信息安全管理體系如何落到實(shí)處
評(píng)論: 更新日期:2015年02月01日
各行業(yè)許多企業(yè)都根據(jù)業(yè)務(wù)所需選擇不同的國際�、國內(nèi)標(biāo)準(zhǔn)搭建了信息安全管理體系(ISMS)����,無論是基于國際信息安全標(biāo)準(zhǔn)ISO27000,還是基于國家標(biāo)準(zhǔn)國家等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則的要求���,信息安全管理體系(ISMS)的建立并不是一蹴而就的�。在建立信息安全管理體系(ISMS)過程中企業(yè)會(huì)投入很多資源進(jìn)行資產(chǎn)收集���、風(fēng)險(xiǎn)評(píng)估���、采取種種控制措施降低風(fēng)險(xiǎn)、且制定相關(guān)的管理制度規(guī)范以降低企業(yè)風(fēng)險(xiǎn)�����,提升員工信息安全意識(shí),從而達(dá)到提升企業(yè)整體信息安全管理水平���。但如何可以真正的將信息安全管理體系落到實(shí)處�����,而不僅僅停留在一年一到兩次的風(fēng)險(xiǎn)評(píng)估�、突擊性的控制措施實(shí)施和一套看似完備的信息安全管理制度�,這可能是許多信息安全管理體系管理者經(jīng)常思考且關(guān)注的話題。就此話題����,我想簡單總結(jié)一下在這方面的經(jīng)驗(yàn),希望籍此能啟發(fā)您的更多靈感�����。
通知公告
通過信息安全相關(guān)公告通知發(fā)放的方式�����,在企業(yè)中滲透信息安全各方面的信息和知識(shí),逐漸形成信息安全無處不在的工作氛圍�,提升全員信息安全意識(shí)。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布;近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息��。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定,通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺(tái)��、電子郵件�����、電子期刊等形式均可��。
帳號(hào)管理
建議企業(yè)對(duì)各類帳號(hào)進(jìn)行嚴(yán)格管理��,包括基本帳號(hào)(員工入職后默認(rèn)都需開通的帳號(hào)�����,例如郵箱帳號(hào)����,OA帳號(hào)��,所在部門的公共文件夾等)����、工作所需的各類應(yīng)用系統(tǒng)帳號(hào)(通常根據(jù)崗位職責(zé)所需開通的帳號(hào))�、特殊權(quán)限的帳號(hào)(例如應(yīng)用系統(tǒng)管理員的帳號(hào)��,數(shù)據(jù)庫管理員的帳號(hào)��,域管理員的帳號(hào)等)�����,VPN等特殊應(yīng)用的帳號(hào)�����。從管理角度���,不同類別的帳號(hào)申請(qǐng)需要不同級(jí)別的管理人員授權(quán)�����,一方面企業(yè)需清晰識(shí)別各類賬號(hào)并定義申請(qǐng)流程和授權(quán)方式�����;同時(shí)也需要保留必要的申請(qǐng)記錄以便查證�����,及測(cè)量體系實(shí)施的有效性�。從使用角度,需要加強(qiáng)對(duì)員工的培訓(xùn)并制定必要的規(guī)范(例如不允許帳號(hào)共享����,密碼定期修改等策略),以確保帳號(hào)不被濫用誤用����,從而降低信息安全事件的發(fā)生�。
人員安全
員工作為企業(yè)信息使用和傳遞的重要載體,員工變動(dòng)可能會(huì)給企業(yè)的信息安全帶來很大影響���。在員工發(fā)生變動(dòng)�����,即員工入職�����、轉(zhuǎn)崗和離職幾個(gè)關(guān)鍵點(diǎn)進(jìn)行控制���,可大大降低其對(duì)企業(yè)信息安全的影響���。因此在入職前,許多企業(yè)會(huì)對(duì)關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄��,簽訂保密協(xié)議等�;發(fā)生內(nèi)部職責(zé)變動(dòng)時(shí),要求員工填寫工作交接單�����,刪除其原有崗位賬號(hào)等措����;離職時(shí),要求員工填寫離職交接單��,清理數(shù)據(jù)�,歸還物品。同樣���,在這些關(guān)鍵點(diǎn)��,企業(yè)最好能制定明確的交接審批流程并妥善保留記錄��。
設(shè)備安全
通常企業(yè)在資產(chǎn)管理方面相對(duì)完善����,但對(duì)設(shè)備自身的信息安全管理相對(duì)弱很多,IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù)�����,在維護(hù)過程中無論是對(duì)設(shè)備自身進(jìn)行的更換����、更新,還是對(duì)其承造的系統(tǒng)����、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整�、結(jié)構(gòu)調(diào)整等變更均有可能對(duì)其中的信息數(shù)據(jù)造成不利影響,甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作�。因?yàn)閷?duì)IT設(shè)備變更進(jìn)行控制是至關(guān)重要的,在實(shí)施變更前�����,須根據(jù)變更的緊急程度和可能帶來的影響程度進(jìn)行變更分類和風(fēng)險(xiǎn)評(píng)估,制定詳細(xì)的變更計(jì)劃并得到相應(yīng)級(jí)別的授權(quán)�����;變更實(shí)施后須對(duì)變更結(jié)果進(jìn)行記錄且進(jìn)行回顧��,以確保變更實(shí)施的成功和經(jīng)驗(yàn)總結(jié)�����,具體實(shí)施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國際標(biāo)準(zhǔn)����。
