GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

企业信息安全管理体系的实现过程-2(组织现状了解)

分享:

作为信息安全体系建立的第一个步,“组织现状了解”包含了“三个阶段,三个方式”。三个阶段包括:调研准备阶段、调研执行阶段和调研总结阶段。三个方式包括:访问面谈、问卷调查和技术测试。这样就有3×3=9个组合,在每个组合节点中有各自的工具,方法论,输入输出等,同一个阶段在三种不同方式下,既有相同点也有不同点。

这个阶段很重要,结果直接影响到后面各个阶段的结果,正所谓“谬之毫厘差之千里”。因此一定要保证这个阶段结果的真实性。但这个阶段可以介绍的东西确实不是很过,因为很多是需要长期积累的,也没有一定的标准,这里只谈一下自己的感想总结。

首先,在调研准备阶段,不论是哪种方式,都需要做很好的前期准备,要“有的放矢”,对重要领导的调研必要时要做演练。大概的注意点包括:

一、首先需要了解必要的行业知识,收集必要资料,尤其是组织结构、流程文件、规则制度等,收集了解相关岗位的作业指导书、SOP。在面谈方式中这个工作更显重要,因为这样你才能有内容沟通,要知道沟通是双向的,如果你能提前了解到被访人员的性格,那更是有帮助的。

二、针对不同领域,安排分配合适的人员对应。兵对兵,将对将。技术对技术,管理对管理。否则大家的交流彼此不协调,没有通用语言。

三、要充分参照利用以往项目的知识积累,提前准备好问题列表。很多领域的知识是通用的,要能充分利用以前的积累,注意知识管理。

四、针对不同的目标人群采用合适的调研方式。面谈虽然能拿到一手资料,但耗费时间,难组织,不适合对所有类型信息的了解。同样,问卷、技术测试也需要针对不同特定的领域来组织。

五、能并行的工作尽量要并行,缩短调研周期。访谈、问卷、技术测试彼此没有制约关系,完全可以并行安排,在三个方式内部,没有逻辑制约关系的也安排并行执行,不要浪费资源。

六、调研计划的制定在时间上要留有余地和应对计划突变的方案,别导致时间浪费。尤其是面谈上,我们会经常遇到被面谈人因为种种原因修改时间的情况,这时候尽量能安排其他替代工作,别浪费了时间,否则这样的情况加起来,时间也是很大的。

针对技术测试的准备一定要注意一点:事前一定要得到被测试部门的正式授权,测试方案要经过审核同意,为避免对业务的影响,还应该共同确定测试时间。

其次,在调研执行阶段也需要注意一些问题,以访谈方式来说,访谈是获得一手信息的有效方式,必须充分利用和重视。有以下心得以供分享:

一、访问人与被访对象一定要对称,知识对称,级别对称。

二、以开放性问题展开,让对方更多的提供信息。

三、不要僵硬的依照准备的问题顺序来控制访谈进展,而是顺着对方的谈话内同选择准备好的问题提问。

四、以上方式覆盖不完的问题,再主动提出请对方提供信息。

五、要具备敏感性,从对方谈话中提炼新的问题。

六、重复对方重点的信息以获得对方的确认。

七、访谈后当面和对方回顾一下访谈的内同,但不是完全内容的重复。

八、一些和人谈话的技巧,礼貌要注意。比如眼睛的接触,肢体语言,语音语速等。

在访谈方式中一定要注意“访谈是谈话,从谈话中获得信息,不是提问”。问卷和技术测试也有很多在执行上需要注意的地方,会找时机另谈。

最后是调研总结。在访谈方式上,访谈结束后要马上整理成访谈记录,并发给对方确认。问卷方式倒没必要这么做,但对协助组织的部门人员也要表示感谢,这个细节是要注意的。技术测试上,也要在合适的时间反馈测试的结果给当事人。不同方式下得到的结果,经过汇总整理,在分析的基础上形成整体的组织安全现状报告提交,这个报告在经过双方评审确认后,这个阶段就算成功结束了。

分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77132

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