国产高清三级在线_精品国产亚洲在线_亚洲国产色片_夜夜爽夜夜爽视频_禁无遮挡网站_国产精品久久久av美女十八_亚洲五月天丁香_只有这里有精品99

    <abbr id="1jwxi"><noframes id="1jwxi">
      1. 新聞中心
        當(dāng)前位置:新聞中心

        企業(yè)信息安全管理體系應(yīng)投入什么?

        來源: 時(shí)間:2012-05-22 11:02 點(diǎn)擊:

          根據(jù)官方統(tǒng)計(jì)數(shù)據(jù)顯示,截止到2009年3月中國(guó)國(guó)內(nèi)已經(jīng)有180家企業(yè)通過ISO27001國(guó)際認(rèn)證,獲取證書。同時(shí)還有很多企業(yè)已經(jīng)建立了信息安全管理體系(以下簡(jiǎn)稱“ISMS”),盡管沒有選擇此項(xiàng)國(guó)際認(rèn)證,對(duì)于這些企業(yè)及未來即將建立ISMS的企業(yè),為了持續(xù)運(yùn)轉(zhuǎn)ISMS,應(yīng)該在未來投入哪些? iso9000認(rèn)證

          人員

          人員對(duì)于企業(yè)來講是至關(guān)重要且必不可缺的,在ISMS建立過程中,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過程中,人員都應(yīng)該投入多少呢?通常在體系建立過程中,我們會(huì)建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施,且此名專員日后要持續(xù)保留,負(fù)責(zé)維護(hù)各自部門的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。但是做ISMS的持續(xù)運(yùn)轉(zhuǎn)僅需要投入這么多人力么,這項(xiàng)建議屬于專門的人員投入建議。但很多事情是一種企業(yè)文化的培養(yǎng),需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識(shí)培訓(xùn),面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等,因此對(duì)于企業(yè)來講,除了必要的體系維護(hù)人員,在ISMS持續(xù)運(yùn)轉(zhuǎn)過程中,若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi),培養(yǎng)出“信息安全,人人有責(zé)”的企業(yè)氛圍,則會(huì)為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項(xiàng)活動(dòng)的同時(shí),還會(huì)納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與,對(duì)外也樹立起自身對(duì)重視信息安全的形象,大力降低外界給企業(yè)帶來的風(fēng)險(xiǎn)。

          體系

          ISMS自身的持續(xù)維護(hù),往往是企業(yè)建立后容易被忽視的內(nèi)容,一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的,對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧,這項(xiàng)活動(dòng)由于是在標(biāo)準(zhǔn)中明確指出的,企業(yè)通常不會(huì)忽略;但日常對(duì)于這些文檔記錄的更新也是必不可少的,尤其是重要資產(chǎn)發(fā)生重大變更,組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時(shí),都最好對(duì)ISMS進(jìn)行重新的評(píng)審,必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估,有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn),并且可以將資源合理調(diào)配,將有限的資源使用到企業(yè)信息安全的“短板”位置。唯一不變的就是變化,企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的,在更新維護(hù)信息資產(chǎn)清單的同時(shí),對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的,而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn),有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

          工具

          工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面,工具其實(shí)是很大的一個(gè)泛指,例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類工具,即使沒有實(shí)施ISMS,企業(yè)在工具方面的投入也是必不可少的,但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合,經(jīng)常會(huì)出現(xiàn)如何將幾種類似工具充分利用,如何在各工具間建立接口,使數(shù)據(jù)流通共用, 哪些工具應(yīng)該替換更新,數(shù)據(jù)如何遷移,甚至出現(xiàn)新購(gòu)買的工具無人使用或無法滿足業(yè)務(wù)需求等問題,導(dǎo)致資金資源的浪費(fèi),因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過程中,根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告,及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集,應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃,盡量減少資源的浪費(fèi)。同時(shí)在ISMS維護(hù)過程中,往往忽略體系維護(hù)所需工具,現(xiàn)有大部分企業(yè)對(duì)體系的維護(hù)并沒有使用工具,很多記錄都是采用紙質(zhì)或簡(jiǎn)單的電子表格進(jìn)行記錄,甚至日常監(jiān)控、賬號(hào)定期檢查也均采用人工檢查記錄的模式,對(duì)于業(yè)務(wù)規(guī)模不大、數(shù)據(jù)量較小企業(yè)此種模式仍可滿足所需,但隨著企業(yè)規(guī)模擴(kuò)大,手工記錄的模式將不能滿足所需,記錄和文件的版本控制及維護(hù)耗用信息安全專員大量的精力,選擇一種合適的ISMS維護(hù)工具也是大勢(shì)所趨并且至關(guān)重要的,目前市面上的專門用于體系,尤其是信息安全體系維護(hù)的工具還是較少的,各企業(yè)一方面可將ISMS的維護(hù)工作整合到正在使用的各類工具,例如IT服務(wù)管理工具,通過IT服務(wù)臺(tái)記錄跟蹤信息安全事件;通過文件管理服務(wù)器維護(hù)ISMS體系文件;通過內(nèi)部辦公的OA系統(tǒng)進(jìn)行賬號(hào)申請(qǐng)、變更審批等日常工作的記錄等,但這種維護(hù)方式往往導(dǎo)致數(shù)據(jù)分散,統(tǒng)計(jì)困難,或數(shù)據(jù)重復(fù)記錄,給信息安全審核和ISMS維護(hù)帶來很大困難和不便。在此方面,谷安天下自行研發(fā)出此種工具:IT風(fēng)險(xiǎn)管控系列軟件,集合谷安天下多名資深顧問自身信息安全經(jīng)驗(yàn)建立了滿足各行業(yè)特點(diǎn)的強(qiáng)大知識(shí)庫(kù),包括風(fēng)險(xiǎn)評(píng)估管理、風(fēng)險(xiǎn)控制管理、風(fēng)險(xiǎn)運(yùn)營(yíng)管理、風(fēng)險(xiǎn)審計(jì)管理、風(fēng)險(xiǎn)知識(shí)管理5大知識(shí)模塊。

