GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

企业信息安全管理体系的实现过程-4(信息安全规划的制定)

分享:

信息安全规划是企业IT规划的一个组成部分,因此它必须和企业IT整体规划保持一致,这也要求了信息安全规划必须符合企业战略规划和业务需求。

作为IT规划的一部分,组织的信息安全规划实施也遵循相同的方法和阶段。首先,要了解企业、组织目前信息安全的现状(如前文介绍),然后还需要从企业的业务战略出发,以支持未来业务发展和业务模式为目标,整理明确出信息安全的关键需求,在整体的IT规划下进行信息安全体系,架构等的设计规划工作。

第一步是要规划出企业信息安全总体框架,这个框架向上能支持企业业务战略需求,向下是指导安全任务的实施落实的出发点,这个框架可以从业务来规划,也可以从工作内容来规划(如:信息安全治理与组织、信息安全管理体系、信息安全运行和信息安全技术等)。第二部,根据这个框架,再与前一阶段通过信息现状分析整理出的现有问题作对比,制定出企业的信息安全任务列表。第三部,列表中众多的任务中,通过“价值-风险分析”,确定每个任务的优先顺序。这里要特别强调分析指标的选择,要结合组织企业的特点来制定。这里提供几个指标参考:价值指标(对安全能力的提升、见实效速度、对监管要求的符合性、对现有风险解决的效果……),风险指标(任务实施时间、解决方案的成熟度、与其他任务的耦合度,对组织等的变革影响……),最后每个任务都有一个量化评估后的结果,通过“风险-价值矩阵”在四个象限中表示出来。对于“风险小,价值高”象限的任务,应该优先实施。“风险大,价值大”的任务,应该高度重视,先从降低风险的角度予以考虑。“风险小,价值小”的任务,应在综合考虑投资、项目依赖性和风险因素后予以关注。

以上工作完成后,我们可以依据排序结果,项目的关联性和逻辑性,对任务进行再分组,建立专项规划,以此为组织实施和控制单元,并制定出近期,中期,远期的规划,形成企业组织的信息安全规划。

这里要强调的是:信息安全任务的成功首先离不开业务驱动,一定要从业务的角度出发考虑到业务的需求,得到业务部门的支持与配合。高层的支持也是至关重要的因素,因为信息安全任务通常能够涉及到很过部门,需要协调众多部门的资源,甚至还影响到一些部门的切身利益,这不是一个普通安全部门能推动解决的,必须要依靠来自高层的支持。成功还需要一套有效机制,对信息安全任务的实施工作进行有效的管理和监控,保证任务的顺利进行。

分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77131

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