×

扫描二维码登录本站

标签: 暂无标签
当你负责公司的信息安全管理工作时,体系在实施运行过程中,碰到了意想不到的难题。有些部门抱怨说,体系中的一些制度措施严重妨碍他们的工作;有些部门嘲笑说,体系中的一些制度措施根本是南辕北辙;有些部门反对说,体系中的一些制度措施没法执行,否则业务就别做了。在体系执行上,各部门普遍表现被动,推一下动一下。

总感觉在信息安全管理体系上有说不清的原由,“信息安全管理体系为什么难落实?”。
想要建立信息安全管理体系的客户规避这种困境,帮助已有信息安全体系的客户走出这种困境,使信息安全管理体系真正有效运作起来,为业务的发展起到保驾护航的作用。通过深入研究,我找到了一些信息安全管理体系难落实的原因和应对的解决方法。信息安全管理体系难落实,其他部门没有很好执行只是其中的一个小原因,最大的原因在于信息安全管理体系本身。有些问题是在体系建立阶段就埋下的,有些问题是在体系推行阶段考虑不周造成的,有些问题是在体系运作阶段保障机制不当引起的。下面按照体系建立、体系推行、体系运作三个阶段,分别对这些问题进行分析并给出相应的解决方案。

体系建立阶段
在体系建立阶段,问题往往体现在需求挖掘不深入不全面,没有充分地了解现状和分析企业的信息安全需求。
具体表现如下:
1. 对企业的状况只做基本了解,没有充分挖掘企业的信息安全现状和对信息安全的内在需求。
2. 由一个专门的小组撰写制度要求,没有让利益相关部门参与进来,他们的要求和意见没有得到充分表达和体现。
3. 没有为信息安全管理体系的制度要求设计适当的措施进行支撑。
应对上述问题的药方如下:
1. 对企业的信息安全现状和信息安全需求进行全面深入地挖掘。要真正用好差距分析和风险评估的方法,而不是走过场。
2. 制度的制定和措施的选择,要充分考虑业务的需求和企业文化的特点。对于每项制度和措施,采用虚拟小组的形式,让相关部门都参与进来,共同探讨和确定。
3. 所有的制度要求,优先考虑技术手段和流程来支撑,让员工在工作中不知不觉地就做好了信息安全工作。

体系推行阶段
在体系推行阶段,问题的焦点在于没有组织支撑、对信息安全管理体系的培训宣传不到位和采取大跃进式的推行方式。
具体表现如下:
1. 依靠个人或者不适宜的组织推行信息安全管理体系,推广的效力不足。
2. 信息安全管理体系的内容没有得到充分的宣传和培训,领导和员工知之甚少。
3. 将信息安全管理体系的全部制度要求一下子推广到所有部门,对现有的工作造成较大冲击。
应对上述问题的药方如下:
1. 建立与体系推行范围相适应的信息安全组织,确保组织的效力是足够的。
2. 按部门、岗位和管理层级,大力开展有针对性的信息安全管理体系的宣传和培训,确保所有人员熟知与其相关的要求。
3. 采用制度分步推行(把制度按优先级进行分类,重要的先推行)、部门试点、边试边改、循序渐进的方式推行信息安全管理体系。

体系运作阶段
在体系运作阶段,问题往往表现在被动执行信息安全管理体系,缺乏持续改进的机制。
具体表现如下:
1. 信息安全管理组织定期对体系的执行情况进行审核并提出改进要求,但是各部门落实改进要求时阳奉阴违,导致体系审核的效果大打折扣。各部门基本上处在推一下动一下的状态,更严重的推了还不一定会动。
2. 实施信息安全管理体系搞运动,缺乏持续改进的机制;制度要求没有得到有效更新,日益偏离企业的信息安全需求,成为可有可无的摆设,严重的甚至成为绊脚石。
应对上述问题的药方如下:
1.        建立以自审为常规活动,以内审为督促改进,以外审为强化提升的三级审核体系。通过三级审核体系,将改变信息安全管理体系的执行从被动变为主动,从单体活动变为全体活动。
1.1自审:由每个部门或每个岗位自己操作,按照体系的要求,定期开展自查自纠活动,并将自查自纠情况上报给体系内审部门。通过自审,每个部门和岗位都会主动检视自己的执行情况和改进不足之处。
1.2内审:由体系内审部门操作(一般是信息安全管理组织中的某个职能),按照体系的要求,对每个部门或每个岗位进行审核,提出改进要求并跟踪改进执行情况。
1.3外审:由外部专业机构操作(财务审计、信息安全管理体系审计、专业的信息安全机构、监管机构等),按照特定的标准和信息安全准则对企业的信息安全状况进行审核,并提出改进建议或要求。
2. 通过定期开展风险评估、内审和管理评审活动,建立信息安全管理体系持续改进的机制,保障 体系得到有效执行,并保证体系根据安全需求的变化及时进行更新。




上一篇:信息安全管理如何从零做起
下一篇:IT运维管理制度
土豆

写了 9 篇文章,拥有财富 72,被 4 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
emill 发表于 2014-11-4 11:42:41
写的好啊~
xa_diwu 发表于 2014-12-15 16:46:04
实际工作当中,各部门的自审是很难做到的,如果有独立的风险控制部门,企业的内审活动可由风控部进行,内审发现的问题,必须引起各部门甚至公司管理层高度重视,定期检查整改结果,与绩效挂钩。
外部审计很重要,特别是行业的监管机构的检查结果会对企业有一定的威慑作用。因此,内审效果不佳的情况下,可充分利用外审的力量推行体系的落地,会有意想不到的结果。
wangbocg 发表于 2016-7-22 16:44:54
不错不错,顶一下
saturbo 发表于 2016-9-13 18:03:12
有领会,赞
12下一页
Powered by ITIL  © 2001-2025
返回顶部