ISO27001信息安全管理本質就是人(re������n)與事的關系,是人(ren)根(gen)據制度和流程,采用(yong)適宜的方法(fa)、工具和手段去降低����風險。風險是安(an)全管理的對象,人(ren)員(yuan)、流程、手段是安(an)全管理基本(ben)要素,其中(zhong)人(ren)員(yuan)是根(gen)本(ben),流程是核心(xin),手段是支撐。
培養和建立一(yi)支高效干練的(de)(de)(de)(de)人員隊伍參與ISO27001信(xin)息安(an)(an)全(quan)管(guan)(guan)(guan)理(li)的(de���������)(de)(de)(de)人員應組成一(yi)個(ge)強有力的(de)(de)(de)(de)管(guan)(guan)(guan)理(li)組織,分工明確、溝(gou)通(tong)順暢、協調有力,運作高效。通(tong)常安(an)(an)全(quan)管(guan)(guan)(guan)理(li)組織應是扁平化(hua)(hua)的(de)(de)(de)(de),以便(bian)發現問題(ti),及時響應,能夠根據外部(bu)威脅(xie)的(de)(de)(de)(de)形勢,快(kuai)速(su)進(jin)行(xing)適(shi)應性(xing)變化(hua)(hua)。參與安(an)(an)全(quan)管(guan)(guan)(guan)理(li)的(de)(de)(de)(de)人員的(de)(de)(de)(de)知識、技能應適(shi)用其崗位要求(qiu)(qiu),并不斷(duan)的(de)(de)(de)(de)學習成長,適(shi)用信(xin)息安(an)(an)全(quan)快(kuai)速(su)變化(hua)(hua)的(de)(de)(de)(de)時代要求(qiu)(qiu)。
建(jian)立科學(xue)、合理、易于落地的(de)管(guan)(guan)理體系(xi)ISO27001信������息安全管(guan)(guan)理體系(xi)構建(jian)應(ying)采用科學(xue)的(de)方(fang)法,即按照(zhao)ISO27001的(de)要求,采用過程方(fang)法,通過過程的(de)控制(zhi)來為(wei)結果提供一種可持續的(de)保證。信息安全管(guan)(guan)理體系(xi)建(jian)設不(bu)是編(bian)制(zhi)幾(ji)個制(zhi)度,它的(de)目的(de)是推動(dong)(dong)公司行(xing)動(dong)(dong)起(qi)來,發生變(bian)化(hua),不(bu)斷提升其安全管(guan)(guan)控能力。要使安全管(guan)(guan)理體系(xi)有(you)效(xiao)發揮作用、起(qi)到實效(xiao),還必須:
全面化(hua):要針(zhen)對評估中發現的問(wen)題(ti),與最(zui)佳實踐相比較所(suo)存在的差距,應覆蓋人員和組織(zhi)、制度(du)和流程、技術手段等所(suo)有要素,覆蓋信息系統�����的整個生命(ming)周(zhou)期(qi),覆蓋管理的整個過程。
系統化:管理體系應(ying)符合PDCA(規劃(hua)、實(shi)施、檢(jian)查、改進)思(si)想(xiang),必須要(yao)有測(ce)�����量、反(fan)饋機(ji)制,能夠進行內部監督、審計,形成正(zheng)向的內部激���勵機(ji)制,不斷(duan)進行改進和完善。
流(liu)(liu)程(cheng)化:制��������(zhi)(zhi)度是有(you)益的、必須(xu)的,但還必須(xu)貫穿部門(men)間(jian)藩籬的、目標可控(kong)、易于落地的流(liu)(liu)程(cheng)。流(liu)(liu)程(cheng)使人員不需(xu)(xu)要(yao)關(guan)注過多的制(zhi)(zhi)度,只需(xu)(xu)按照流(liu)(liu)程(cheng)工作(zuo)即可,減輕了人員負擔。
規(gui)范化:對于具(ju)體工(gong)作,必須����給(gei)出明確的工(gong)作指導������和表單,規(gui)范人員的操作行(xing)為。
融(rong)合化(hua):安全管理(li)(li)不是一個獨立的(de)體系(xi),應與(yu)現運維(wei�����)管理(li)(li)、內(nei)部(bu)控制等(deng)現有制度(du)和流程相融(rong)合,借鑒Cobit、ITIL、CMMI、PMP/PRINCE2、隱(yin)私數據保護(hu)等(deng)管理(li)(li)思想或方(fang)法的(de)長處。
當然,每(mei)個公(gong)司都具有一(yi)定的(de)個體特性,如文(wen)化、人(ren)員、組織和信(xin)息(xi)系(xi)(xi)統(tong)環境等(deng)等(deng)。在構建時,應采用中醫的(de)方法(fa),����嚴格診斷,對癥(zheng)下藥,建立起符(fu)合自己(ji)特點管理體系(xi)(xi)。
有效(xiao)利(li)用各種(zhong)技術(shu)手(shou)段這(zhe)主要(yao)體(ti)現在兩個(ge)方面,一是(shi)采(cai)用技術(shu)手(shou)段,推動安全管(guan)(guan)理(li)的(de)電子化(hua)、自動化(hua),提(ti)升管(guan)(guan)理(li)效(xiao)率(lv);二是(shi)采(cai)�����用技術(shu)�����手(shou)段,保障管(guan)(guan)理(li)流程、管(guan)(guan)理(li)目標的(de)有效(xiao)強制落實和實現。
