新闻中心 
ISO27001如何落地?-领汇认证中心
2021-07-09
浏览次数:次
返回列表各企业都根据业务所需选择搭建了信息安全管理体系,无论是基于国际信息安全标准还是基于国家标准的要求,信息安全管理体系的建立都不是一蹴而就的。在建立信息安全管理体系过程中需要企业投入很多资源进行资产收集、风险评估、采取种种控制措施降低风险、且制定相关的管理制度规范以降低企业风险,提升员工信息安全意识,从而达到提升企业整体信息安全管理水平。但如何可以真正的将信息安全管理体系落到实处,而不仅仅是停留在每次的风险评估、突击性的控制措施实施和一套看似完备的信息安全管理制度呢?
一、通知公告:通过信息安全通知发放的方式,在企业中渗透信息安全方面的信息和知识,逐渐形成信息安全无处不在的工作氛围,提升全员信息安全意识。
二、帐号管理:加强对各类帐号的管理。从管理角度,不同类别的帐号申请需要不同级别的管理人员授权,一方面企业需清晰识别各类账号并定义申请流程和授权方式;同时也需要保留必要的申请记录以便查证,及测量体系实施的有效性。从使用角度,需要加强对员工的培训并制定必要的规范,以确保帐号不被滥用误用,从而降低信息安全事件的发生。
三、人员安全:员工作为企业信息使用和传递的重要载体,员工变动可能会给企业的信息安全带来很大影响。在员工发生变动时进行控制,可大大降低其对企业信息安全的影响。比如在入职前,签订保密协议、岗位更换时填写工作交接单等。
四、设备安全:IT设备承载大量的企业信息数据,在维护过程中必须制定详细的计划并得到相应级别的授权,并对结果进行记录且进行回顾。
五、软件安全:软件自主研发专利及外购软件的许可证管理已成为企业不可忽视的问题,一旦疏忽就有可能给企业带来很大的经济和名誉损失。通过信息安全管理体系的建设,许多企业要求软件许可证也作为固定资产由专门部门管理,使用须进行登记、采购、到期提醒。
六、安全检查:安全检查目的是排查各方面的安全隐患,降低安全事件发生的风险,将检查结果可保存,可作为日后改进和信息安全管理体系有效性测量的依据。
信息安全管理体系的落地貌似简单,并非易事,贵在坚持,需要企业长期坚持执行,方能提升企业的信息安全管理水平并将信息安全渗透到企业的各个角落中形成安全的工作环境。
京公网安备 11011502006429号 领汇认证中心,让认证成为一件简单的事!
