GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

企业信息安全管理体系的实现过程-5(建立ISMS体系)

分享:

ISMS的一种定义:通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。因此从这个定义就不难提炼出信息安全管理体系的要素:组织要素、制度要素、流程要素和技术工具要素,它是组织整体经营管理体系的一部分。因此,信息安全体系是个管理过程而非技术过程。

在组织建立ISMS体系之初,必须要明确以下几个内容:组织要保护的信息资产范围(内部信息、客户信息和共享信息等),组织对信息安全风险管理的途径和方式有哪些,要达到的控制目标和采取的控制措施,以及这些需要保护的资产要到什么样的程度。ISMS体系建立大致可以分为以下几个阶段:

体系框架制定。体系制定夫人核心是要和组织业务结合,满足业务对信息安全的需求,并要确保体系的全面覆盖,它外在的表现是一整套文档化的体系。这里我们可以参考信息安全领域的最佳实践——27001(信息安全管理体系建设)和27002(信息安全管理体系最佳实践)。在27002中提出了11个域,这11个域也可以初略归纳为三个控制类,即基础控制(安全策略、组织信息安全和资产管理),安全专项控制(信息安全事件管理、业务连续性管理和复合性),通用控制(非以上的其他域)。

体系内容编制。ISMS体系是有层次,这个层次不仅仅表现在文档框架上(方针政策、流程文件、支持性文件和记录表单),也映射在以下层次上:战略层次的,如方针,策略。战术层次的,如标准、指南、还有战役方面的,程序,手册等。在实际的编制过程中,首先是由信息安全部门负责,与相关部门规划设计出信息安全相关的各个层次的内容,然后,再由各个职能部门把这些内容嵌入各自职能部门管理体系中,形成本部门整体管理内容的一部分,也就是说,相关安全的体系内容是同时反映在部门管理体系和组织安全体系两个维度上的。所以这也就要求我们一定要在今后的维护中注意保持内容变更的同步操作。我们从工作分析来罗列涉及的领域,从而整理出所需要的文档,编制管理体系清单,标明域、制度名称,文档级别等信息。

体系落地与执行:如上所述,我们已经介绍了ISMS的要素:组织要素、制度要素、流程要素和技术工具要素,那体系的落地和执行也是从这些要素开始的。我们由制度出发规划出相关的业务管理流程,再由流程设计执行的角色,由角色再映射到具体的岗位(部门)。这样就实现了落地到了具体的岗位和部门,再下一步就是具体操作的事情了。

体系改进与完善:作为一个管理体系,ISMS来源于业务也应该随着业务的变化而变化,所以也是一个PDCA的过程。

最后小节一下:

ISMS成功的几个必要因素:

1、从业务目标出发,反映业务的安全需求;

2、来自高层的明确支持,以及相关资源的保障;

3、采用从宽松到严格,从少到多的体系实施方式;

4、在全员范围内有效的信息安全理念的宣导和教育;

5、有效的安全事件管理流程以及相关评估、激励体制配合;

6、借助适当工具与技术,提高体系管理的效率,降低管理难度;

7、体系不断的自我维护与完善,以适应组织内部外部环境的变化;

要避免的几点问题:

1、范围不全、制度简单、内容不全

2、体系交叉重复导致管理混乱无章

3、内容流于形式,无针对性,可操作性不强

4、体系执行不力,或者无人知晓,或者形同虚设

分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77124

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