安全管理|淺談信息安全管理體系建設(shè)

    信息安全管理系統(tǒng)(I S)它是組織在整體或特定范圍內(nèi)建立的信息安全政策和目標,以及完成這些目標所使用的方法和系統(tǒng)。它是直接管理活動的結(jié)果,表示為政策、原則、目標、方法、計劃、活動、程序、過程和資源 。


    雖然不是一個人的安全部門,但一的安全管理崗位在信息安全管理體系中的責任不亞于那些孤軍奮戰(zhàn)的一個人的安全部門。即使你知道**的路充滿了荊棘,你也必須奮斗和前進。這是相當天將減少對斯人的責任……視覺感,給那些奮戰(zhàn)**的安全管理**者較高的敬意。

    達到一定規(guī)模后,才會有安全管理崗位的坑。一般都是一個人的安全部門,附屬于運維部門。一個人既有安全運維、安全管理、應(yīng)用安全(代碼審計、滲透)、安全開發(fā),甚至需要承擔部分運維責任。對于規(guī)模稍大、重視信息安全的前瞻性企業(yè),或合規(guī)要求嚴格的企業(yè),將設(shè)立專門的安全管理崗位,甚至設(shè)立獨立的安全部門。我就自己的專業(yè)范圍和工作職責談安全管理崗位。

    常說三點靠技術(shù),七點靠管理,但至少我們需要形成共識——信息安全問題不能僅僅作為技術(shù)問題來處理,安全管理的作用是可以理解的。

    作為承擔安全管理責任的安全管理崗位,**工作是建立、實施、維護和不斷完善信息安全管理體系。通過合理的組織體系、規(guī)章制度和控制措施,整合具有信息安全功能的軟硬件設(shè)施和管理人員,確保整個組織達到預(yù)定的信息安全。

    不同企業(yè)對信息安全管理體系建設(shè)的需求也不同:

    1. 信息安全管理體系可以從零開始建立;

    2. 企業(yè)可能有信息安全管理系統(tǒng),但只有冷制度規(guī)范,躺在經(jīng)理的電腦上,直到面對監(jiān)管機構(gòu)的檢查才開始發(fā)揮作用,沒有發(fā)揮約束力和控制;

    3. 可能企業(yè)已有信息安全管理體系,但是實時性無法滿足企業(yè)日益變化的安全需求,待進一步優(yōu)化改進;

    4. ……

    在系統(tǒng)建設(shè)之初,我相信每個人的初衷都是建立一個可實施的信息安全管理系統(tǒng)。但我們都知道,沒有**的安全或**的著陸。ISO27001所謂**安全可落地的信息安全管理體系沒有定義。它倡導的是PDCA流程模式,保證管理體系不斷完善的有效模式。PDCA循環(huán)將一個過程抽象為四個階段:規(guī)劃、實施、檢查和措施。通過持續(xù)循環(huán),信息安全管理不斷改進。

    信息安全管理體系的有效實施在很大程度上決定了信息安全管理的水平。如何建立一個相對可實施的信息安全管理體系是安全管理崗位工作的**問題。關(guān)于這個問題,我一直在思考和反思整個系統(tǒng)建設(shè)過程中,我仍在探索的道路上,不能給出一個完整和準確的答案。但基于個人在整個系統(tǒng)建設(shè)過程中的思考和思考,總結(jié)了幾點。

    一、高層的明確支持和相關(guān)資源的**

    在組織內(nèi)建立信息安全管理體系必須得到**管理人員的承諾和支持!為什么?

    1. 從上到下高效推廣

    我相信絕大多數(shù)安全管理崗位都有同樣的經(jīng)驗和感受:我們努力推廣某*程規(guī)范,希望在某些方面改善企業(yè)的信息安全問題,但在與各部門溝通的過程中,我們到處碰壁。其他部門不一定愿意采用流程規(guī)范,或出于工作效率或拒絕新事物。較直率地說,每個部門都有自己的部門KPI,對于信息安全部門來說,信息安全管理體系的建設(shè)和實施確實是一個重要的問題KPI評估指標,但對于業(yè)務(wù)部門來說,他們可能較關(guān)注業(yè)務(wù)的穩(wěn)定運行,而信息安全管理系統(tǒng)只是輔助業(yè)務(wù)安全穩(wěn)定運行的工具。如果**管理人員能夠處理跨部門之間的協(xié)調(diào)問題,相應(yīng)的安全政策和控制措施可以較有效地實施組織,系統(tǒng)建設(shè)將用一半的努力得到兩倍的結(jié)果。這也反映了ISO27001中所提倡的“**力”的概念,信息安全需要從上至下推動,需要從上而下全員參與。

