安全管理｜淺談信息安全管理體系建設(shè)

時(shí)間：2022-06-11作者：杭州貝安企業(yè)管理有限公司瀏覽：208

信息安全管理系統(tǒng)（I S)它是組織在整體或特定范圍內(nèi)建立的信息安全政策和目標(biāo)，以及完成這些目標(biāo)所使用的方法和系統(tǒng)。它是直接管理活動(dòng)的結(jié)果，表示為政策、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源 。




雖然不是一個(gè)人的安全部門，但一的安全管理崗位在信息安全管理體系中的責(zé)任不亞于那些孤軍奮戰(zhàn)的一個(gè)人的安全部門。即使你知道**的路充滿了荊棘，你也必須奮斗和前進(jìn)。這是相當(dāng)天將減少對(duì)斯人的責(zé)任……視覺感，給那些奮戰(zhàn)**的安全管理**者較高的敬意。

達(dá)到一定規(guī)模后，才會(huì)有安全管理崗位的坑。一般都是一個(gè)人的安全部門，附屬于運(yùn)維部門。一個(gè)人既有安全運(yùn)維、安全管理、應(yīng)用安全(代碼審計(jì)、滲透)、安全開發(fā)，甚至需要承擔(dān)部分運(yùn)維責(zé)任。對(duì)于規(guī)模稍大、重視信息安全的前瞻性企業(yè)，或合規(guī)要求嚴(yán)格的企業(yè)，將設(shè)立專門的安全管理崗位，甚至設(shè)立獨(dú)立的安全部門。我就自己的專業(yè)范圍和工作職責(zé)談安全管理崗位。

常說三點(diǎn)靠技術(shù)，七點(diǎn)靠管理，但至少我們需要形成共識(shí)——信息安全問題不能僅僅作為技術(shù)問題來處理，安全管理的作用是可以理解的。

作為承擔(dān)安全管理責(zé)任的安全管理崗位，**工作是建立、實(shí)施、維護(hù)和不斷完善信息安全管理體系。通過合理的組織體系、規(guī)章制度和控制措施，整合具有信息安全功能的軟硬件設(shè)施和管理人員，確保整個(gè)組織達(dá)到預(yù)定的信息安全。

不同企業(yè)對(duì)信息安全管理體系建設(shè)的需求也不同：

1. 信息安全管理體系可以從零開始建立；

2. 企業(yè)可能有信息安全管理系統(tǒng)，但只有冷制度規(guī)范，躺在經(jīng)理的電腦上，直到面對(duì)監(jiān)管機(jī)構(gòu)的檢查才開始發(fā)揮作用，沒有發(fā)揮約束力和控制；

3. 可能企業(yè)已有信息安全管理體系，但是實(shí)時(shí)性無法滿足企業(yè)日益變化的安全需求，待進(jìn)一步優(yōu)化改進(jìn)；

4. ……

在系統(tǒng)建設(shè)之初，我相信每個(gè)人的初衷都是建立一個(gè)可實(shí)施的信息安全管理系統(tǒng)。但我們都知道，沒有**的安全或**的著陸。ISO27001所謂**安全可落地的信息安全管理體系沒有定義。它倡導(dǎo)的是PDCA流程模式，保證管理體系不斷完善的有效模式。PDCA循環(huán)將一個(gè)過程抽象為四個(gè)階段：規(guī)劃、實(shí)施、檢查和措施。通過持續(xù)循環(huán)，信息安全管理不斷改進(jìn)。

信息安全管理體系的有效實(shí)施在很大程度上決定了信息安全管理的水平。如何建立一個(gè)相對(duì)可實(shí)施的信息安全管理體系是安全管理崗位工作的**問題。關(guān)于這個(gè)問題，我一直在思考和反思整個(gè)系統(tǒng)建設(shè)過程中，我仍在探索的道路上，不能給出一個(gè)完整和準(zhǔn)確的答案。但基于個(gè)人在整個(gè)系統(tǒng)建設(shè)過程中的思考和思考，總結(jié)了幾點(diǎn)。

