×

扫描二维码登录本站

信息安全管理如何从零做起  

标签: 暂无标签
对于信息安全管理方面相对空白的企业来说,从哪里做起并不重要,重要的是现在做的适不适合企业的现状,有没有适合你做某项工作的资源可以调配,资金是否到位?领导是否支持?其他部门是否配合?“条条大路通罗马”,同理,“条条道路通安全”, 信息安全体系的建立是要遵从业务的发展方向,符合业务发展要求。

完善的信息安全体系不是一蹴而就的,如果目前真的是一张白纸,还是建议从一些较小的目标开始做。可以先解决一些眼前比较突出又易于解决的安全问题。事别嫌小,安全是长期的工作,别一上来就做体系,要安全有些底子之后才谈得上体系。“天下难事,必作于易;天下大事,必作于细。是以圣人终不为大,故能成其大。”讲得就是这个道理。

我们不能用专业人员的眼光看待企业的发展,特别是安全方面的建设需要上面的领导有这方面的意识。一开始贪的太大可能什么都做不好,需要上层领导的支持和理解,从制度、架构、组织、技术等逐步的来。没有跟上层领导达成共识之前是很难推动这些事情的(在没出安全问题之前企业只看到投入看不到产出)。对于信息安全空白的企业最好是由事件推动。

平时可以做个风险分析,和各个业务老总汇报下,看业务最担心什么。解决企业的问题最重要,然后构建层次化的防御体系,最重要的是从技术、管理、工程和人员四个方面综合考虑,建立起四位一体融合的防御体系。

当公司运行在一个较稳定的组织和运行架构下时,可以先建立起覆盖所有部门的信息安全组织(虚拟),然后从物理——网络——系统——应用——数据等层次做安全控制,在做一次对公司全面、深入的调研,看看哪一方面的控制比较迫切,比较有着力点,依次进行,最后从战略层制定一个五年的规划。在实施技术的同时,制度也要配合着发布。等到技术体系达到一定的齐全程度,也就可以按照ISO27001管理体系来回顾制度,查缺补漏,逐步完善!




上一篇:在itop中如何定义、生成工程师工作报表?
下一篇:ISO27001信息安全管理体系落实并不难
土豆

写了 9 篇文章,拥有财富 72,被 4 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
芨芨草 发表于 2014-6-25 14:12:43
感谢分享!
小北之梦 发表于 2014-10-25 22:49:43
写的有道理,现在很多公司的信安管理人员,张口闭口就是体系,制度,一点实事都不干,空谈安全。
jeffchaisen 发表于 2016-2-19 08:42:16
:):)
qiufeng2016 发表于 2016-4-19 17:58:49
感谢分享
12下一页
Powered by ITIL  © 2001-2025
返回顶部