亚洲精品一区二三区不卡,久久伊人热视频,青青视频91久福利,精品三区在线,狠狠操AV中文字幕,亚洲色欲一区二区三区,91超碰好吊色,亚洲日韩欧美一区二区三区,99久操熟女

山東企業(yè)ISO27001信息安全管理體系建設(shè)運(yùn)行的正確方式

文章來源：華道顧問 編輯：華道顧問

 信息安全管理體系（ISMS）在國內(nèi)經(jīng)過十多年的應(yīng)用逐漸走向成熟，在這個(gè)過程中，有很多組織在對其不斷完善強(qiáng)大，也有很多組織逐漸將其邊緣化。同時(shí)，那些堅(jiān)持下來的組織，也有些對ISMS體系的運(yùn)行逐漸流于形式，僅將其作為商業(yè)競爭的籌碼。這是一個(gè)值得思考的問題，這一問題的妥善解決，將有助于真正提高組織的信息安全管理水平。
ISMS最直接相關(guān)的是ISO/IEC 27000標(biāo)準(zhǔn)族，預(yù)留標(biāo)準(zhǔn)號60個(gè)，目前已有35個(gè)標(biāo)準(zhǔn)號相關(guān)標(biāo)準(zhǔn)建立發(fā)布，但由于標(biāo)準(zhǔn)轉(zhuǎn)換的限制和標(biāo)準(zhǔn)的專業(yè)性，國內(nèi)建立ISMS的組織一般都僅僅關(guān)注ISO/IEC 27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC 27002《信息技術(shù)安全技術(shù)信息安全管理體系控制實(shí)踐指南》。這兩個(gè)標(biāo)準(zhǔn)，尤其是ISO/IEC 27001僅是要求，內(nèi)容簡練，不易理解，從而導(dǎo)致組織對其理解存在偏差。本文從可能存在的偏差及其原因入手，對解決方法進(jìn)行簡單討論。
偏差之一是組織對建立ISMS期望太高，以致對倉促建立的體系感到失望。ISMS對應(yīng)的要求類標(biāo)準(zhǔn)ISO/IEC 27001來自英標(biāo)BS 7799-2，是工業(yè)化國家對其信息安全最佳實(shí)踐的總結(jié)和提煉，但部分組織會認(rèn)為它本身就是最佳實(shí)踐。事實(shí)上，標(biāo)準(zhǔn)只是要求，沒有具體實(shí)現(xiàn)的方法，需要組織對其進(jìn)行理解、建立、實(shí)施和運(yùn)行，并逐步形成自己的最佳實(shí)踐。所以一開始一勞永逸的高期望與實(shí)際建設(shè)和運(yùn)行過程中頻頻出現(xiàn)的問題是組織對ISMS逐漸失望并產(chǎn)生懷疑的主要原因。

偏差之二是重實(shí)施不重設(shè)計(jì)。好的設(shè)計(jì)可以讓實(shí)施變得事半功倍，且更容易實(shí)現(xiàn)預(yù)期的效果。但現(xiàn)實(shí)是，大部分組織都采用簡單的設(shè)計(jì)，復(fù)雜的實(shí)施。在體系建設(shè)之初，體系的建設(shè)小組通常會在咨詢方的指導(dǎo)下，開展體系的建設(shè)和實(shí)施。通常情況下，有咨詢方指導(dǎo)，體系的建設(shè)和實(shí)施會更順利，但實(shí)際上受時(shí)間或能力的限制，咨詢方對體系建設(shè)方的實(shí)際情況了解不夠充分，體系設(shè)計(jì)形式化，從而導(dǎo)致體系的建設(shè)大而全，不夠深入和細(xì)致，不能貼合組織的實(shí)際情況。這樣簡單粗暴、不考慮實(shí)際的設(shè)計(jì)根本無法將ISMS真正融入組織原有的自成體系的管理里面，這也是組織對其失望的原因之一。