          

          關(guān)于企業(yè)的投入簡(jiǎn)單的從上述三個(gè)方面提出,同時(shí)在企業(yè)文化建設(shè)、市場(chǎng)宣傳、媒體網(wǎng)站等各個(gè)角度均可考慮將信息安全要素納入其中,結(jié)合企業(yè)自身業(yè)務(wù)特點(diǎn),給客戶及合作伙伴一系列的安全體驗(yàn)。此外,在年度管理評(píng)審中,建議企業(yè)能認(rèn)真仔細(xì)的對(duì)一年的信息安全工作進(jìn)行回顧,無論從文件、記錄、工具、人員還是信息資產(chǎn)、資源等各個(gè)角度,回顧信息安全工作給企業(yè)所帶來的變化,以及哪些方面存在問題仍需改進(jìn),認(rèn)真進(jìn)行下一年度工作的規(guī)劃和資源合理分配,只有這樣才能保證ISMS與企業(yè)的業(yè)務(wù)共同發(fā)展,且ISMS能真正在企業(yè)中落地,為業(yè)務(wù)發(fā)展創(chuàng)造安全的基礎(chǔ)。



          作者簡(jiǎn)介:
        黃震,谷安天下高級(jí)咨詢顧問,一直致力于IT服務(wù)管理、信息安全領(lǐng)域的研究,現(xiàn)專注在ISO20000/ITIL、ISO27001等管理體系的建立、整合及過程優(yōu)化;對(duì)金融業(yè)、制造業(yè)、BPO等行業(yè)的IT服務(wù)管理和信息安全管理體系建立和維護(hù)有著豐富的實(shí)踐經(jīng)驗(yàn)。

        本頁(yè)關(guān)鍵詞:企業(yè)信息安全管理體系應(yīng)投入什么?


        上一篇:鄂爾多斯集團(tuán)積極參與羊絨行業(yè)標(biāo)準(zhǔn)化建設(shè) --
        下一篇:IT運(yùn)維服務(wù)標(biāo)準(zhǔn)將出臺(tái) 業(yè)內(nèi)企業(yè)迎來發(fā)展
        亮點(diǎn)咨詢提供:ISO9001質(zhì)量管理體系
        版權(quán)所有㊣:杭州亮點(diǎn)企業(yè)管理咨詢有限公司 ?業(yè)務(wù)咨詢:13732203221?? 咨詢電話:0571-85930213/86799006
        地址:杭州學(xué)院路130號(hào)?E-mail:51ldzx#163.com(#替換為@)??ICP備11001889號(hào) |
        芜湖县| 太仓市| 乐至县| 宁夏| 开远市| 凌云县| 石狮市| 隆子县| 成安县| 斗六市| 遂溪县| 瑞金市| 阿勒泰市| 承德县| 德令哈市| 古交市| 宁津县| 正定县| 铜梁县| 长武县| 青铜峡市| 隆林| 富蕴县| 宜州市| 信宜市| 邢台县| 乐昌市| 黄浦区| 比如县| 长春市| 遵义县| 青州市| 封丘县| 家居| 蓝田县| 南郑县| 饶平县| 千阳县| 华池县| 青田县| 乐都县|