信息安全管理体系如何落地.pdfVIP

信息安全管理体系如何落地？——安全运营管理 信息安全管理体系如何落地？ ——安全运营管理 本文编者：北京谷安天下科技有限公司 网 址： 地 址：北京市海淀区中关村南大街2 号数码大厦A 座806 电 话：010（北京） 021（上海） 0755（深圳） 0991-6999166 （新疆） 手机 1 信息安全管理体系如何落地？——安全运营管理 信息安全管理体系如何落地？—安全运营管理 作者：黄震 谷安天下咨询经理 各行业许多企业都根据业务所需选择不同的国际、国内标准搭建了信息安全管理体系 （ISMS），无论是基于国际信息安全标准ISO27000，还是基于国家标准国家等级保护测评准 则的要求，信息安全管理体系 （ISMS）的建立并不是一蹴而就的。在建立信息安全管理体系 （ISMS）过程中企业会投入很多资源进行资产收集、风险评估、采取种种控制措施降低风险、 且制定相关的管理制度规范以降低企业风险，提升员工信息安全意识，从而达到提升企业整 体信息安全管理水平。但如何可以真正的将信息安全管理体系落到实处，而不仅仅停留在一 年一到两次的风险评估、突击性的控制措施实施和一套看似完备的信息安全管理制度，这可 能是许多信息安全管理体系管理者经常思考且关注的话题。就此话题，我想简单总结一下在 这方面的经验，希望籍此能启发您的更多灵感。 通知公告 通过信息安全相关公告通知发放的方式，在企业中渗透信息安全各方面的信息和知识， 逐渐形成信息安全无处不在的工作氛围，提升全员信息安全意识。信息安全公告的内容可以 包括行业在信息安全方面的新要求或指引的发布；企业内部信息安全相关要求的发布；近期 信息安全相关新闻的以及发生的信息安全事件等信息。信息安全公告的发布周期和发布形式 可以根据企业自身情况而定，通过企业内部使用的公共信息发布平台、电子邮件、电子期刊 等形式均可。 帐号管理 建议企业对各类帐号进行严格管理，包括基本帐号（员工入职后默认都需开通的帐号， 例如邮箱帐号，OA 帐号，所在部门的公共文件夹等）、工作所需的各类应用系统帐号（通常 根据岗位职责所需开通的帐号）、特殊权限的帐号（例如应用系统管理员的帐号，数据库管 理员的帐号，域管理员的帐号等），VPN 等特殊应用的帐号。从管理角度，不同类别的帐号 申请需要不同级别的管理人员授权，一方面企业需清晰识别各类账号并定义申请流程和授权 方式；同时也需要保留必要的申请记录以便查证，及测量体系实施的有效性。从使用角度， 需要加强对员工的培训并制定必要的规范（例如不允许帐号共享，密码定期修改等策略）， 以确保帐号不被滥用误用，从而降低信息安全事件的发生。 2 信息安全管理体系如何落地？——安全运营管理 人员安全 员工作为企业信息使用和传递的重要载体，员工变动可能会给企业的信息安全带来很大 影响。在员工发生变动，即员工入职、转岗和离职几个关键点进行控制，可大大降低其对企 业信息安全的影响。因此在入职前，许多企业会对关键岗位的员工进行背景调查并形成记录， 签订保密协议等；发生内部职责变动时，要求员工填写工作交接单，删除其原有岗位账号等 措施；离职时，要求员工填写离职交接单，清理数据，归还物品。同样，在这些关键点，企 业最好能制定明确的交接审批流程并妥善保留记录。 设备安全 通常企业在资产管理方面相对完善，但对设备自身的信息安全管理相对弱很多，IT 设 备承载大量的企业信息数据，在维护过程中无论是对设备自身进行的更换、更新，还是对其 承造的系统、应用和数据进行的配置调整、结构调整等变更均有可能对其中的信息数据造成 不利影响，甚至有可能导致应用不能使用影响到企业的正常业务操作。因为对IT 设备变更 进行控制是至