偏差之三是無法衡量ISMS對組織業(yè)務(wù)的正面支持和影響。體系的建設(shè)，必須要有管理層的支持和充足的資源保障，如何說服管理層給予支持，需要充足的理由和證據(jù)。然而，很多組織在體系建設(shè)的時(shí)候并未建立良好的評價(jià)機(jī)制，從而導(dǎo)致無法證明或展現(xiàn)管理體系的效果，再加上前面兩個(gè)原因，更是雪上加霜，一旦管理層不再支持，管理體系有用沒用都無法持續(xù)下去。
當(dāng)然，ISMS無法良好運(yùn)行的原因有很多種，這三個(gè)方面是相對比較普遍、關(guān)鍵和基礎(chǔ)的，組織如能在這三個(gè)方面做好，則可以為建立ISMS打下了堅(jiān)實(shí)的基礎(chǔ)。

這三方面問題其實(shí)是相輔相成的，需要整體進(jìn)行解決。目前，隨著管理體系類標(biāo)準(zhǔn)的發(fā)展，信息安全管理體系實(shí)際上就是管理體系在信息安全領(lǐng)域的應(yīng)用，因此我們可以先從管理體系談起。
什么是管理體系？簡單說就是組織為了實(shí)現(xiàn)管理目的而建立的一系列相輔相成的管理過程，對組織的活動進(jìn)行指導(dǎo)和控制。管理體系可大可小，可簡單可復(fù)雜，一個(gè)全面的管理體系可以由多個(gè)單獨(dú)的管理體系組成，其最終目的是實(shí)現(xiàn)組織的價(jià)值和戰(zhàn)略目標(biāo)。從這個(gè)角度來看，信息安全管理體系就是為了實(shí)現(xiàn)信息安全目的而建立的管理體系。隨著國際標(biāo)準(zhǔn)化組織導(dǎo)則83的發(fā)布，對管理體系標(biāo)準(zhǔn)的基本結(jié)構(gòu)提出了明確的要求，依據(jù)導(dǎo)則83編制的管理體系標(biāo)準(zhǔn)從章節(jié)設(shè)置和框架內(nèi)容設(shè)置上都保持了高度一致，每個(gè)管理體系都是建立在同一個(gè)框架下。組織在建立管理體系的同時(shí)，也建立了一個(gè)基本的管理框架，這樣一來，組織無論是建立其他管理體系還是為了實(shí)現(xiàn)某個(gè)管理目的建立管理制度時(shí)，都可以在這個(gè)基本管理框架下進(jìn)行，所以，組織要建立ISMS應(yīng)先從管理框架建起，這樣可以達(dá)到事半功倍的效果。

那么，如何建立管理框架才能避免前面提到的三個(gè)問題呢？首先，從標(biāo)準(zhǔn)結(jié)構(gòu)來看，管理體系的框架分7章節(jié)進(jìn)行描述，分別為：組織環(huán)境、領(lǐng)導(dǎo)力、規(guī)劃、支持、運(yùn)行、績效評價(jià)和持續(xù)改進(jìn)。每一章節(jié)的內(nèi)容都很簡單，僅僅是提出了要求，卻沒有要求一定要怎樣做，組織必須自己理解或者聘請有能力的人員來幫助完成這些管理過程的設(shè)計(jì)和實(shí)施�？蚣芙�立的質(zhì)量將決定一個(gè)具體的管理體系設(shè)計(jì)實(shí)施的效果。現(xiàn)在，我們來了解一下管理框架的基本內(nèi)容：

組織環(huán)境。組織需要建立組織環(huán)境管理的基本方法并識別組織的基本環(huán)境信息，其實(shí)所謂的組織環(huán)境也就是我們常說的組織的基本情況，例如組織業(yè)務(wù)及業(yè)務(wù)特點(diǎn)、來自外部的限制條件和約束、內(nèi)部的限制條件和約束、相關(guān)方及其特點(diǎn)等，這些都會影響體系的設(shè)計(jì)效果，就像設(shè)計(jì)一個(gè)建筑要了解地質(zhì)條件和人文環(huán)境一樣重要。

