日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.com 綜合消息】很多企業(yè)都已經(jīng)建立了信息安全管理體系，來(lái)滿足業(yè)務(wù)需求或上層管理部門(mén)的要求，其中不乏成功案例，但大家都會(huì)面臨一個(gè)共同的問(wèn)題，那就是如何將信息安全管理體系（ISMS）持續(xù)的運(yùn)行下去，不斷的PDCA達(dá)到持續(xù)改進(jìn)的目的，正如我們以往經(jīng)驗(yàn)所說(shuō)的那樣：信息安全不是一場(chǎng)運(yùn)動(dòng)，而是一個(gè)持之以恒的活動(dòng)，是保證業(yè)務(wù)安全運(yùn)行的管理工作，信息安全應(yīng)體現(xiàn)在日常工作的每一個(gè)細(xì)節(jié)當(dāng)中。

10多年專注成都網(wǎng)站制作，成都企業(yè)網(wǎng)站定制，個(gè)人網(wǎng)站制作服務(wù)，為大家分享網(wǎng)站制作知識(shí)、方案，網(wǎng)站設(shè)計(jì)流程、步驟,成功服務(wù)上千家企業(yè)。為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì)及定制高端網(wǎng)站建設(shè)服務(wù),專注于成都企業(yè)網(wǎng)站定制,高端網(wǎng)頁(yè)制作,對(duì)成都廣告設(shè)計(jì)等多個(gè)領(lǐng)域，擁有多年的網(wǎng)站維護(hù)經(jīng)驗(yàn)。

ISO27001是國(guó)際上通用的信息安全管理體系標(biāo)準(zhǔn)，我們以這個(gè)標(biāo)準(zhǔn)要求為例，來(lái)簡(jiǎn)單解釋一下建立信息安全管理體系以及以后還需要做的工作：首先要獲得管理層的支持并確定建立信息安全管理體系的范圍，企業(yè)還需要做好各種準(zhǔn)備和策劃工作，包括教育培訓(xùn)、制定計(jì)劃、現(xiàn)狀調(diào)研，以及人力和資源方面的調(diào)配；

然后在這個(gè)范圍內(nèi)收集信息資產(chǎn)以輔助風(fēng)險(xiǎn)評(píng)估，識(shí)別出風(fēng)險(xiǎn)后選擇適用的風(fēng)險(xiǎn)處理措施并進(jìn)行處理，從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)，并將其文檔化，保持文件化的信息安全管理體系，作為組織實(shí)施風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)必不可少的依據(jù)。

信息安全管理體系文件編制完成以后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，在得到領(lǐng)導(dǎo)層對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)和對(duì)實(shí)施運(yùn)行ISMS的授權(quán)，并準(zhǔn)備適用性聲明（SoA），在體系運(yùn)行一段時(shí)間后進(jìn)行內(nèi)審、有效性測(cè)量和管理評(píng)審，并制定糾正預(yù)防措施，此后需要對(duì)資產(chǎn)進(jìn)行不斷的更新，并不斷地進(jìn)行風(fēng)險(xiǎn)評(píng)估、處理……以及其后的各種工作。

傳統(tǒng)我們都是靠管理體系本身來(lái)支撐這一系列工作的，ISMS建設(shè)的實(shí)施人員，除了要具備必要的知識(shí)技能和管理意識(shí)外，還要面臨大量具體、繁瑣和枯燥的工作，例如對(duì)信息資產(chǎn)的收集和維護(hù)過(guò)程，以及對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)的大量文案工作等等。如果能輔助以信息管理系統(tǒng)對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行管理，將是一種趨勢(shì)，現(xiàn)代企業(yè)管理中ERP已經(jīng)得到廣泛認(rèn)可和應(yīng)用，生產(chǎn)制造、質(zhì)量監(jiān)控、財(cái)務(wù)管理、商務(wù)管理、人力資源管理、客戶關(guān)系管理、電子商務(wù)等，已經(jīng)可以整合在一套基于網(wǎng)絡(luò)的、開(kāi)發(fā)平臺(tái)統(tǒng)一的、靈活配置業(yè)務(wù)流程的信息系統(tǒng)當(dāng)中，而信息安全管理體系建設(shè)與維護(hù)，同樣也可以通過(guò)類似的方式進(jìn)行管理。

