ISO27001之信息安全管理過程中解決問題的思路

作者：admin時間：2020-12-26 11:311373 次瀏覽

信息摘要：

ISO27001信息安全管理本質就是人與事的關系，是人根據制度和流程，采用適宜的方法、工具和手段去降低風險。風險是安全管理的對象，人員、流程、手段是安全管理基本要素，其中人...

ISO27001信息安全管理本質就是人與事的關系，是人根據制度和流程，采用適宜的方法、工具和手段去降低風險。風險是安全管理的對象，人員、流程、手段是安全管理基本要素，其中人員是根本，流程是核心，手段是支撐。

培養和建立一支高效干練的人員隊伍參與ISO27001信息安全管理的人員應組成一個強有力的管理組織，分工明確、溝通順暢、協調有力，運作高效。通常安全管理組織應是扁平化的，以便發現問題，及時響應，能夠根據外部威脅的形勢，快速進行適應性變化。參與安全管理的人員的知識、技能應適用其崗位要求，并不斷的學習成長，適用信息安全快速變化的時代要求。

建立科學、合理、易于落地的管理體系ISO27001信息安全管理體系構建應采用科學的方法，即按照ISO27001的要求，采用過程方法，通過過程的控制來為結果提供一種可持續的保證。信息安全管理體系建設不是編制幾個制度，它的目的是推動公司行動起來，發生變化，不斷提升其安全管控能力。要使安全管理體系有效發揮作用、起到實效，還必須：

全面化:要針對評估中發現的問題，與最佳實踐相比較所存在的差距，應覆蓋人員和組織、制度和流程、技術手段等所有要素，覆蓋信息系統的整個生命周期，覆蓋管理的整個過程。

系統化:管理體系應符合 PDCA(規劃、實施、檢查、改進) 思想,必須要有測量、反饋機制，能夠進行內部監督、審計,形成正向的內部激勵機制,不斷進行改進和完善。

流程化:制度是有益的、必須的，但還必須貫穿部門間藩籬的、目標可控、易于落地的流程。流程使人員不需要關注過多的制度，只需按照流程工作即可，減輕了人員負擔。

融合化:安全管理不是一個獨立的體系，應與現運維管理、內部控制等現有制度和流程相融合，借鑒Cobit、ITIL、CMMI、PMP/PRINCE 2、隱私數據保護等管理思想或方法的長處。

當然，每個公司都具有一定的個體特性，如文化、人員、組織和信息系統環境等等。在構建時，應采用的方法，嚴格診斷，對癥下藥，建立起符合自己特點管理體系。

有效利用各種技術手段這主要體現在兩個方面，一是采用技術手段，推動安全管理的電子化、自動化、管理效率；二是采用技術手段，保障管理流程、管理目標的有效強制落實和實現。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索航鑫認證，快人一步，成就管理者風范。

【相關推薦】

上一篇：漏洞管理方法之ISO27001及ISO27002
下一篇：除了招投標，ISO27001對公司還有哪些好處？

返回列表本文標簽：

致力于打造最具影響力的認證機構

體系認證

ISO14001認證

ISO45001認證

ISO9001認證

ISO27001認證

ISO20000認證

售后服務認證

品牌服務認證

ISO27001之信息安全管理過程中解決問題的思路

【相關推薦】