|
|
知识路径: > 信息系统安全 > 信息系统安全管理 > 信息安全管理体系 > 信息安全管理体系 >
|
|
相关知识点:4个
|
|
|
|
|
信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中,必须充分考虑各种因素,例如,实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
|
|
|
|
在信息安全管理系统建设、实施的过程中,必须建立起各种相关的文档、文件,例如,信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结(包括信息安全政策、管制目标和在适用性申明中所提出的控制措施)、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程(包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项)等。文档可以按各种形式保存,但是必须划分不同的等级或类型。同时,为了今后的信息安全认证工作的顺利进行,文档必须能很容易地被指定的第三方(例如认证审核员)访问和理解。
|
|
|
|
组织必须对各种文档进行严格的管理,结合业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时,就必须将其废弃。但值得注意的是,某些文档虽然对组织来说可能已经过时,但由于法律或知识产权方面的原因,组织可以将相应文档确认后保留。
|
|
|
|
必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰,明确记录每个相关人员当时的活动。安全事件纪录必须适当保存(可以以书面或电子的形式保存)并进行维护,使得当纪录被破坏、损坏或丢失时容易挽救。
|
|
|
|
信息安全管理体系标准(如BS 7799国际信息安全管理标准体系)毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的信息安全管理系统,才是真正具有挑战性的工作。在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
|
|
|
