安全管理｜浅谈信息安全管理体系建设

时间：2022-06-11作者：杭州贝安企业管理有限公司浏览：195

信息安全管理系统（I S)它是组织在整体或特定范围内建立的信息安全政策和目标，以及完成这些目标所使用的方法和系统。它是直接管理活动的结果，表示为政策、原则、目标、方法、计划、活动、程序、过程和资源 。




虽然不是一个人的安全部门，但一的安全管理岗位在信息安全管理体系中的责任不亚于那些孤军奋战的一个人的安全部门。即使你知道前面的路充满了荆棘，你也必须奋斗和前进。这是相当天将减少对斯人的责任……视觉感，给那些奋战**的安全管理**者较高的敬意。

达到一定规模后，才会有安全管理岗位的坑。一般都是一个人的安全部门，附属于运维部门。一个人既有安全运维、安全管理、应用安全(代码审计、渗透)、安全开发，甚至需要承担部分运维责任。对于规模稍大、重视信息安全的前瞻性企业，或合规要求严格的企业，将设立专门的安全管理岗位，甚至设立独立的安全部门。我就自己的专业范围和工作职责谈安全管理岗位。

常说三点靠技术，七点靠管理，但至少我们需要形成共识——信息安全问题不能仅仅作为技术问题来处理，安全管理的作用是可以理解的。

作为承担安全管理责任的安全管理岗位，核心工作是建立、实施、维护和不断完善信息安全管理体系。通过合理的组织体系、规章制度和控制措施，整合具有信息安全功能的软硬件设施和管理人员，确保整个组织达到预定的信息安全。

不同企业对信息安全管理体系建设的需求也不同：

1. 信息安全管理体系可以从零开始建立；

2. 企业可能有信息安全管理系统，但只有冷制度规范，躺在经理的电脑上，直到面对监管机构的检查才开始发挥作用，没有发挥约束力和控制；

3. 可能企业已有信息安全管理体系，但是实时性无法满足企业日益变化的安全需求，待进一步优化改进；

4. ……

在系统建设之初，我相信每个人的初衷都是建立一个可实施的信息安全管理系统。但我们都知道，没有**的安全或**的着陆。ISO27001所谓**安全可落地的信息安全管理体系没有定义。它倡导的是PDCA流程模式，保证管理体系不断完善的有效模式。PDCA循环将一个过程抽象为四个阶段：规划、实施、检查和措施。通过持续循环，信息安全管理不断改进。

信息安全管理体系的有效实施在很大程度上决定了信息安全管理的水平。如何建立一个相对可实施的信息安全管理体系是安全管理岗位工作的核心问题。关于这个问题，我一直在思考和反思整个系统建设过程中，我仍在探索的道路上，不能给出一个完整和准确的答案。但基于个人在整个系统建设过程中的思考和思考，总结了几点。

一、高层的明确支持和相关资源的**

在组织内建立信息安全管理体系必须得到高级管理人员的承诺和支持！为什么？

1. 从上到下高效推广

我相信绝大多数安全管理岗位都有同样的经验和感受：我们努力推广某*程规范，希望在某些方面改善企业的信息安全问题，但在与各部门沟通的过程中，我们到处碰壁。其他部门不一定愿意采用流程规范，或出于工作效率或拒绝新事物。更直率地说，每个部门都有自己的部门KPI，对于信息安全部门来说，信息安全管理体系的建设和实施确实是一个重要的问题KPI评估指标，但对于业务部门来说，他们可能更关注业务的稳定运行，而信息安全管理系统只是辅助业务安全稳定运行的工具。如果高级管理人员能够处理跨部门之间的协调问题，相应的安全政策和控制措施可以更有效地实施组织，系统建设将用一半的努力得到两倍的结果。这也反映了ISO27001中所提倡的“**力”的概念，信息安全需要从上至下推动，需要从上而下全员参与。

