺的建立,实施,运行,监督,审查,维护和改进信息安全管理体系的证据。”在此,标准中明确要求了相关的控制和持续改进,任何制定和实施信息安全管理体系的组织必需得到高阶管理层的充分参与。该标准支持的论点是,如果没有高层管理者的支持,组织根本无法实现一个有用的信息安全管理体系,更不用说取得被认可的认证证书。

认知工具箱

最常用的开发意识认知的方法包括:

  • 采购和分发信息安全管理体系标准
  • 邀请内部或外部专家进行关于标准和实施要求的演讲和研讨会
  • 使用电子屏幕播放信息安全知识动画视频
  • 使用在线电子学习或其他内部沟通和培训工具
  • 大规模人员的集中讲解和培训学习班

重要的是,所有的意识建设活动需集中体现该组织从信息安全管理体系实施中可获得的具体利益,以及该组织面临具体的威胁及风险,因为这样做有助于建立参与这一进程的所有工作人员的理解和承诺。对此,昆明亭长朗然科技有限公司信息安全意识专员董志军表示:商业组织对此的认知越来越强烈,在人力资源越来越高企,时间就是金钱的当下,信息安全意识活动应该更为精准和高效。使用工作环境中根本不能出现的安全意识场景,让员工学习对工作安全威胁没用的教学片,简直就是在白白浪费金钱。

欢迎信息安全管理人员联系我们,预览我们的作品,然后选择适用的,即不浪费采购费用,也不浪费职员们的学习时间。

昆明亭长朗然科技有限公司

  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:james@securemymind.com
  • QQ:1767022898