质量管理体系实施情况 如何有效实施信息安全管理体系



时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个企业而言毋庸置疑,重要性也与日俱增。越来越多的企业通过实施信息安全管理体系,来保证信息的保密性、完整性和可用性,保护信息免受来自各方的威胁,从而确保一个企业或机构可持续的发展。

通常企业都会通过聘请外部顾问以项目的形式,来进行自身信息安全管理体系的建设,咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划,当体系建立完成后,最终由企业内部推行人员自行维护,推动体系的正常运转。通过这种方式来进行体系的建设,能够最大程度发挥咨询顾问的经验,使企业不会在体系的建设过程中迷失方向,但是,在项目结束咨询顾问撤场后,企业内部体系推行人员却显得无所适从,或者在体系的推行过程中显得并不是非常的得心应手,问题在哪里呢?主要是以下几个方面:

首先,在风险处置过程中所输出的众多信息安全管控措施难以统一规划,并且缺少各项控制措施与信息安全风险的一一对应。

众所周知,在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析,系统的分析出企业所面临的各项风险,并对各项风险采取合理、有效的管控措施。在风险评估的过程中,企业所面临的信息安全风险的类别,以及每一类信息风险中实际风险的个数无疑是非常大的,并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别,如何对数量庞大的风险及管控措施进行合理的规划,对于企业来说无疑是一个很大的难题,尤其对于组织规模比较庞大的企业更是如此,因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。

其次,信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。

信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度,并在体系运行的过程中将产生大量的记录,如何对这些文件进行分门别类的管理,并且很好的对其中的逻辑性与一致性进行控制,这对于体系维护人员来讲是一个不大不小的难题。

最后,体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化。

信息安全管理体系在进行PDCA循环运行中,控制措施测量、内审及管理评审是体系进行持续改进的发动机,但是,由于这些活动关系到企业的各个部门,组织、策划、协调起来非常的困难,因此,如何将这些活动的组织策划自动化、实施程序系统化,并且实施过程记录完整化是体系推行人员一个非常大的挑战。

如何对上面提到的这些问题进行有效的规避,即要发挥传统咨询模式的优点,又能够避免传统咨询模式的不足,使企业的信息安全管理体系实施更加有效呢?我们建议企业需形成完善的信息安全体系建设方法论,通过结合IT风险控制体系建设流程及知识库,只有这样才能有效满足各级组织的IT风险控制体系建设需求。

为此,信息安全体系建设系统应该包括安全体系规划、安全体系设计、安全体系实施以及安全体系保障四个主要模块。功能分别如下:

1) 安全体系规划:分析识别出的信息安全改进措施,将需要增加或改进的措施分解成一项项任务或项目,明确每个任务或项目的目标、工作内容,分析任务或项目的实施优先级,根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

2) 安全体系设计:建立体系相关部门、人员、职责及联系信息,体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

3) 安全体系实施:将各个任务实施的情况记录到系统中,对各项任务的实施的状态执行有效跟踪,并且评价各个任务实施的有效性。

 质量管理体系实施情况 如何有效实施信息安全管理体系

4) 安全体系保障:对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调,并对内审、外审、管理评审的过程进行记录,对各不符合项及预防措施进行记录及状态跟踪。

综上所述,今天企业的信息安全体系建设系统只有充分与信息安全管理体系咨询方法论进行结合,对体系建设过程提供完整的安全规划方法论,有效提高安全规划的合理性,提供内部审核、管理评审、外部审核等管理活动支持,才能保障体系的有效实施。

  

爱华网本文地址 » http://www.413yy.cn/a/9101032201/97673.html

更多阅读

ISO9001:2008质量管理体系标准要求

ISO9001:2008质量管理体系标准要求——简介采用ISO9001:2008质量管理体系应当是组织的一项战略性决策。一个组织质量管理体系的设计和实施受下列因素的影响:a) 组织的环境、该环境的变化以及与该环境有关的风险;b) 组织不断变化的需

八项质量管理原则详解(二) 质量管理八项原则

第四节 过程方法1.怎样理解过程方法在GB/T 19000-2000中,强调鼓励采用过程方法管理组织。GB/T19001-2000和GB/T19004-2000也同样强调:“本标准鼓励在奖励、实施质量鼓励体系以及改进其有效性和效率时,采用过程方法”。过程方法是2000版G

对《质量管理体系要求》的理解三 质量管理体系要求

5.管理职责5.1管理承诺最高管理者应通过以下活动对其建立、实施质量管理体系并持续改进其有效性的承诺提供证据:a)向组织传达满足法律法规要求的重要性;b)制定质量方针;c)确保质量目标的制定;d)进行管理评审;e)确保资源获得。理解

《质量管理体系认证规则》2014.7.1实施 有机产品认证实施规则

2014年第5号国家认监委关于发布《质量管理体系认证规则》的公告为规范质量管理体系认证活动,提高认证有效性,促进质量管理体系认证工作健康发展,根据《认证认可条例》、《认证机构管理办法》等法规规章的相关规定,国家认监委制定了《质

如何编写质量管理体系文件 质量认证体系文件编写

一、质量管理体系文件概论1、概念文件定义:信息及其承载媒体1 任何媒体形式或类型1 纸张、计算机磁盘、光盘或其他电子媒体、照片或样件,或它们的组合注:注意文件的受控1 质量管理体系文件是描述质量管理体系一整套文件1 “通用质量的

声明:《质量管理体系实施情况 如何有效实施信息安全管理体系》为网友挽歌朽年分享!如侵犯到您的合法权益请联系我们删除