- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
ISMS实施过程常见困惑和应对.docx
ISMS实施过程常见困惑与应对
作者: 志军, 出处:CIO时代, 责任编辑: 蔡舒飞
一直以来,在实施信息安全管理体系的实践过程中,无论是企业的管理层人员还是具体实施人员,无论是通过认证 企业还是未认证企业,对ISMS实施过程都不同程度的存在着一些困惑和误区。
国内从1999年,厦门人保获得第一张ISMS认证证书至今,通过该项认证的企业为180多家,包括华为、中兴、深 交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东公司)、中国网通(天津、北京公司)、 中国电信(上海、北京、广东公司)等企业,主要集中在电信、金融、软件外包开发等行业。与目前国际通过该项认证的企业数量5200家相比,中国通过认证的企业数量并不多,但国内按照或参考ISO27001或ISO27002国际标准,建立健全本企业信息安全管理体系的企业却越来越多,一直以来,在实施信息安全管理体系的实践过程中,无论是企业的管理层人员还是具体实施人员,无论是通过认证企业还是未认证企业,对ISMS实施过程都不同程度的存在着一些困惑和误区。
困惑一:想仅仅通过技术和产品,就解决所有的(或主要的)安全问题。
很多企业,甚至大型知名企业,上了很多技术和产品,有的企业甚至也建立了很多安全管理制度,甚至做了信息安全管理体系并通过了认证,投入了很多财力人力,但整体信息安全管理水平并没有明显提升,信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题:相关的管理跟不上,如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面,一定要重视“三分管理,七分技术”这一原则,要向管理要安全。技术只是帮助实现管理的手段,就IS02700l而言,它的l1个控制区域中,只有3个区域是完全和技术相关,其它8个都是要求如何进行信息安全管理,比如物理安全、人力资源安全、业务连续性管理这些都无法纯粹依靠技术来实现,更多的是要靠管理来实现。
困惑二:信息安全与工作效率的关系,做信息安全会不会影响工作效率。
业务部门表面上都支持,但实际工作中并不配合。这是很多企业信息安全管理体系推行过程中,具体实施人员最常见的体会和抱怨。业务部门的支持是一个永远的问题。导致这个问题的原因很多,“工作很忙”,“出差刚回来,还要出去,根本没时间看那些什么安全策略”,“不要不相信我,我不会泄密”、“我们工作本来就很忙,拜托别再给我们增加工作了”等等。真的没有时间吗?明显不是,真正的原因是“业务才是最重要的,其它都是次要的”、“我干的这几年,运气不会这么差吧”,对安全风险的严重性认识不足,心存佼幸心理,不仅一般员工如此,有的管理层人员乃至核心管理层人员都不同程度有如此想法。
首先,信息安全负责人员在具体实施过程中,也要考虑统筹安排时间,毕竟企业是以赢利为目的的,业务是很重要的,在具体工作安排上,在不影响工作绩效的前提下,要尽可能以节约业务部门人员的时间的方式进行,比如安全意识的宣传,不要只是课堂培训一种方式,内部网站、经常性的提示性邮件、宣传小册子、打印机复印机旁的小贴士、台历上的安全小故事都是不错的选择,信息安全宣传方法要灵活,你理解业务部门,业务部门也会欢迎,也会理解你的工作。
其次,落实具体控制措施的好处,要向业务部门讲透。向业务部门推行的很多安全控制措施,如果能够得到良好的落实,对业务部门也是有好处的,有助于降低业务部门及相关人员的风险,业务部门不配合很大程度上是因为他们自己还没有看到这一层,我们的实施人员也没有向业务部门人员点透这一层。大部分情况,在业务部门人员明白这一层后,都会积极配合,也会接受因为控制措施实施导致的工作效率暂时性所受到的影响。
再次,单就实施具体的安全产品(如终端控制软件、使用CA证书)而言,在实施初期,由于业务部门人员操作不熟悉,会在一定程度上影响工作效率,但一旦人员操作熟练后,就不存在这个问题了,而且由于安全控制的提高,会降低业务部门的安全风险,减少业务部门人员用于终端或系统故障的时间,提高业务部 门的工作效率。
困惑三:安全管理是一阵风,风吹时很猛,但吹过了,也就完了,如何长久保持。
其实信息安全管理,特别是信息安全管理体系,要保持信息安全管理体系能够有效长久运行,最重要的是在企业中建立以下三个机制:持续改进机制、信息安全奖惩机制和内部信息安全审计机制。
要在企业文化中不断渗透持续改进的思想和意识,设置配置需要及时更新、安全制度和策略需要及时评审,缺
您可能关注的文档
最近下载
- PECL电平匹配设计指南.doc
- 2025届通用技术一轮复习练习:专题31 555集成电路及其应用二(非选择题)(含解析).DOCX VIP
- 北师大版2024新版七年级数学上册课件:第五章 问题解决策略:直观分析.pptx VIP
- 中国歌舞剧院舞蹈招生简章 .pdf
- 抖音电商高效自播直播带货实战技术培训教程四短视频运营能力进阶.pdf
- 2025届通用技术一轮复习练习:专题30 555集成电路及其应用一(非选择题)(含解析).DOCX VIP
- 七年级上册道德与法治上海道德与法治期末试卷测试卷(解析版).pdf VIP
- 110kV电缆工程施工.doc
- 2014根管治疗技术指南.pdf
- 《以人口高质量发展支撑中国式现代化》求是专题课件.ppt VIP
文档评论(0)