軟件安全
　　自主研發(fā)軟件的專(zhuān)利及外購(gòu)軟件的許可證管理均已成為企業(yè)不得不重視的問(wèn)題，一旦疏忽就有可能給企業(yè)帶來(lái)很大的經(jīng)濟(jì)和名譽(yù)損失。通過(guò)信息安全管理體系的建設(shè)，許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專(zhuān)門(mén)部門(mén)管理，使用須進(jìn)行登記，采購(gòu)須申請(qǐng)，到期須提醒。人員變動(dòng)、業(yè)務(wù)變動(dòng)都有可能導(dǎo)致軟件的變更，因此對(duì)軟件許可證的管理并不是采購(gòu)后進(jìn)行登記一勞永逸的事情，在日常工作中需要保證一旦發(fā)生變化即更新許可證信息，且提前做好許可證過(guò)期的準(zhǔn)備工作。
　　數(shù)據(jù)安全
　　數(shù)據(jù)對(duì)于企業(yè)是至關(guān)重要的，對(duì)其進(jìn)行的安全管理措施更需加大力度。對(duì)存儲(chǔ)數(shù)據(jù)的移動(dòng)介質(zhì)要做到登記并限制使用人群；對(duì)于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行；同時(shí)數(shù)據(jù)備份須落實(shí)到位，從業(yè)務(wù)角度識(shí)別數(shù)據(jù)備份需求，清晰定義數(shù)據(jù)備份策略（包括備份方式頻率等），的；數(shù)據(jù)備份需要進(jìn)行記錄，并定期進(jìn)行恢復(fù)性測(cè)試保留記錄，從而降低數(shù)據(jù)損失的風(fēng)險(xiǎn)。
　　物理安全
　　大多數(shù)企業(yè)都設(shè)立了門(mén)衛(wèi)、保安、前臺(tái)等崗位，通過(guò)信息安全管理體系的建立，也采用了訪客登記，應(yīng)用門(mén)禁系統(tǒng)等措施，對(duì)于敏感區(qū)域（例如財(cái)務(wù)、機(jī)房、研發(fā)中心等）進(jìn)行了隔離或更高權(quán)限的物理訪問(wèn)控制。但訪客登記進(jìn)入后是否可以到處參觀，是否有專(zhuān)人陪同并登記，進(jìn)入和離開(kāi)的時(shí)間是否進(jìn)行了記錄，必要時(shí)是否提交參觀申請(qǐng)得到授權(quán)；員工門(mén)禁卡和鑰匙的領(lǐng)取是否進(jìn)行了登記，敏感區(qū)的訪問(wèn)是否提交了申請(qǐng)等這些方面均是物理安全的以保障的控制點(diǎn)。
　　安全檢查
　　安全檢查與年度或半年度的內(nèi)審并不同，審核通常會(huì)基于行業(yè)要求、標(biāo)準(zhǔn)規(guī)定和內(nèi)部規(guī)范進(jìn)行能夠檢查，安全檢查目的是排查各方面的安全隱患，降低安全事件發(fā)生的風(fēng)險(xiǎn)，可以是隨機(jī)，也可是定期的。每次檢查結(jié)果可保存，可作為日后改進(jìn)和信息安全管理體系（ISMS）有效性測(cè)量的依據(jù)。
　　安全事件
　　信息安全事件一旦發(fā)生，就須快速響應(yīng)妥善處理，否則可能會(huì)給企業(yè)帶來(lái)更大損失。首先，企業(yè)須清晰定義什么是信息安全事件，使大家對(duì)信息安全事件形成相同的認(rèn)識(shí)；第二，可根據(jù)信息安全事件的嚴(yán)重程度進(jìn)行分級(jí)，定義不同級(jí)別的事件匯報(bào)途徑、升級(jí)時(shí)間和處理要求；且在整個(gè)公司公布相關(guān)要求，做到發(fā)生安全事件即報(bào)告記錄并快速響應(yīng)處理。對(duì)于安全事件的管理可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國(guó)際標(biāo)準(zhǔn)的事件管理章節(jié)。
　　安全培訓(xùn)
　　安全培訓(xùn)也是一項(xiàng)應(yīng)持續(xù)的長(zhǎng)期活動(dòng)，安全培訓(xùn)可針對(duì)不同對(duì)象分成不同的培訓(xùn)，可以定期組織面向管理層的信息安全標(biāo)準(zhǔn)、法律法規(guī)解讀的管理培訓(xùn)；面向全員的信息安全意識(shí)普及性培訓(xùn)；針對(duì)IT相關(guān)技術(shù)人員的信息安全技術(shù)知識(shí)的專(zhuān)業(yè)培訓(xùn)；面向信息安全運(yùn)維和管理人員提供的信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)（CISSP、CISP、ISO27001主任審核員等）。建議企業(yè)對(duì)培訓(xùn)過(guò)程、結(jié)果進(jìn)行記錄，可作為信息安全體系建設(shè)的記錄和有效性測(cè)量的依據(jù)。
　　由此可看出，信息安全管理體系的落地貌似簡(jiǎn)單，并非易事，貴在堅(jiān)持，以上工作均需長(zhǎng)期執(zhí)行，才可起到效果，逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個(gè)角落中形成安全的工作環(huán)境。
　　從上文中可看出，基本每塊內(nèi)容都提及了記錄保留相關(guān)信息等字眼，對(duì)這些長(zhǎng)期工作的記錄保留目前各個(gè)企業(yè)采取不同的形式，有的領(lǐng)域采用紙張記錄，有些領(lǐng)域利用公司的一些操作平臺(tái)進(jìn)行記錄（例如OA、IT服務(wù)管理系統(tǒng)等），目前市面上協(xié)助信息安全管理體系落地的工具很稀缺，谷安天下數(shù)名信息安全領(lǐng)域的資深顧問(wèn)共同總結(jié)多年信息安全管理方面經(jīng)驗(yàn)結(jié)合各行業(yè)特點(diǎn)，開(kāi)發(fā)了協(xié)助各行業(yè)企業(yè)建立并維護(hù)信息安全管理體系的一套工具，涵蓋了上文提及到的各個(gè)領(lǐng)域的安全運(yùn)營(yíng)管理。管理+工具的使用協(xié)助您將信息安全管理體系在貴企業(yè)中落地實(shí)施并持續(xù)改進(jìn)。
?