國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISO27001信息安全管理本質(zhì)就是人與事的關系,,是人根據(jù)制度和流程,采用適宜的方法,、工具和手段去降 低風險,。風險是安全管理的對象,人員,、流程,、手段是安全管理基本要素,其中人員是根本,,流程是核心,,手段是支撐。
培養(yǎng)和建立一支高效干練的人員隊伍參與ISO27001信息安全管理的人員應組成一個強有力的管理組織,,分工明確,、溝通順暢、協(xié)調(diào)有力,,運作高效,。通常安全管理組織應是扁平化的,以便發(fā)現(xiàn)問題,,及時響應,,能夠根據(jù)外部威脅的形勢,快速進行適應性變化,。參與安全管理的人員的知識,、技能應適用其崗位要求,并不斷的學習成長,適用信息安全快速變化的時代要求,。
建立科學,、合理、易于落地的管理體系,,ISO27001信息安全管理體系構建應采用科學的方法,,即按照 ISO27001的要求,采用過程方法,,通過過程的控制來為結(jié)果提供一種可持續(xù)的保證,。信息安全管理體系建設不是編制幾個制度,它的目的是推動公司行動起來,,發(fā)生變化,,不斷提升其安全管控能力。要使安全管理體系有效發(fā)揮作用,、起到實效,,還必須:
全面化:要針對評估中發(fā)現(xiàn)的問題,與最佳實踐相比較所存在的差距,,應覆蓋人員和組織,、制度和流程、技 術手段等所有要素,,覆蓋信息系統(tǒng)的整個生命周期,,覆蓋管理的整個過程。
系統(tǒng)化:管理體系應符合PDCA(規(guī)劃,、實施,、檢查、改進)思想,,必須要有測量,、反饋機制,能夠進行內(nèi) 部監(jiān)督,、審計,,形成正向的內(nèi)部激勵機制,不斷進行改進和完善,。
流程化:制度是有益的,、必須的,但還必須貫穿部門間藩籬的,、目標可控,、易于落地的流程。流程使人員不 需要關注過多的制度,,只需按照流程工作即可,,減輕了人員負擔。
規(guī)范化:對于具體工作,必須給出明確的工作指導和表單,,規(guī)范人員的操作行為,。
融合化:安全管理不是一個獨立的體系,應與運維管理,、內(nèi)部控制等現(xiàn)有制度和流程相融合,,借鑒 Cobit、ITIL,、CMMI,、PMP/PRINCE2、隱私數(shù)據(jù)保護等管理思想或方法的長處,。
當然,,每個公司都具有一定的個體特性,如文化,、人員,、組織和信息系統(tǒng)環(huán)境等等,。在構建時,,應采用中醫(yī) 的方法,嚴格診斷,,對癥下藥,,建立起符合自己特點的管理體系。
有效利用各種技術手段這主要體現(xiàn)在兩個方面,,一是采用技術手段,,推動安全管理的電子化、自動化,,提升管理效率,;二是采用技術手段,保障管理流程,、管理目標的有效強制落實和實現(xiàn),。
關注卓越空間
關注卓越微博
關注卓越微信