1信息安全管理体系如何落到实处各行业许多企业都根据业务所需选择不同的国际、国内标准搭建了信息安全管理体系( ISMS),无论是基于国际信息安全标准ISO27000,还是基于国家标准国家等级保护测评准则的要求,信息安全管理体系(ISMS)的建立并不是一蹴而就的。在建立信息安全管理体系(ISMS)过程中企业会投入很多资源进行资产收集、风险评估、采取种种控制措施降低风险、且制定相关的管理制度规范以降低企业风险,提升员工信息安全意识,从而达到提升企业整体信息安全管理水平。但如何可以真正的将信息安全管理体系落到实处,而不仅仅停留在一年一到两次的风险评估、突击性的控制措施实施和一套看似完备的信息安全管理制度,这可能是许多信息安全管理体系管理者经常思考且关注的话题。就此话题,我想简单总结一下在这方面的经验,希望籍此能启发您的更多灵感。通知公告通过信息安全相关公告通知发放的方式,在企业中渗透信息安全各方面的信息和知识,逐渐形成信息安全无处不在的工作氛围,提升全员信息安全意识。信息安全公告的内容可以包括行业在信息安全方面的新要求或指引的发布;企业内部信息安全相关要求的发布;近期信息安全相关新闻的以及发生的信息安全事件等信息。信息安全公告的发布周期和发布形式可以根据企业自身情况而定,通过企业内部使用的公共信息发布平台、电子邮件、电子期刊等形式均可。帐号管理建议企业对各类帐号进行严格管理,包括基本帐号(员工入职后默认都需开2通的帐号,例如邮箱帐号,OA帐号,所在部门的公共文件夹等)、工作所需的各类应用系统帐号(通常根据岗位职责所需开通的帐号)、特殊权限的帐号(例如应用系统管理员的帐号,数据库管理员的帐号,域管理员的帐号等),VPN等特殊应用的帐号。从管理角度,不同类别的帐号申请需要不同级别的管理人员授权,一方面企业需清晰识别各类账号并定义申请流程和授权方式;同时也需要保留必要的申请记录以便查证,及测量体系实施的有效性。从使用角度,需要加强对员工的培训并制定必要的规范(例如不允许帐号共享,密码定期修改等策略),以确保帐号不被滥用误用,从而降低信息安全事件的发生。人员安全员工作为企业信息使用和传递的重要载体,员工变动可能会给企业的信息安全带来很大影响。在员工发生变动,即员工入职、转岗和离职几个关键点进行控制,可大大降低其对企业信息安全的影响。因此在入职前,许多企业会对关键岗位的员工进行背景调查并形成记录,签订保密协...