目前谷安天下研發(fā)的IT風(fēng)險(xiǎn)管理系統(tǒng)（ITRM）正是能夠滿足體系維護(hù)需求的一款軟件：將建立和維護(hù)ISMS的過(guò)程固化在軟件中，內(nèi)置多行業(yè)多準(zhǔn)則知識(shí)庫(kù)，對(duì)ISMS范圍輕松管理，例如準(zhǔn)則范圍、組織架構(gòu)、資產(chǎn)清單、流程定義、業(yè)務(wù)定義等，支持安全檢查和差距分析，全面支持風(fēng)險(xiǎn)評(píng)估、體系建設(shè)、內(nèi)審、有效性測(cè)量、管理評(píng)審等一系列工作，保證這一系列工作的持續(xù)運(yùn)行和不斷改進(jìn)，并產(chǎn)生豐富的報(bào)表和報(bào)告。

下面就簡(jiǎn)單談?wù)劸S護(hù)信息安全管理體系過(guò)程中幾項(xiàng)關(guān)鍵的工作與ITRM系統(tǒng)的結(jié)合之道：

一、識(shí)別業(yè)務(wù)的變化

世界環(huán)境瞬息萬(wàn)變，因此一個(gè)組織的業(yè)務(wù)隨著市場(chǎng)、政治、科技等方面的發(fā)展而變化是非常正常且必然的。然而我們?cè)诮⑿畔踩芾眢w系時(shí)所劃定的管理范圍是一定的，后續(xù)在體系運(yùn)維過(guò)程中首先應(yīng)該關(guān)注的就是業(yè)務(wù)的變化，然后才是后續(xù)其他細(xì)節(jié)的工作。在一個(gè)組織內(nèi)維護(hù)信息安全的目的就是保障業(yè)務(wù)的安全運(yùn)行，因此從***意義上說(shuō)業(yè)務(wù)是我們保護(hù)的對(duì)象。而業(yè)務(wù)的變化對(duì)信息安全管理體系的影響是巨大的，可能會(huì)導(dǎo)致安全指導(dǎo)方針層面的根本性變化，所以筆者把業(yè)務(wù)放在***位。

ITRM系統(tǒng)將業(yè)務(wù)作為一個(gè)控制對(duì)象進(jìn)行識(shí)別和維護(hù)，正是為了滿足信息安全體系維護(hù)的基本要求：

圖1

#p#

二、識(shí)別組織架構(gòu)的變化

組織外部環(huán)境會(huì)發(fā)生變化，相應(yīng)的組織內(nèi)部同樣可能根據(jù)業(yè)務(wù)的變化而發(fā)生變化，尤其是決策層的變化，可能會(huì)影響到對(duì)管理體系的支持力度等方面。

組織架構(gòu)是ITRM系統(tǒng)在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)的基礎(chǔ)，系統(tǒng)支持對(duì)組織架構(gòu)的靈活調(diào)整，并且對(duì)后續(xù)風(fēng)險(xiǎn)評(píng)估等一系列工作都將產(chǎn)生重大影響。在ITRM系統(tǒng)中組織架構(gòu)是項(xiàng)目范圍的因素之一。

圖2

#p#

三、識(shí)別資產(chǎn)、技術(shù)、場(chǎng)所、新威脅等方面的外在變化

這些是做資產(chǎn)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，也是標(biāo)準(zhǔn)中所要求的。資產(chǎn)清單需要保證一定的實(shí)時(shí)性和準(zhǔn)確性，這可能需要一定的工作量，通常大家都是使用文檔（Excel格式）對(duì)資產(chǎn)清單進(jìn)行管理，一開(kāi)始收集資產(chǎn)時(shí)，這種方式是非常方便的，但在日后更新時(shí)會(huì)顯得比較麻煩。

