ISO27001信息安全管理本質就是人與事的關系,是人根據制度和流程�,采用適宜的方法�����、工具和手段去降低風險�����。風險是安全管理的對象,人員�����、流程�、手段是安全管理基本要素,其中人員是根本�����,流程是核心���,手段是支撐�����。
培養和建立一支高效干練的人員隊伍參與ISO27001信息安全管理的人員應組成一個強有力的管理組織,分工明確���、溝通順暢、協調有力,運作高效�。通常安全管理組織應是扁平化的�����,以便發現問題,及時響應,能夠根據外部威脅的形勢,快速進行適應性變化�。參與安全管理的人員的知識�����、技能應適用其崗位要求,并不斷的學習成長,適用信息安全快速變化的時代要求���。
建立科學、合理、易于落地的管理體系ISO27001信息安全管理體系構建應采用科學的方法�����,即按照ISO27001的要求�����,采用過程方法���,通過過程的控制來為結果提供一種可持續的保證�����。信息安全管理體系建設不是編制幾個制度,它的目的是推動公司行動起來,發生變化,不斷提升其安全管控能力���。要使安全管理體系有效發揮作用���、起到實效���,還必須:
全面化:要針對評估中發現的問題�,與最佳實踐相比較所存在的差距,應覆蓋人員和組織�����、制度和流程�����、技術手段等所有要素�����,覆蓋信息系統的整個生命周期,覆蓋管理的整個過程�����。
系統化:管理體系應符合PDCA(規劃、實施、檢查�、改進)思想�����,必須要有測量、反饋機制,能夠進行內部監督�����、審計�����,形成正向的內部激勵機制,不斷進行改進和完善�。
流程化:制度是有益的�、必須的�,但還必須貫穿部門間藩籬的、目標可控���、易于落地的流程。流程使人員不需要關注過多的制度�,只需按照流程工作即可�,減輕了人員負擔�。
規范化:對于具體工作,必須給出明確的工作指導和表單���,規范人員的操作行為。
融合化:安全管理不是一個獨立的體系�����,應與現運維管理���、內部控制等現有制度和流程相融合�,借鑒Cobit、ITIL���、CMMI、PMP/PRINCE2�、隱私數據保護等管理思想或方法的長處���。
當然�����,每個公司都具有一定的個體特性,如文化�、人員、組織和信息系統環境等等。在構建時���,應采用中醫的方法,嚴格診斷,對癥下藥,建立起符合自己特點管理體系�。
有效利用各種技術手段這主要體現在兩個方面�,一是采用技術手段�,推動安全管理的電子化、自動化,提升管理效率;二是采用技術手段���,保障管理流程、管理目標的有效強制落實和實現�����。