2. 资源**有效

另一方面，引用了一句俗语聪明的女人没有米饭很难做饭。在信息安全管理体系建设过程中，可能涉及外部咨询机构和评估机构的引入，以及安全设备的采购……钱！钱！钱！钱！是任何项目发展的基础，需要**在有效安全过程中的必要财政支持。

我们确实看到一些企业可能不聘请任何外部第三方咨询机构，内部人员建立自己的信息安全管理体系；

我们也见过一些企业(防病毒软件，WAF……），基于开源软件的二次开发，内部人员自行开发或满足安全需要；

上述做法可行吗？只要企业内的人力资源能够满足现有需求，当然是可行的！归根结底，人力资源投资与资本投资的平衡是较可行的解决方案！

但是，无论是人力资源投入还是项目设备资金采购，都离不开**的高度支持。

二、适合自己的才是较好的

为什么要建立一个信息安全管理系统？企业面临的问题和风险是什么？企业现在处于什么安全管理水平？各企业信息安全工作的起点和重点不同，后续安全工作的重点自然也不同。我们确实看到大型企业有完善的安全管理体系，处于行业*，**安全发展趋势，管理体系不一定，我们可以参考他们的管理模式，在我们内部做一定的调整，但不的管理模式，复制， 。管理50人和管理5000人适用于不同的管理方法。也许既然他们都有能力有效地管理5000人，他们真的可以管理50人。但在某种程度上，你怎么能用牛刀杀死鸡呢？ 如果一个安全要求不是很高的企业，遵循安全要，发布各种安全体系政策，控制各种安全过程，做各种安全审计和检查，理论上是安全的，但让公众怨恨沸腾，往往效果不好。投入产出是一个永恒的话题，需要测量安全管理岗位。毕竟，安全是为业务服务的，信息安全管理体系必须从业务目标出发，反映业务的安全需求。只要能满足业务的安全需求，即使控制程度不如其他行业，也是一个很好的管理体系。适合你自己的，是较好的！


杭州贝安企业管理有限公司专注于环境管理体系,质量管理体系,信息安全管理体系,质量体系,管理体系,交通运输服务体系认证,交通运输服务认证,机动车检测服务AAAAA认证,机动车检测服务5A认证,机动车检测服务5星认证等, 欢迎致电 13396513322

• 词条

  词条说明

• 整合管理体系、一体化管理体系是企业提高管理水平

  整合管理体系、一体化管理体系是企业提升管理能力，减少花费的主要挑选一体化管理体系（Integrated Management System）又被称作综合性管理体系或整合管理体系，就是指2个、三个或N个管理体系共存，将公共性因素**化学整合在一起，在统一的管理方法架构下运转的体系方式。●一体化审核就是指*认证在同一时间、用同一审核组、按同一审核方案，对同一机构已整合运作的2个或两种以上管理体系开展

• 信息安全管理体系

  信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS*被**接受和认可，成为**、各种类型、各种规模

• 【质量体系】质量体系是什么

  质量体系包含一套专门的组织机构，具备了保证产品或服务质量的人力、物力，还要明确有关部门和人员的职责和权力，以及规定完成任务所必需的各项程序和活动。因此质量体系是一个组织落实有物质**和有具体工作内容的**整体。质量体系指为保证产品、过程或服务质量，满足规定（或潜在）的要求，由组织机构、职责、程序、活动、能力和资源等构成的**整体。也就是说，为了实现质量目标的需要而建立的综合体；为了履行合同，贯彻法

• 质量管理体系认证不通过怎么办质量管理体系认证重审麻烦吗

     在质量管理体系认证中，许多企业会遇到认证失败的情况，毕竟，任何单位的质量管理体系都不是很完善，经现场审核直接评价为符合质量管理体系标准，注册不多。审计人员经常发现一些质量管理体系与认证标准不一致，或质量管理体系不符合质量手册或质量活动不符合程序规定等不合格项目。这里小边将详细介绍如何审计失败。    审计小组一般应将不合格项目分为两类。一是严重不合格