吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:从3方面建立完善的信息安全管理体系(图)

企业培训师观点:从3方面建立完善的信息安全管理体系(图)

吉宁博士 2015年12月11日 企业培训师观点

  技术本身实际上只是信息安全管理体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上。

  安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。建立一个有效的信息安全体系首先需要打好信息安全管理的基础,其次制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。

  一、体系建立的准备

  BS7799-2(信息安全管理规范),详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。建立信息安全管理体系应该如何准备?具体有以下步骤(如图1所示)。


  图1定义信息安全管理体系的步骤

  (1)定义信息安全策略

  信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。

  (2)定义ISMS的范围

  确定ISMS的范围,即明确在哪些领域重点进行信息安全管理。组织需要根据自己的实际情况,在整个组织范围内、或者在个别部门或领域构架ISMS。因此,在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。

  (3)进行信息安全风险评估

  信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。

  (4)信息安全风险管理

  根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:

  降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险;

  避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;

  转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。

  接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定管制目标和选择管制措施

  管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。

  (6)准备信息安全适用性声明

  信息安全适用性声明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有必要管制的风险控制在能够被接受的范围内。

  实施信息安全管理体系需要切实可行的计划以及管理高层的支持。对于所有的管理体系,在实施的过程中都是运用相近的工具和相同的方法来完成。因此,以下内容同样适用于其它管理体系的实施。

  二、人员保证

  所有员工都与决定实施BS7799管理体系有关,并要求对体系所包括的内容有一定的了解。尤其第一次实施BS7799管理体系时,尽管管理高层决定实施,但不少单位实际实施的职责是落在信息中心主任这样的实施经理身上。而在众多单位,信息中心主任只是“部门领导”,属于中层经理人,未必能从企业发展战略的角度全面理解信息安全体系。因此理想的情况是,由见多识广的管理高层来“坐镇”,自始至终地支持整个管理体系不断实施的过程中。

  三、实施培训

  当真正决定开始实施信息安全管理体系时,参与培训课程和购买书籍是必不可少的。不过目前有不少企业为了有效实施,会选择聘请顾问公司来帮助建立信息安全管理体系。顾问公司可以在实施的全过程和怎样建立一套最适合客户业务发展的管理体系中起到协助作用,并为客户提供更多的增值服务。

  在实施的过程中,全体员工对信息安全管理体系的认识是非常重要的。如他们的日常工作是什么和对其有什么影响等。所有人员需要仔细阅读BS7799标准,并通过召开例会学习BS7799的总体内容,来提升对安全体系的认识。

  这一阶段的培训课程是非常重要的。如管理高层亲自参加一天的介绍性的培训课程等,这对体系的建立是有很大的好处,同时实施经理也会受益非浅,但如果能够参加更详细培训,毫无疑问将更有利于BS7799标准的实施。不少企业也还会要求开发一些符合其自己特殊需求的课程。

  总之,所有实施体系的人员应了解标准并熟练掌握,因此需要将BS7799印刷多份并分发给参与体系实施的每一个人员。

  

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。
Powered by 企业培训师 | Designed by 吉宁讲师观点
© Copyright 2024 | All Rights Reserved