信息安全管理体系怎样落地?
信息安全事件一旦发生,就须快速响应妥善处理,否则可能会给企业带来更大损失。首先,企业须清晰定义什么是信息安全事件,使大家对信息安全事件形成相同的认识;第二,可根据信息安全事件的严重程度进行分级,定义不同级别的事件汇报途径、升级时间和处理要求;且在整个公司公布相关要求,做到发生安全事件即报告记录并快速响应处理。对于安全事件的管理可参照ITIL或ISO20000 IT服务管理的最佳实践和国际标准的事件管理章节。
安全培训
安全培训也是一项应持续的长期活动,安全培训可针对不同对象分成不同的培训,可以定期组织面向管理层的信息安全标准、法律法规解读的管理培训;面向全员的信息安全意识普及性培训;针对IT相关技术人员的信息安全技术知识的专业培训;面向信息安全运维和管理人员提供的信息安全相关资质认证培训(CISSP、CISP、ISO27001主任审核员等)。建议企业对培训过程、结果进行记录,可作为信息安全体系建设的记录和有效性测量的依据。
由此可看出,信息安全管理体系的落地貌似简单,并非易事,贵在坚持,以上工作均需长期执行,才可起到效果,逐步提升企业的信息安全管理水平并将信息安全渗透到企业的各个角落中形成安全的工作环境。
从上文中可看出,基本每块内容都提及了记录保留相关信息等字眼,对这些长期工作的记录保留目前各个企业采取不同的形式,有的领域采用纸张记录,有些领域利用公司的一些操作平台进行记录(例如OA、IT服务管理系统等),目前市面上协助信息安全管理体系落地的工具很稀缺,管理+工具的使用协助您将信息安全管理体系在贵企业中落地实施并持续改进。 (编辑:源码网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |