| 安全管理系统要包括管理机构、责任制、教育制度、培训、外部合同作业安全性等方面的保证。建立信息安全管理体系能够使我们全面地考虑各种因素,人为的、技术的、制度的、操作规范的,等等。并且将这些因素进行综合考虑;建立信息安全管理体系,使得我们在建设信息安全系统时通过对组织的业务过程进行分析,能够比较全面地识别各种影响业务连续性的风险;并通过管理系统自身(含技术系统)的运行状态自我评价和持续改进,达到一个期望的目标。
|
|
|
| 通过信息安全管理系统规定各类信息的对于保证业务连续性的重要程度,即所谓的资产赋值,进而使规范的风险分析成为可能;无论ISO17799还是ISO13335,都强调了规范的风险评估的必要性。这一点很值得我们参照,以使我们规划的信息安全系统具合理性。ISO17799和ISO13335也都强调了人的作用,要求对所有相关人员进行经常性的安全培训,以使他们的行为符合整个安全策略的要求,这一点同样非常值得我们借鉴。通过信息安全管理系统明确组织的信息安全的范围、规定安全的权限和责任;信息的处理(包括提供、修改和使用)必须在相应的控制措施保护的环境下进行。
|
|
|
| 为了增强系统的安全性,也可以采用外部合同作业和外购的策略。外部合同作业要明确规定双方的任务与职责并使其得以坚持。应当制定一份经法律顾问评价的契约性协议,明确规定的期望及成效标准,以及对不履行所实施的惩罚。按照标准来跟踪、管理所签订的协议和成效的职责分派。确定用于关系的终止、重新评价和/或重新投标的规程,以确保单位的利益。如果采取外购策略,则应该确定本单位的外购战略,包括:与企业战略一致的外购目标、外购目的(例如降低成本或者集中于核心能力)、外购范围(例如所有系统或特定的IT功能)和报告渠道。
|
|
|
| 对于整个安全管理系统来说,应该将重点放在主动地控制风险而不是被动地响应事件,以提高整个信息安全系统的有效性和可管理性。
|
|
|
