軟件安全
自主研發(fā)軟件的專利及外購軟件的許可證管理均已成為企業(yè)不得不重視的問題,一旦疏忽就有可能給企業(yè)帶來很大的經(jīng)濟(jì)和名譽損失����。通過信息安全管理體系的建設(shè)�,許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專門部門管理��,使用須進(jìn)行登記��,采購須申請�����,到期須提醒。人員變動���、業(yè)務(wù)變動都有可能導(dǎo)致軟件的變更���,因此對軟件許可證的管理并不是采購后進(jìn)行登記一勞永逸的事情,在日常工作中需要保證一旦發(fā)生變化即更新許可證信息���,且提前做好許可證過期的準(zhǔn)備工作�����。
數(shù)據(jù)安全
數(shù)據(jù)對于企業(yè)是至關(guān)重要的,對其進(jìn)行的安全管理措施更需加大力度����。對存儲數(shù)據(jù)的移動介質(zhì)要做到登記并限制使用人群;對于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行���;同時數(shù)據(jù)備份須落實到位����,從業(yè)務(wù)角度識別數(shù)據(jù)備份需求,清晰定義數(shù)據(jù)備份策略(包括備份方式頻率等)��,的�����;數(shù)據(jù)備份需要進(jìn)行記錄�����,并定期進(jìn)行恢復(fù)性測試保留記錄�����,從而降低數(shù)據(jù)損失的風(fēng)險��。
物理安全
大多數(shù)企業(yè)都設(shè)立了門衛(wèi)�����、保安��、前臺等崗位��,通過信息安全管理體系的建立,也采用了訪客登記���,應(yīng)用門禁系統(tǒng)等措施�����,對于敏感區(qū)域(例如財務(wù)���、機(jī)房、研發(fā)中心等)進(jìn)行了隔離或更高權(quán)限的物理訪問控制�����。但訪客登記進(jìn)入后是否可以到處參觀����,是否有專人陪同并登記,進(jìn)入和離開的時間是否進(jìn)行了記錄��,必要時是否提交參觀申請得到授權(quán)�����;員工門禁卡和鑰匙的領(lǐng)取是否進(jìn)行了登記��,敏感區(qū)的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點�����。
安全檢查
安全檢查與年度或半年度的內(nèi)審并不同���,審核通常會基于行業(yè)要求��、標(biāo)準(zhǔn)規(guī)定和內(nèi)部規(guī)范進(jìn)行能夠檢查��,安全檢查目的是排查各方面的安全隱患�����,降低安全事件發(fā)生的風(fēng)險����,可以是隨機(jī)�����,也可是定期的����。每次檢查結(jié)果可保存,可作為日后改進(jìn)和信息安全管理體系(ISMS)有效性測量的依據(jù)。
安全事件
信息安全事件一旦發(fā)生�,就須快速響應(yīng)妥善處理,否則可能會給企業(yè)帶來更大損失���。首先���,企業(yè)須清晰定義什么是信息安全事件,使大家對信息安全事件形成相同的認(rèn)識���;第二�,可根據(jù)信息安全事件的嚴(yán)重程度進(jìn)行分級���,定義不同級別的事件匯報途徑�����、升級時間和處理要求����;且在整個公司公布相關(guān)要求����,做到發(fā)生安全事件即報告記錄并快速響應(yīng)處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務(wù)管理的最佳實踐和國際標(biāo)準(zhǔn)的事件管理章節(jié)�����。
安全培訓(xùn)
安全培訓(xùn)也是一項應(yīng)持續(xù)的長期活動�,安全培訓(xùn)可針對不同對象分成不同的培訓(xùn),可以定期組織面向管理層的信息安全標(biāo)準(zhǔn)��、法律法規(guī)解讀的管理培訓(xùn)�����;面向全員的信息安全意識普及性培訓(xùn)��;針對IT相關(guān)技術(shù)人員的信息安全技術(shù)知識的專業(yè)培訓(xùn)�;面向信息安全運維和管理人員提供的信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)(CISSP、CISP��、ISO27001主任審核員等)����。建議企業(yè)對培訓(xùn)過程、結(jié)果進(jìn)行記錄��,可作為信息安全體系建設(shè)的記錄和有效性測量的依據(jù)�����。
由此可看出,信息安全管理體系的落地貌似簡單�����,并非易事��,貴在堅持����,以上工作均需長期執(zhí)行,才可起到效果���,逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個角落中形成安全的工作環(huán)境�����。
從上文中可看出����,基本每塊內(nèi)容都提及了記錄保留相關(guān)信息等字眼�����,對這些長期工作的記錄保留目前各個企業(yè)采取不同的形式,有的領(lǐng)域采用紙張記錄�����,有些領(lǐng)域利用公司的一些操作平臺進(jìn)行記錄(例如OA�����、IT服務(wù)管理系統(tǒng)等)���,目前市面上協(xié)助信息安全管理體系落地的工具很稀缺,谷安天下數(shù)名信息安全領(lǐng)域的資深顧問共同總結(jié)多年信息安全管理方面經(jīng)驗結(jié)合各行業(yè)特點�,開發(fā)了協(xié)助各行業(yè)企業(yè)建立并維護(hù)信息安全管理體系的一套工具,涵蓋了上文提及到的各個領(lǐng)域的安全運營管理�����。管理+工具的使用協(xié)助您將信息安全管理體系在貴企業(yè)中落地實施并持續(xù)改進(jìn)�����。
?