領(lǐng)導(dǎo)力。沒有管理層的支持就沒有資源，因此要明確管理層的責(zé)任。管理體系要實(shí)現(xiàn)的組織管理目的其實(shí)就是管理層的管理目的，管理層在管理體系里面一個(gè)重要的責(zé)任就是要明確提出管理目的，也就是我們常說的確定方針，如果缺少這個(gè)環(huán)節(jié)，設(shè)計(jì)出的管理體系就不會得到管理層的支持。除此之外，為了實(shí)現(xiàn)管理目的，還需要管理層提供資源，分配職責(zé)和賦予權(quán)力。

規(guī)劃。有了方針，自然要去實(shí)現(xiàn)它，管理體系的方針實(shí)現(xiàn)過程就是通過建立與方針保持一致的目標(biāo)來實(shí)現(xiàn)，因此在規(guī)劃階段要建立逐級分解的目標(biāo)，一般目標(biāo)分為上層目標(biāo)和下層目標(biāo)，上層目標(biāo)為下層目標(biāo)提供方向，下層目標(biāo)對上層目標(biāo)進(jìn)行支撐，分解為多少層與組織的組織架構(gòu)和管理結(jié)構(gòu)有直接關(guān)系，重點(diǎn)是要分解到可以通過活動來實(shí)現(xiàn)的層級。并不是每一個(gè)目標(biāo)分解的層級都是一樣的，需要根據(jù)實(shí)際情況來確定。在規(guī)劃的環(huán)節(jié)，還應(yīng)充分考慮組織的風(fēng)險(xiǎn)管理，在目標(biāo)實(shí)現(xiàn)過程中，總是會有各種因素影響目標(biāo)的實(shí)現(xiàn)，這些因素需要進(jìn)行識別并得到有效控制。但這些因素的識別不要盲目采用那些所謂放之四海而皆準(zhǔn)的列表，而是要結(jié)合組織自己的情況來針對性識別，也就是要充分利用識別的組織環(huán)境信息。基于上述活動，組織就可以建立起貼合實(shí)際的目標(biāo)實(shí)現(xiàn)計(jì)劃。

組織還需注意的是風(fēng)險(xiǎn)管理是動態(tài)的，隨著組織環(huán)境的變化，風(fēng)險(xiǎn)也會變化，因此組織需要建立有效的風(fēng)險(xiǎn)管理過程和風(fēng)險(xiǎn)評估方法。

支持。從體系建設(shè)之初，對資源的需求就開始了，這一章正式提出了建立、運(yùn)行、維護(hù)和持續(xù)改進(jìn)管理體系所需要的支持，因此可以看出，標(biāo)準(zhǔn)的章節(jié)并不是按體系建設(shè)執(zhí)行順序來寫的，不是要等規(guī)劃完成后再考慮支持資源的提供和支持活動的建立。管理體系的支持主要從資源管理、人員能力管理、意識管理、溝通管理和文檔管理等5個(gè)方面提出要求。這些方面，組織根據(jù)實(shí)際情況或者根據(jù)現(xiàn)有的管理情況確定管理過程即可。

