返回
itrm祝您轻松维护信息安全

itrm祝您轻松维护信息安全

ID:34373472

大小:1.12 MB

页数:8页

时间:2019-03-05

itrm祝您轻松维护信息安全_第1页
itrm祝您轻松维护信息安全_第2页
itrm祝您轻松维护信息安全_第3页
itrm祝您轻松维护信息安全_第4页
itrm祝您轻松维护信息安全_第5页
资源描述:

《itrm祝您轻松维护信息安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、化繁为简—ITRM祝您轻松维护信息安全管理体系化繁为简——ITRM助您轻松维护信息安全管理体系本文编者:北京谷安天下科技有限公司网址:www.gooann.com地址:北京市海淀区中关村南大街2号数码大厦A座806电话:010-51626887(北京)021-51379800(上海)0755-82024056(深圳)0991-6999166(新疆)手机:13581709033www.gooann.com1化繁为简—ITRM祝您轻松维护信息安全管理体系化繁为简——ITRM助您轻松维护信息安全管理体系作者:吕康谷安天下产品顾问很多企业都已经建立了信息安全管理体系,来满足业务需求或上层管理

2、部门的要求,其中不乏成功案例,但大家都会面临一个共同的问题,那就是如何将信息安全管理体系(ISMS)持续的运行下去,不断的PDCA达到持续改进的目的,正如我们以往经验所说的那样:信息安全不是一场运动,而是一个持之以恒的活动,是保证业务安全运行的管理工作,信息安全应体现在日常工作的每一个细节当中。ISO27001是国际上通用的信息安全管理体系标准,我们以这个标准要求为例,来简单解释一下建立信息安全管理体系以及以后还需要做的工作:首先要获得管理层的支持并确定建立信息安全管理体系的范围,企业还需要做好各种准备和策划工作,包括教育培训、制定计划、现状调研,以及人力和资源方面的调配;然后在这个

3、范围内收集信息资产以辅助风险评估,识别出风险后选择适用的风险处理措施并进行处理,从整体和全局的视角,从信息系统的所有层面进行整体安全建设,并将其文档化,保持文件化的信息安全管理体系,作为组织实施风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的依据。信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,在得到领导层对残余风险的批准和对实施运行ISMS的授权,并准备适用性声明(SoA),在体系运行一段时间后进行内审、有效性测量和管理评审,并制定纠正预防措施,此后需要对资产进行不断的更新,并不断地进行风险评估、处理„„以及其后的各种工作。传统我们都

4、是靠管理体系本身来支撑这一系列工作的,ISMS建设的实施人员,除了要具备必要的知识技能和管理意识外,还要面临大量具体、繁琐和枯燥的工作,例如对信息资产的收集和维护过程,以及对其进行风险评估时的大量文案工作等等。如果能辅助以信息管理系统对风险评估过程进行管理,将是一种趋势,现代企业管理中ERP已经得到广泛认可和应用,生产制造、质量监控、财务管理、商务管理、人力资源管理、客户关系管理、电子商务等,已经可以整合在一套基于网络的、开发平台统一的、灵活配置业务流程的信息系统当中,而信息安全管理体系建设与维护,同样也可以通过类似的方式进行管理。目前谷安天下研发的IT风险管理系统(ITRM)正是能

5、够满足体系维护需求的一款软件:www.gooann.com2化繁为简—ITRM祝您轻松维护信息安全管理体系将建立和维护ISMS的过程固化在软件中,内置多行业多准则知识库,对ISMS范围轻松管理,例如准则范围、组织架构、资产清单、流程定义、业务定义等,支持安全检查和差距分析,全面支持风险评估、体系建设、内审、有效性测量、管理评审等一系列工作,保证这一系列工作的持续运行和不断改进,并产生丰富的报表和报告。下面就简单谈谈维护信息安全管理体系过程中几项关键的工作与ITRM系统的结合之道:一、识别业务的变化世界环境瞬息万变,因此一个组织的业务随着市场、政治、科技等方面的发展而变化是非常正常且必

6、然的。然而我们在建立信息安全管理体系时所划定的管理范围是一定的,后续在体系运维过程中首先应该关注的就是业务的变化,然后才是后续其他细节的工作。在一个组织内维护信息安全的目的就是保障业务的安全运行,因此从终极意义上说业务是我们保护的对象。而业务的变化对信息安全管理体系的影响是巨大的,可能会导致安全指导方针层面的根本性变化,所以笔者把业务放在第一位。ITRM系统将业务作为一个控制对象进行识别和维护,正是为了满足信息安全体系维护的基本要求:二、识别组织架构的变化组织外部环境会发生变化,相应的组织内部同样可能根据业务的变化而发生变化,尤其www.gooann.com3化繁为简—ITRM祝您轻

7、松维护信息安全管理体系是决策层的变化,可能会影响到对管理体系的支持力度等方面。组织架构是ITRM系统在进行风险评估时的基础,系统支持对组织架构的灵活调整,并且对后续风险评估等一系列工作都将产生重大影响。在ITRM系统中组织架构是项目范围的因素之一。三、识别资产、技术、场所、新威胁等方面的外在变化这些是做资产风险评估的基础,也是标准中所要求的。资产清单需要保证一定的实时性和准确性,这可能需要一定的工作量,通常大家都是使用文档(Excel格式)对资产清单进行管

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。