ITRM系統(tǒng)在對(duì)資產(chǎn)進(jìn)行維護(hù)時(shí)，支持大批量導(dǎo)入和分權(quán)限管理，用戶可以將收集到的資產(chǎn)一次性的導(dǎo)入到系統(tǒng)中，此后在系統(tǒng)中進(jìn)行維護(hù)，無(wú)論是添加、修改、刪除，系統(tǒng)都能夠維護(hù)著一份準(zhǔn)確穩(wěn)定的當(dāng)前版本的資產(chǎn)清單，同時(shí)用戶還能夠查看歷史資產(chǎn)的內(nèi)容；而分權(quán)限管理資產(chǎn)，可以將資產(chǎn)管理下放到部門(mén)，由部門(mén)管理員對(duì)本部門(mén)的資產(chǎn)進(jìn)行維護(hù)，本部門(mén)只能對(duì)自己部門(mén)的資產(chǎn)及風(fēng)險(xiǎn)進(jìn)行維護(hù)，對(duì)其他部門(mén)的資產(chǎn)和風(fēng)險(xiǎn)則無(wú)權(quán)查看。這大大簡(jiǎn)化了組織級(jí)安全管理員的工作，并能夠?qū)L(fēng)險(xiǎn)管理的思想落實(shí)到每個(gè)部門(mén)當(dāng)中，同時(shí)簡(jiǎn)化了資產(chǎn)變更的上報(bào)流程，部門(mén)管理員將變更的資產(chǎn)及時(shí)的更新到系統(tǒng)中，組織級(jí)管理員隨時(shí)可以進(jìn)行檢查和更正，因此組織的風(fēng)險(xiǎn)狀態(tài)可以隨時(shí)保持***，使組織能夠迅速準(zhǔn)確的對(duì)風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。

圖3

#p#

四、風(fēng)險(xiǎn)評(píng)估和處理

在建立完信息安全管理體系以后，要根據(jù)組織規(guī)定定期重新進(jìn)行風(fēng)險(xiǎn)評(píng)估和處理，當(dāng)然此項(xiàng)工作的基礎(chǔ)是前面提到的幾項(xiàng)工作都已經(jīng)完成，而風(fēng)險(xiǎn)評(píng)估的方法在其后往往不會(huì)發(fā)生太大的變化，安全專員在做過(guò)一次風(fēng)險(xiǎn)評(píng)估后就能掌握風(fēng)險(xiǎn)評(píng)估的方法，其后大多是維護(hù)風(fēng)險(xiǎn)清單的工作。對(duì)風(fēng)險(xiǎn)的處理可能會(huì)隨著環(huán)境的變化以及技術(shù)的發(fā)展不斷更新，所以安全專員還需要不斷學(xué)習(xí)來(lái)提高自己的業(yè)務(wù)能力。

ITRM系統(tǒng)核心功能之一就是風(fēng)險(xiǎn)評(píng)估模塊，系統(tǒng)中固化了風(fēng)險(xiǎn)評(píng)估方法論和具體工作流程，同時(shí)還針對(duì)不同行業(yè)，把谷安天下多年來(lái)積累的咨詢經(jīng)驗(yàn)匯總成風(fēng)險(xiǎn)推薦放在知識(shí)庫(kù)中，用戶可以選擇自己行業(yè)的知識(shí)庫(kù)，在錄入完資產(chǎn)后就能夠看到針對(duì)本行業(yè)最容易出現(xiàn)的風(fēng)險(xiǎn)，用戶站在巨人的肩膀上再進(jìn)行風(fēng)險(xiǎn)評(píng)估將會(huì)有更好的準(zhǔn)確性和效率。

圖4

圖5

#p#

五、內(nèi)審及其他安全檢查

完備的檢查機(jī)制是保證體系正常高效運(yùn)行的手段，通常組織會(huì)根據(jù)自身情況制定管理規(guī)定，規(guī)范檢查機(jī)制和內(nèi)審機(jī)制。在體系運(yùn)維過(guò)程中，檢查是非常重要的一項(xiàng)工作，要在保證業(yè)務(wù)正常運(yùn)行的條件下，高效、全面、客觀地檢查組織內(nèi)部在執(zhí)行過(guò)程中的真實(shí)情況，以便制定糾正和預(yù)防措施，并對(duì)管理體系進(jìn)行必要的改進(jìn)。另外內(nèi)審和安全檢查的過(guò)程本身也是非常值得探討的，如何準(zhǔn)確的找到問(wèn)題點(diǎn)，如何對(duì)不符合項(xiàng)進(jìn)行跟蹤改進(jìn)，改進(jìn)效果如何等等，不但需要大量的文檔工作，也需要不斷跟進(jìn)科技時(shí)代的步伐，了解當(dāng)前***的技術(shù)。

