实际上,这个问题的本质就是ISMS咨询项目有效性的问题,咨询是否有效,关键是由两个方面所决定,一是咨询顾问解决问题的能力,二是企业本身执行力的强弱。
n 顾问明确自己在项目中扮演的角色仅仅是传递ISMS建设和运作的知识和方法,并为企业的ISMS的建设指明方向。
n 培训在咨询项目中扮演重要的角色,培训材料的准备要具有针对性,同时特别要强调的是检查培训的效果。
n 企业员工理解公司的信息安全策略以及相关管理制度,最好的做法是执行者同时就是相关安全策略的编写者,这是解决策略的可操作性和合理性的关键。
n 必要的考核指标,让用户了解不执行安全策略可能造成的后果
n 控制措施的执行尽可能的辅以技术的手段来帮助实施,而不是要靠员工的思想意识来执行。(如密码策略要求密码的长度必须是 6位以上,这就可以通过技术手段来实施。)