國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識(shí)園地
ISO27001信息安全管理本質(zhì)就是人與事的關(guān)系,是人根據(jù)制度和流程,采用適宜的方法、工具和手段去降 低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)是安全管理的對(duì)象,人員、流程、手段是安全管理基本要素,其中人員是根本,流程是核心,手段是支撐。
培養(yǎng)和建立一支高效干練的人員隊(duì)伍參與ISO27001信息安全管理的人員應(yīng)組成一個(gè)強(qiáng)有力的管理組織,分工明確、溝通順暢、協(xié)調(diào)有力,運(yùn)作高效。通常安全管理組織應(yīng)是扁平化的,以便發(fā)現(xiàn)問題,及時(shí)響應(yīng),能夠根據(jù)外部威脅的形勢,快速進(jìn)行適應(yīng)性變化。參與安全管理的人員的知識(shí)、技能應(yīng)適用其崗位要求,并不斷的學(xué)習(xí)成長,適用信息安全快速變化的時(shí)代要求。
建立科學(xué)、合理、易于落地的管理體系,ISO27001信息安全管理體系構(gòu)建應(yīng)采用科學(xué)的方法,即按照 ISO27001的要求,采用過程方法,通過過程的控制來為結(jié)果提供一種可持續(xù)的保證。信息安全管理體系建設(shè)不是編制幾個(gè)制度,它的目的是推動(dòng)公司行動(dòng)起來,發(fā)生變化,不斷提升其安全管控能力。要使安全管理體系有效發(fā)揮作用、起到實(shí)效,還必須:
全面化:要針對(duì)評(píng)估中發(fā)現(xiàn)的問題,與最佳實(shí)踐相比較所存在的差距,應(yīng)覆蓋人員和組織、制度和流程、技 術(shù)手段等所有要素,覆蓋信息系統(tǒng)的整個(gè)生命周期,覆蓋管理的整個(gè)過程。
系統(tǒng)化:管理體系應(yīng)符合PDCA(規(guī)劃、實(shí)施、檢查、改進(jìn))思想,必須要有測量、反饋機(jī)制,能夠進(jìn)行內(nèi) 部監(jiān)督、審計(jì),形成正向的內(nèi)部激勵(lì)機(jī)制,不斷進(jìn)行改進(jìn)和完善。
流程化:制度是有益的、必須的,但還必須貫穿部門間藩籬的、目標(biāo)可控、易于落地的流程。流程使人員不 需要關(guān)注過多的制度,只需按照流程工作即可,減輕了人員負(fù)擔(dān)。
規(guī)范化:對(duì)于具體工作,必須給出明確的工作指導(dǎo)和表單,規(guī)范人員的操作行為。
融合化:安全管理不是一個(gè)獨(dú)立的體系,應(yīng)與運(yùn)維管理、內(nèi)部控制等現(xiàn)有制度和流程相融合,借鑒 Cobit、ITIL、CMMI、PMP/PRINCE2、隱私數(shù)據(jù)保護(hù)等管理思想或方法的長處。
當(dāng)然,每個(gè)公司都具有一定的個(gè)體特性,如文化、人員、組織和信息系統(tǒng)環(huán)境等等。在構(gòu)建時(shí),應(yīng)采用中醫(yī) 的方法,嚴(yán)格診斷,對(duì)癥下藥,建立起符合自己特點(diǎn)的管理體系。
有效利用各種技術(shù)手段這主要體現(xiàn)在兩個(gè)方面,一是采用技術(shù)手段,推動(dòng)安全管理的電子化、自動(dòng)化,提升管理效率;二是采用技術(shù)手段,保障管理流程、管理目標(biāo)的有效強(qiáng)制落實(shí)和實(shí)現(xiàn)。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信