ISO27001信息安全管理本質(zhì)就是人與事的關(guān)系,是人根據(jù)制度和流程,采用適宜的方法、工具和手段去降低風險。風險是安全管理的對象,人員、流程、手段是安全管理基本要素,其中人員是根本,流程是核心,手段是支撐。
培養(yǎng)和建立一支高效干練的人員隊伍參與ISO27001信息安全管理的人員應組成一個強有力的管理組織,分工明確、溝通順暢、協(xié)調(diào)有力,運作高效。通常安全管理組織應是扁平化的,以便發(fā)現(xiàn)問題,及時響應,能夠根據(jù)外部威脅的形勢,快速進行適應性變化。參與安全管理的人員的知識、技能應適用其崗位要求,并不斷的學習成長,適用信息安全快速變化的時代要求。
建立科學、合理、易于落地的管理體系ISO27001信息安全管理體系構(gòu)建應采用科學的方法,即按照ISO27001的要求,采用過程方法,通過過程的控制來為結(jié)果提供一種可持續(xù)的保證。信息安全管理體系建設(shè)不是編制幾個制度,它的目的是推動公司行動起來,發(fā)生變化,不斷提升其安全管控能力。要使安全管理體系有效發(fā)揮作用、起到實效,還必須:
全面化:要針對評估中發(fā)現(xiàn)的問題,與最佳實踐相比較所存在的差距,應覆蓋人員和組織、制度和流程、技術(shù)手段等所有要素,覆蓋信息系統(tǒng)的整個生命周期,覆蓋管理的整個過程。
系統(tǒng)化:管理體系應符合PDCA(規(guī)劃、實施、檢查、改進)思想,必須要有測量、反饋機制,能夠進行內(nèi)部監(jiān)督、審計,形成正向的內(nèi)部激勵機制,不斷進行改進和完善。
流程化:制度是有益的、必須的,但還必須貫穿部門間藩籬的、目標可控、易于落地的流程。流程使人員不需要關(guān)注過多的制度,只需按照流程工作即可,減輕了人員負擔。
規(guī)范化:對于具體工作,必須給出明確的工作指導和表單,規(guī)范人員的操作行為。
融合化:安全管理不是一個獨立的體系,應與現(xiàn)運維管理、內(nèi)部控制等現(xiàn)有制度和流程相融合,借鑒Cobit、ITIL、CMMI、PMP/PRINCE2、隱私數(shù)據(jù)保護等管理思想或方法的長處。
當然,每個公司都具有一定的個體特性,如文化、人員、組織和信息系統(tǒng)環(huán)境等等。在構(gòu)建時,應采用中醫(yī)的方法,嚴格診斷,對癥下藥,建立起符合自己特點管理體系。
有效利用各種技術(shù)手段這主要體現(xiàn)在兩個方面,一是采用技術(shù)手段,推動安全管理的電子化、自動化,提升管理效率;二是采用技術(shù)手段,保障管理流程、管理目標的有效強制落實和實現(xiàn)。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