一、高層的明確支持和相關(guān)資源的**

在組織內(nèi)建立信息安全管理體系必須得到**管理人員的承諾和支持！為什么？

1. 從上到下高效推廣

我相信絕大多數(shù)安全管理崗位都有同樣的經(jīng)驗(yàn)和感受：我們努力推廣某*程規(guī)范，希望在某些方面改善企業(yè)的信息安全問題，但在與各部門溝通的過程中，我們到處碰壁。其他部門不一定愿意采用流程規(guī)范，或出于工作效率或拒絕新事物。較直率地說，每個(gè)部門都有自己的部門KPI，對(duì)于信息安全部門來說，信息安全管理體系的建設(shè)和實(shí)施確實(shí)是一個(gè)重要的問題KPI評(píng)估指標(biāo)，但對(duì)于業(yè)務(wù)部門來說，他們可能較關(guān)注業(yè)務(wù)的穩(wěn)定運(yùn)行，而信息安全管理系統(tǒng)只是輔助業(yè)務(wù)安全穩(wěn)定運(yùn)行的工具。如果**管理人員能夠處理跨部門之間的協(xié)調(diào)問題，相應(yīng)的安全政策和控制措施可以較有效地實(shí)施組織，系統(tǒng)建設(shè)將用一半的努力得到兩倍的結(jié)果。這也反映了ISO27001中所提倡的“**力”的概念，信息安全需要從上至下推動(dòng)，需要從上而下全員參與。

2. 資源**有效

另一方面，引用了一句俗語(yǔ)聰明的女人沒有米飯很難做飯。在信息安全管理體系建設(shè)過程中，可能涉及外部咨詢機(jī)構(gòu)和評(píng)估機(jī)構(gòu)的引入，以及安全設(shè)備的采購(gòu)……錢！錢！錢！錢！是任何項(xiàng)目發(fā)展的基礎(chǔ)，需要**在有效安全過程中的必要財(cái)政支持。

我們確實(shí)看到一些企業(yè)可能不聘請(qǐng)任何外部第三方咨詢機(jī)構(gòu)，內(nèi)部人員建立自己的信息安全管理體系；

我們也見過一些企業(yè)(防病毒軟件，WAF……），基于開源軟件的二次開發(fā)，內(nèi)部人員自行開發(fā)或滿足安全需要；

上述做法可行嗎？只要企業(yè)內(nèi)的人力資源能夠滿足現(xiàn)有需求，當(dāng)然是可行的！歸根結(jié)底，人力資源投資與資本投資的平衡是較可行的解決方案！

但是，無論是人力資源投入還是項(xiàng)目設(shè)備資金采購(gòu)，都離不開**的高度支持。

二、適合自己的才是較好的

為什么要建立一個(gè)信息安全管理系統(tǒng)？企業(yè)面臨的問題和風(fēng)險(xiǎn)是什么？企業(yè)現(xiàn)在處于什么安全管理水平？各企業(yè)信息安全工作的起點(diǎn)和重點(diǎn)不同，后續(xù)安全工作的重點(diǎn)自然也不同。我們確實(shí)看到大型企業(yè)有完善的安全管理體系，處于行業(yè)*，**安全發(fā)展趨勢(shì)，管理體系不一定，我們可以參考他們的管理模式，在我們內(nèi)部做一定的調(diào)整，但不的管理模式，復(fù)制， 。管理50人和管理5000人適用于不同的管理方法。也許既然他們都有能力有效地管理5000人，他們真的可以管理50人。但在某種程度上，你怎么能用牛刀殺死雞呢？ 如果一個(gè)安全要求不是很高的企業(yè)，遵循安全要，發(fā)布各種安全體系政策，控制各種安全過程，做各種安全審計(jì)和檢查，理論上是安全的，但讓公眾怨恨沸騰，往往效果不好。投入產(chǎn)出是一個(gè)永恒的話題，需要測(cè)量安全管理崗位。畢竟，安全是為業(yè)務(wù)服務(wù)的，信息安全管理體系必須從業(yè)務(wù)目標(biāo)出發(fā)，反映業(yè)務(wù)的安全需求。只要能滿足業(yè)務(wù)的安全需求，即使控制程度不如其他行業(yè)，也是一個(gè)很好的管理體系。適合你自己的，是較好的！