    2. 資源**有效

    另一方面,引用了一句俗語聰明的女人沒有米飯很難做飯。在信息安全管理體系建設(shè)過程中,可能涉及外部咨詢機構(gòu)和評估機構(gòu)的引入,以及安全設(shè)備的采購……錢!錢!錢!錢!是任何項目發(fā)展的基礎(chǔ),需要**在有效安全過程中的必要財政支持。

    我們確實看到一些企業(yè)可能不聘請任何外部第三方咨詢機構(gòu),內(nèi)部人員建立自己的信息安全管理體系;

    我們也見過一些企業(yè)(防病毒軟件,WAF……),基于開源軟件的二次開發(fā),內(nèi)部人員自行開發(fā)或滿足安全需要;

    上述做法可行嗎?只要企業(yè)內(nèi)的人力資源能夠滿足現(xiàn)有需求,當然是可行的!歸根結(jié)底,人力資源投資與資本投資的平衡是較可行的解決方案!

    但是,無論是人力資源投入還是項目設(shè)備資金采購,都離不開**的高度支持。

    二、適合自己的才是較好的

    為什么要建立一個信息安全管理系統(tǒng)?企業(yè)面臨的問題和風險是什么?企業(yè)現(xiàn)在處于什么安全管理水平?各企業(yè)信息安全工作的起點和重點不同,后續(xù)安全工作的重點自然也不同。我們確實看到大型企業(yè)有完善的安全管理體系,處于行業(yè)*,**安全發(fā)展趨勢,管理體系不一定,我們可以參考他們的管理模式,在我們內(nèi)部做一定的調(diào)整,但不的管理模式,復制, 。管理50人和管理5000人適用于不同的管理方法。也許既然他們都有能力有效地管理5000人,他們真的可以管理50人。但在某種程度上,你怎么能用牛刀殺死雞呢? 如果一個安全要求不是很高的企業(yè),遵循安全要,發(fā)布各種安全體系政策,控制各種安全過程,做各種安全審計和檢查,理論上是安全的,但讓公眾怨恨沸騰,往往效果不好。投入產(chǎn)出是一個永恒的話題,需要測量安全管理崗位。畢竟,安全是為業(yè)務(wù)服務(wù)的,信息安全管理體系必須從業(yè)務(wù)目標出發(fā),反映業(yè)務(wù)的安全需求。只要能滿足業(yè)務(wù)的安全需求,即使控制程度不如其他行業(yè),也是一個很好的管理體系。適合你自己的,是較好的!


    杭州貝安企業(yè)管理有限公司專注于環(huán)境管理體系,質(zhì)量管理體系,信息安全管理體系,質(zhì)量體系,管理體系,交通運輸服務(wù)體系認證,交通運輸服務(wù)認證,機動車檢測服務(wù)AAAAA認證,機動車檢測服務(wù)5A認證,機動車檢測服務(wù)5星認證等, 歡迎致電 13396513322

  • 詞條

    詞條說明

  • 信息安全管理體系建立和運行步驟

    ? ?隨著軟件信息行業(yè)的緩慢崛起,信息安全管理體系也開始逐漸被企業(yè)所知,無論是內(nèi)部改進還是招標獎勵,或多或少反映了信息安全管理體系的重要性,要求組織建立和保持文件信息安全管理體系,應(yīng)闡述資產(chǎn)保護、組織風險管理渠道、控制目標、控制方法和保證程度。 ? ?事實上,如果要考慮信息安全管理體系的認證,其流程和詳細步驟如下:1、現(xiàn)場診斷,了解企業(yè)現(xiàn)狀;2、確定信息安

  • 食品,能源和可持續(xù)發(fā)展

    食品,能源和可持續(xù)發(fā)展 1.??? 食品流程上漲的威脅 較近幾個月大米流程飆升超市貨架上的米糧被一搶而空,在過去的一年**大米流程幾乎倍數(shù)上升,消費者已經(jīng)開始感受到食品流程上漲的影響和壓力 對于大部分富裕國家的人民來說,食品只能占了可支配收入10%日益增加的流程對他們來說只是有點不便,不過谷物流程上漲對糧食不穩(wěn)定和貧困家庭已經(jīng)構(gòu)成相當嚴重的影響。對于貧困國家的人民,

  • iso質(zhì)量體系認證

    iso質(zhì)量體系認證iso即質(zhì)量體系認證ISO9001:2000質(zhì)量體系認證,隨后較新到ISO9001:2008質(zhì)量體系認證是每個企業(yè)*的管理體系認證基礎(chǔ)。為了較好地加快企業(yè)的發(fā)展趨勢,基本上每個企業(yè)都會這樣做iso質(zhì)量體系認證,有客戶規(guī)定,有企業(yè)自身規(guī)定。具體方法iso質(zhì)量體系認證將得到信用的幫助,企業(yè)機構(gòu)咨詢顧問條款學習培訓(包括與2008版的差異)、文件撰寫、實施指南和文件變更、內(nèi)部審計師培

