国产精品麻豆久久99,韩日在线播放,午夜体验,鲁鲁狠色综合色综合网站,亚洲视频区,高清2019av手机版,精品中文字幕不卡在线视频

安全管理網(wǎng)

信息安全管理體系如何落到實(shí)處

  
評(píng)論: 更新日期:2015年02月01日

各行業(yè)許多企業(yè)都根據(jù)業(yè)務(wù)所需選擇不同的國際、國內(nèi)標(biāo)準(zhǔn)搭建了信息安全管理體系(ISMS),無論是基于國際信息安全標(biāo)準(zhǔn)ISO27000,還是基于國家標(biāo)準(zhǔn)國家等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則的要求,信息安全管理體系(ISMS)的建立并不是一蹴而就的。在建立信息安全管理體系(ISMS)過程中企業(yè)會(huì)投入很多資源進(jìn)行資產(chǎn)收集、風(fēng)險(xiǎn)評(píng)估、采取種種控制措施降低風(fēng)險(xiǎn)、且制定相關(guān)的管理制度規(guī)范以降低企業(yè)風(fēng)險(xiǎn),提升員工信息安全意識(shí),從而達(dá)到提升企業(yè)整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實(shí)處,而不僅僅停留在一年一到兩次的風(fēng)險(xiǎn)評(píng)估、突擊性的控制措施實(shí)施和一套看似完備的信息安全管理制度,這可能是許多信息安全管理體系管理者經(jīng)常思考且關(guān)注的話題。就此話題,我想簡單總結(jié)一下在這方面的經(jīng)驗(yàn),希望籍此能啟發(fā)您的更多靈感。
  通知公告
  通過信息安全相關(guān)公告通知發(fā)放的方式,在企業(yè)中滲透信息安全各方面的信息和知識(shí),逐漸形成信息安全無處不在的工作氛圍,提升全員信息安全意識(shí)。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布;近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定,通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺(tái)、電子郵件、電子期刊等形式均可。
  帳號(hào)管理
  建議企業(yè)對(duì)各類帳號(hào)進(jìn)行嚴(yán)格管理,包括基本帳號(hào)(員工入職后默認(rèn)都需開通的帳號(hào),例如郵箱帳號(hào),OA帳號(hào),所在部門的公共文件夾等)、工作所需的各類應(yīng)用系統(tǒng)帳號(hào)(通常根據(jù)崗位職責(zé)所需開通的帳號(hào))、特殊權(quán)限的帳號(hào)(例如應(yīng)用系統(tǒng)管理員的帳號(hào),數(shù)據(jù)庫管理員的帳號(hào),域管理員的帳號(hào)等),VPN等特殊應(yīng)用的帳號(hào)。從管理角度,不同類別的帳號(hào)申請(qǐng)需要不同級(jí)別的管理人員授權(quán),一方面企業(yè)需清晰識(shí)別各類賬號(hào)并定義申請(qǐng)流程和授權(quán)方式;同時(shí)也需要保留必要的申請(qǐng)記錄以便查證,及測(cè)量體系實(shí)施的有效性。從使用角度,需要加強(qiáng)對(duì)員工的培訓(xùn)并制定必要的規(guī)范(例如不允許帳號(hào)共享,密碼定期修改等策略),以確保帳號(hào)不被濫用誤用,從而降低信息安全事件的發(fā)生。
  人員安全
  員工作為企業(yè)信息使用和傳遞的重要載體,員工變動(dòng)可能會(huì)給企業(yè)的信息安全帶來很大影響。在員工發(fā)生變動(dòng),即員工入職、轉(zhuǎn)崗和離職幾個(gè)關(guān)鍵點(diǎn)進(jìn)行控制,可大大降低其對(duì)企業(yè)信息安全的影響。因此在入職前,許多企業(yè)會(huì)對(duì)關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄,簽訂保密協(xié)議等;發(fā)生內(nèi)部職責(zé)變動(dòng)時(shí),要求員工填寫工作交接單,刪除其原有崗位賬號(hào)等措;離職時(shí),要求員工填寫離職交接單,清理數(shù)據(jù),歸還物品。同樣,在這些關(guān)鍵點(diǎn),企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。
  設(shè)備安全
  通常企業(yè)在資產(chǎn)管理方面相對(duì)完善,但對(duì)設(shè)備自身的信息安全管理相對(duì)弱很多,IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù),在維護(hù)過程中無論是對(duì)設(shè)備自身進(jìn)行的更換、更新,還是對(duì)其承造的系統(tǒng)、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整、結(jié)構(gòu)調(diào)整等變更均有可能對(duì)其中的信息數(shù)據(jù)造成不利影響,甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作。因?yàn)閷?duì)IT設(shè)備變更進(jìn)行控制是至關(guān)重要的,在實(shí)施變更前,須根據(jù)變更的緊急程度和可能帶來的影響程度進(jìn)行變更分類和風(fēng)險(xiǎn)評(píng)估,制定詳細(xì)的變更計(jì)劃并得到相應(yīng)級(jí)別的授權(quán);變更實(shí)施后須對(duì)變更結(jié)果進(jìn)行記錄且進(jìn)行回顧,以確保變更實(shí)施的成功和經(jīng)驗(yàn)總結(jié),具體實(shí)施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國際標(biāo)準(zhǔn)。

網(wǎng)友評(píng)論 more
創(chuàng)想安科網(wǎng)站簡介會(huì)員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會(huì)員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們