杭州貝安企業(yè)管理有限公司專注于環(huán)境管理體系,質(zhì)量管理體系,信息安全管理體系,質(zhì)量體系,管理體系,交通運(yùn)輸服務(wù)體系認(rèn)證,交通運(yùn)輸服務(wù)認(rèn)證,機(jī)動(dòng)車檢測(cè)服務(wù)AAAAA認(rèn)證,機(jī)動(dòng)車檢測(cè)服務(wù)5A認(rèn)證,機(jī)動(dòng)車檢測(cè)服務(wù)5星認(rèn)證等

• 詞條

  詞條說明

• 【環(huán)境管理體系】環(huán)境管理體系原則要素

  原則1：承諾和方針一個(gè)組織應(yīng)制定環(huán)境方針并確保對(duì)環(huán)境管理對(duì)環(huán)境管理體系的承諾。原則2：規(guī)劃一個(gè)組織應(yīng)為實(shí)現(xiàn)其環(huán)境方針進(jìn)行規(guī)劃。原則3：實(shí)施為了有效地實(shí)施，一個(gè)組織應(yīng)提供為實(shí)現(xiàn)其環(huán)境方針、目標(biāo)和指標(biāo)所需的能力和**機(jī)制。原則4：測(cè)量和評(píng)價(jià)一個(gè)組織應(yīng)測(cè)量、監(jiān)測(cè)和評(píng)價(jià)其環(huán)境績(jī)效。原則5：評(píng)審和改進(jìn)一個(gè)組織應(yīng)以改進(jìn)總體環(huán)境績(jī)效為目標(biāo)，評(píng)審并不斷改進(jìn)其環(huán)境管理體系。根據(jù)以上原則，較好將環(huán)境管理體系視為一個(gè)組

• 【機(jī)動(dòng)車服務(wù)5星認(rèn)證】機(jī)動(dòng)車檢驗(yàn)人員應(yīng)當(dāng)具備哪些基本條件

  （一）具有法人資格；（二）具有滿足機(jī)動(dòng)車安全技術(shù)檢驗(yàn)工作需要的，并經(jīng)省級(jí)質(zhì)量技術(shù)監(jiān)督部門考核合格的從事機(jī)動(dòng)車安全技術(shù)檢驗(yàn)工作的技術(shù)人員；（三）有完善的工作管理制度，有齊全的機(jī)動(dòng)車安全技術(shù)檢驗(yàn)標(biāo)準(zhǔn)等技術(shù)規(guī)范文件資料；（四）具有申請(qǐng)車輛類型和項(xiàng)目所需的機(jī)動(dòng)車安全技術(shù)檢驗(yàn)的設(shè)備及其校準(zhǔn)設(shè)備；（五）機(jī)動(dòng)車安全技術(shù)檢驗(yàn)設(shè)備應(yīng)當(dāng)通過合法有效的型式認(rèn)定，在用計(jì)量器具應(yīng)當(dāng)依法經(jīng)質(zhì)量技術(shù)監(jiān)督部門授權(quán)的計(jì)量技術(shù)機(jī)構(gòu)計(jì)

• 【質(zhì)量管理體系】體系特點(diǎn)

  體系特點(diǎn)（一）它代表現(xiàn)代企業(yè)或**機(jī)構(gòu)思考如何真正發(fā)揮質(zhì)量的作用和如何較優(yōu)地作出質(zhì)量決策的一種觀點(diǎn)；（二）它是深入細(xì)致的質(zhì)量文件的基礎(chǔ)；質(zhì)量管理體系過程方法（三）質(zhì)量體系是使公司內(nèi)較為廣泛的質(zhì)量活動(dòng)能夠得以切實(shí)管理的基礎(chǔ)；（四）質(zhì)量體系是有計(jì)劃、有步驟地把整個(gè)公司主要質(zhì)量活動(dòng)按重要性順序進(jìn)行改善的基礎(chǔ)。任何組織都需要管理。當(dāng)管理與質(zhì)量有關(guān)時(shí)，則為質(zhì)量管理。質(zhì)量管理是在質(zhì)量方面指揮和控制組織的協(xié)調(diào)活

• 客戶案例

  嘉興發(fā)電廠 博世電動(dòng)工具???????????????????????????????&n