  • 【管理體系】如何考量一個管理體系的有效性

    管理體系Management System,是組織用于建立方針、目標以及實現(xiàn)這些目標的過程的相互關(guān)聯(lián)和相互作用的一組要素。一個組織的管理體系可包括若干個不同的管理體系,如質(zhì)量管理體系ISO9001、環(huán)境管理體系ISO14001、職業(yè)健康和安全管理體系ISO45001、信息安全管理體系BS7799/ISO27001、汽車供應(yīng)行業(yè)的質(zhì)量管理體系(IATF16949) 、電信行業(yè)的質(zhì)量管理體系(TL90

聯(lián)系方式 聯(lián)系我時,請告知來自八方資源網(wǎng)!

公司名: 杭州貝安企業(yè)管理有限公司

聯(lián)系人: 許志方

電 話: 0571-88394552

手 機: 13396513322

微 信: 13396513322

地 址: 浙江杭州杭州新市街64號

郵 編:

網(wǎng) 址: beianhz.cn.b2b168.com

相關(guān)閱讀

河南工業(yè)自動化系統(tǒng)成套設(shè)備報價 揚州YUTAN宇田報價 聊城螺旋上料機哪家好 揭陽瓶子包裝價格 寧波S系列蝸輪蝸桿減速機生產(chǎn)廠家 阜新到錦州貨運公司 崇明倉庫代運營價格 防城港早戀學校咨詢學費 廊坊病人運送服務(wù)費用 全銅家居欄桿 多種室內(nèi)直線式樓梯護欄圖片 尼龍軸套生產(chǎn)廠家 錫林郭勒|煤礦用混凝土輸送泵|各地代理經(jīng)銷商 合肥工業(yè)平移門批發(fā)價格 連云港設(shè)備吊裝服務(wù)機構(gòu) 濟寧儲罐廠家 建立ISO27000 信息安全管理體系的步驟: 質(zhì)量體系對企業(yè)的重要性 環(huán)境管理體系認證IOS14000 質(zhì)量管理體系環(huán)境管理體系職業(yè)健康安全管理體系認證 申請質(zhì)量體系認證流程和要求 信息安全管理體系認證證書包括哪些? 質(zhì)量體系能給企業(yè)帶來哪些效益 企業(yè)認證質(zhì)量管理體系有什么要求質(zhì)量管理體系認證依據(jù)是什么 質(zhì)量體系運行需要提交哪些文件如何進行質(zhì)量體系培訓 質(zhì)量體系過程如何構(gòu)建管理體系 企業(yè)認證質(zhì)量體系,應(yīng)如何實現(xiàn)質(zhì)量體系的有效性? 質(zhì)量體系認證分為幾個階段 質(zhì)量管理體系評價方法列舉質(zhì)量管理體系程序嚴格嗎 安全管理|淺談信息安全管理體系建設(shè) 綠色發(fā)展:環(huán)境管理體系
八方資源網(wǎng)提醒您:
1、本信息由八方資源網(wǎng)用戶發(fā)布,八方資源網(wǎng)不介入任何交易過程,請自行甄別其真實性及合法性;
2、跟進信息之前,請仔細核驗對方資質(zhì),所有預(yù)付定金或付款至個人賬戶的行為,均存在詐騙風險,請?zhí)岣呔瑁?
    聯(lián)系方式

公司名: 杭州貝安企業(yè)管理有限公司

聯(lián)系人: 許志方

手 機: 13396513322

電 話: 0571-88394552

地 址: 浙江杭州杭州新市街64號

郵 編:

網(wǎng) 址: beianhz.cn.b2b168.com

    相關(guān)企業(yè)
    商家產(chǎn)品系列
  • 產(chǎn)品推薦
  • 資訊推薦
關(guān)于八方 | 八方幣 | 招商合作 | 網(wǎng)站地圖 | 免費注冊 | 一元廣告 | 友情鏈接 | 聯(lián)系我們 | 八方業(yè)務(wù)| 匯款方式 | 商務(wù)洽談室 | 投訴舉報
粵ICP備10089450號-8 - 經(jīng)營許可證編號:粵B2-20130562 軟件企業(yè)認定:深R-2013-2017 軟件產(chǎn)品登記:深DGY-2013-3594
著作權(quán)登記:2013SR134025
Copyright ? 2004 - 2024 b2b168.com All Rights Reserved