運(yùn)行。由于資源和能力限制，運(yùn)行不一定要把規(guī)劃好的活動和管理過程全部進(jìn)行實(shí)施和投入運(yùn)行。實(shí)際情況是，管理體系的建立和運(yùn)行在不同規(guī)模的組織內(nèi)需要1年到3年的時(shí)間才能夠相對完善。因此建設(shè)運(yùn)行計(jì)劃很重要，組織需要根據(jù)組織的管理現(xiàn)狀、資源限制情況、相關(guān)方要求的影響程度等多個(gè)方面，建立可行的建設(shè)運(yùn)行計(jì)劃。對于那些必須滿足的要求、急需解決的問題、對組織有重大影響的風(fēng)險(xiǎn)，需要集中資源重點(diǎn)進(jìn)行實(shí)施和運(yùn)行；對于那些對業(yè)務(wù)影響比較大，需要反復(fù)論證和測試的，可以單獨(dú)作為項(xiàng)目進(jìn)行管理和實(shí)施；對于自我實(shí)現(xiàn)成本過高的可以通過外包的形式進(jìn)行實(shí)現(xiàn)；對于時(shí)間要求不緊迫的方面，可以在時(shí)間表上緩一緩。一個(gè)好的建設(shè)運(yùn)行計(jì)劃，可以保證體系有條不紊地運(yùn)行。

績效評價(jià)。績效評價(jià)設(shè)計(jì)的好壞，直接影響著管理體系在管理層心目中的形象。這個(gè)環(huán)節(jié)是否能夠很好地進(jìn)行設(shè)計(jì)和實(shí)施取決于規(guī)劃環(huán)節(jié)目標(biāo)對方針的支持程度和目標(biāo)層級的設(shè)計(jì)是否合理，因?yàn)楣芾眢w系是否實(shí)現(xiàn)管理層的管理目的要看方針和目標(biāo)是否得到實(shí)現(xiàn)。當(dāng)然這只是一個(gè)方面，有了好的目標(biāo)框架設(shè)計(jì)，還需要好的績效評價(jià)方法和評估實(shí)施過程。很多組織會建立單獨(dú)的績效評價(jià)方法和過程，但實(shí)際上內(nèi)部審核是非常好的績效評價(jià)手段。所謂內(nèi)部審核，就是組織對自己體系運(yùn)行情況的評價(jià)活動，主要用來區(qū)別于第三方審核。組織可以任意設(shè)計(jì)內(nèi)部審核的方式和頻率，不需要每年一次，更不需要由幾個(gè)人員來完成整個(gè)組織的內(nèi)部審核工作。組織可以為每一個(gè)影響管理目標(biāo)的管理過程和管理措施，甚至是活動和崗位，設(shè)計(jì)評價(jià)指標(biāo)、評價(jià)方法、評價(jià)頻率并指定評價(jià)人員。將管理體系的內(nèi)部審核工作分散到各個(gè)部門、各個(gè)團(tuán)隊(duì)，定期或不定期地由相關(guān)人員提供信息和數(shù)據(jù)，然后由專門的部門或崗位對信息和數(shù)據(jù)進(jìn)行匯總分析，從而實(shí)現(xiàn)績效的評價(jià)。但需要注意的是，評價(jià)方法、抽樣方式和頻率、績效計(jì)算公式等方面要進(jìn)行詳細(xì)、科學(xué)、合理的設(shè)計(jì)才會實(shí)現(xiàn)預(yù)期的目的。

管理評審也是績效評價(jià)的一種方式，這種方式比較直接，由管理層直接作出評價(jià)。當(dāng)然，管理層需要內(nèi)部審核的結(jié)果和體系運(yùn)行的其他信息來進(jìn)行綜合評價(jià)。管理層的評價(jià)很重要，直接決定接下來他是否會更好地支持管理體系的運(yùn)行工作。

持續(xù)改進(jìn)�？冃гu價(jià)是持續(xù)改進(jìn)的一個(gè)重要輸入，對于存在的問題和無法實(shí)現(xiàn)預(yù)期目標(biāo)的方面都要進(jìn)行改進(jìn)，這一方面很容易理解，不再贅述。

如果上述7個(gè)方面組織可以進(jìn)行良好的設(shè)計(jì)和實(shí)施，則無論建立什么樣的管理體系都可以先成功一半。對于ISMS來說，還需要做好哪些事情才能真正發(fā)揮ISMS的作用，下面針對ISMS來做討論。

【返回 】