GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

企业信息安全管理体系的实现过程-1

分享:

随着信息化在各个企业应用的深入,已经成为企业的核心,在有些行业IT的应用已经影响到企业的正常运营甚至生存,因此已经有越来越多的企业把信息安全工作提到了重要层次上来,开始建立自己的信息化安全体系。

而作为“体系”,它包括了:组织、人员与职责,制度与流程,监督审计,优化等几个方面的内容,因此建立信息化安全体系是一个非常复杂的过程,它涵盖的安全领域多(在ISO27001中有11个域的内容),涉及到组织的各个业务部门,因此在协调和组织上的难度是显而易见的,同时体系的落实需要技术、运行、管理上的配套支持,所以它的设计和落实都需要一定的方法论来支持指导。

大致来说,一个有效安全体系的建立,需要经历以下几个阶段:

1、组织现状了解。

目标:了解组织信息化安全的现状,汇总信息安全风险,获得真实信息以供下一步的分析与评估。

方法:收集组织现有信息安全相关资料,组织和相关部门人员的现状了解和讨论会更大限度获得信息,通过必要的技术手段对信息系统进行测试以评估确认目前信息安全问题。

2、差距分析与评估。

目标:依据相关标准,结合了解到的现状,有针对性的对组织各个信息安全领域进行深度对比,找出现状与标准的差距,并制定改进方案和建议。

方法:参照ISO标准的风险与差距分析,参照等保标准的风险与差距分析,从IT流程、信息资产和应用系统三个角度,按“决策类、管理类、操作类和技术类”四个领域来分析评估。

3、安全体系规划。

目标:通过分析评估,为企业的未来信息安全建立设计整体的体系架构,可以依据实际情况划分短期,中期和长期阶段目标。

方法:体系规划包括技术体系,组织体系,运营体系,规则法规体系等。

4、体系建立。

目标:建立覆盖组织、人员与职责,制度与流程,监督审计,优化等方面的一整套信息安全管理和运营体系。

5、体系运行。1)按照建立的信息安全体系,参考资源、重要性和难易程度等因素,选择部分环节进行试运行。 2)根据部分环节的运行进行评估调整。3)正式全面运行。

6、体系固化.

目标:通过各种有效方法,确保体系的得到贯彻和执行并保证在贯彻和执行中不走样不变形。

方法:可以通过表单或者信息化等手段实现管理,执行流程的固化。

7、体系优化

目标:连续收集体系运行信息,通过分析和评估有针对性的改进优化安全体系,完善信息安全体系。

当然,对于一个企业来说,信息安全管理体系的建立是一个重大的项目,因为涉及面广,影响范围大,因此需要来自公司高层的有力支持。所以以上7个步骤的实施,应该有来自高层的大力支持能顺利推进。

分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77136

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