化繁为简——ITRM帮您轻松维护信息安全管理体系
发布时间:2022-04-14 14:57:47 所属栏目:安全 来源:互联网
导读:很多企业都已经建立了信息安全管理体系,来满足业务需求或上层管理部门的要求,其中不乏成功案例,但大家都会面临一个共同的问题,那就是如何将信息安全管理体系(ISMS)持续的运行下去,不断的PDCA达到持续改进的目的,正如我们以往经验所说的那样:信息安
|
很多企业都已经建立了信息安全管理体系,来满足业务需求或上层管理部门的要求,其中不乏成功案例,但大家都会面临一个共同的问题,那就是如何将信息安全管理体系(ISMS)持续的运行下去,不断的PDCA达到持续改进的目的,正如我们以往经验所说的那样:信息安全不是一场运动,而是一个持之以恒的活动,是保证业务安全运行的管理工作,信息安全应体现在日常工作的每一个细节当中。 ISO27001是国际上通用的信息安全管理体系标准,我们以这个标准要求为例,来简单解释一下建立信息安全管理体系以及以后还需要做的工作:首先要获得管理层的支持并确定建立信息安全管理体系的范围,企业还需要做好各种准备和策划工作,包括教育培训、制定计划、现状调研,以及人力和资源方面的调配; 然后在这个范围内收集信息资产以辅助风险评估,识别出风险后选择适用的风险处理措施并进行处理,从整体和全局的视角,从信息系统的所有层面进行整体安全建设,并将其文档化,保持文件化的信息安全管理体系,作为组织实施风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的依据。 下面就简单谈谈维护信息安全管理体系过程中几项关键的工作与ITRM系统的结合之道: 一、识别业务的变化 世界环境瞬息万变,因此一个组织的业务随着市场、政治、科技等方面的发展而变化是非常正常且必然的。然而我们在建立信息安全管理体系时所划定的管理范围是一定的,后续在体系运维过程中首先应该关注的就是业务的变化,然后才是后续其他细节的工作。在一个组织内维护信息安全的目的就是保障业务的安全运行,因此从***意义上说业务是我们保护的对象。而业务的变化对信息安全管理体系的影响是巨大的,可能会导致安全指导方针层面的根本性变化,所以笔者把业务放在***位。 二、识别组织架构的变化 组织外部环境会发生变化,相应的组织内部同样可能根据业务的变化而发生变化,尤其是决策层的变化,可能会影响到对管理体系的支持力度等方面。 组织架构是ITRM系统在进行风险评估时的基础,系统支持对组织架构的灵活调整,并且对后续风险评估等一系列工作都将产生重大影响。在ITRM系统中组织架构是项目范围的因素之一。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