ITRM系統(tǒng)內(nèi)置了內(nèi)審流程和安全檢查功能，能夠?yàn)閮?nèi)部審核與安全檢查工作提供輔助與記錄。

圖1

#p#

六、有效性測(cè)量

每當(dāng)提到ISMS的有效性測(cè)量時(shí)，大家都會(huì)感覺(jué)有些茫然或力不從心，但有句話叫做“你不能改進(jìn)你不能測(cè)量的東西”，這充分說(shuō)明了有效性測(cè)量的重要性，因?yàn)橛行詼y(cè)量能夠?qū)π畔踩芾砟繕?biāo)進(jìn)行考核，是ISMS持續(xù)改進(jìn)的重要依據(jù)，也是對(duì)信息安全管理工作的績(jī)效考核，同時(shí)滿足符合性的要求。而且有效性測(cè)量體系需要融入到ISMS體系的PDCA過(guò)程中，首先有效性測(cè)量的目標(biāo)要與ISMS的Plan階段制定的目標(biāo)吻合，并收集豐富的資料信息；在ISMS的Do運(yùn)作階段要針對(duì)有效性測(cè)量體系進(jìn)行詳細(xì)設(shè)計(jì)，對(duì)有效性測(cè)量的需求進(jìn)行分析，分解測(cè)量指標(biāo)，制定測(cè)量指標(biāo)采集方案，收集指標(biāo)并進(jìn)行記錄；在ISMS的check階段，根據(jù)有效性測(cè)量的結(jié)果對(duì)ISMS進(jìn)行評(píng)價(jià)，另外也需要對(duì)有效性測(cè)量體系本身進(jìn)行評(píng)價(jià)；在ISMS的Act改進(jìn)階段，對(duì)ISMS及測(cè)量指標(biāo)體系分別進(jìn)行改進(jìn)，使之更好地為ISMS服務(wù)。   ITRM系統(tǒng)支持對(duì)ISMS體系的有效性測(cè)量工作，將有效性測(cè)量的目標(biāo)、年度計(jì)劃、測(cè)量指標(biāo)、測(cè)量計(jì)劃、測(cè)量結(jié)果等過(guò)程固化在系統(tǒng)中，并在知識(shí)庫(kù)中預(yù)設(shè)了常見(jiàn)的有效性測(cè)量指標(biāo)。

七、管理評(píng)審

定期對(duì)ISMS進(jìn)行管理評(píng)審，以確保ISMS范圍保持充分，ISMS過(guò)程的改進(jìn)得到識(shí)別。

ITRM系統(tǒng)內(nèi)置了管理評(píng)審的工作流程，能夠?qū)芾碓u(píng)審工作提供輔助與記錄。

八、糾正預(yù)防，持續(xù)改進(jìn)

糾正措施是要消除與ISMS要求不符合的原因，并防止再次發(fā)生；預(yù)防措施是確定措施消除潛在的不符合的原因，防止其發(fā)生。而持續(xù)改進(jìn)則是通過(guò)使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評(píng)審等方式，持續(xù)改進(jìn)ISMS的有效性。

ITRM系統(tǒng)內(nèi)置了糾正預(yù)防措施的工作流程，能夠?qū)m正預(yù)防工作提供輔助與記錄，這也是保證體系持續(xù)改進(jìn)的方法之一。

以上這八項(xiàng)活動(dòng)只是維護(hù)信息安全管理體系中比較重要的幾項(xiàng)必須要做的工作，而且是不斷循環(huán)往復(fù)的，如果能得到谷安天下ITRM系統(tǒng)的支撐，將會(huì)極大的減輕工作量，提高工作效率和準(zhǔn)確性。當(dāng)然這是這只是對(duì)體系進(jìn)行維護(hù)的手段之一，今后我們還將探討更多的體系維護(hù)經(jīng)驗(yàn)和手段，來(lái)保證信息的真正安全。

當(dāng)前標(biāo)題：化繁為簡(jiǎn)——ITRM助您輕松維護(hù)信息安全管理體系
網(wǎng)頁(yè)路徑：http://www.5511xx.com/article/dhhocoj.html