编辑:小星
多一份网络防护技能
多一份信息安全保障
ISMS即信息安全管理体系的简称,信息安全的概念广泛而抽象,在不同的领域不同的方面所表达的概念都会有所不同。比如建立在网络基础上的信息系统,安全定义就是保护信息系统的软硬件及相关的数据,使之不会因为偶然的或是恶意的侵犯遭受到破坏、更改及泄漏的威胁,以保证信息系统可以连续、可靠、正常地运行。
很多公司只有在达到一定的规模之后才会设立“安全管理岗”,多数小型公司还是普遍存在“一个人的安全部门”的情况,一个人包揽下安全运维、安全管理、应用安全(代码审计、渗透测试)、安全开发等工作,更甚至于还要去承担一部分的运维职责。
俗话说的好“三分靠技术,七分靠管理”,不是真的说要按照这个比例去管理公司,而是我们需要形成“信息安全问题不单单是技术问题”的共识,安全管理的作用是无可厚非的。
不同的企业对于信息安全管理体系建设的需求也是不尽相同的:
有些企业可能需要从头做起,需要从0到1建立起信息安全管理体系;
有些企业可能已经有“信息安全管理体系”,但只是冷冰冰的制度规范,只在面对监管机构检查的时候才发挥作用,没有真正的发挥出该有的约束力、管控力;
还有些企业可能已经有了信息安全管理体系,但是其实时性却满足不了日益变化的安全需求,需要进一步的优化改进;
……
信息安全管理体系是否有效的落地,其落地的程度在很大程度上决定了信息安全管理水平的高低。安全管理岗位的核心问题就是如何建立起相对的可落地的信息安全管理体系。这个问题也是小星在探索中一直反复思考的问题,虽然无法给出一个完整精准的答案,但可以给大家分享一下心得。
一、领导层的支持和相关资源的保障
如果企业中需要建设信息安全管理体系,只有得到高层管理的承诺与支持才能发挥作用。
1. 领导层的高效推动
其实不论是哪一方面的工作,相信绝大多数部门都有着相同的经历感受:我们想要竭力去推广某一项流程规范,期望能从流程规范上改善企业的某些问题,但是往往会在各个部门沟通的过程中处处碰壁。每个部门都有自己的想法和习惯,不一定都会愿意采纳流程规范,或是因为工作效率,或是因为对新事情的排斥。
但是如果我们从高层管理人员出发,那么很多跨部门间的协调问题就可以轻易得到解决了。不论是相关的安全方针政策还是控制措施,不仅可以快速的贯彻下去,而且效率更高,体系建设工作只会事半功倍。
2. 资源保证
另一方面,就是“钱”,俗话说得好“巧妇难为无米之炊”。在信息安全管理体系建设中,涉及到的部分很多,比如对外部咨询机构和测评机构的引入,相关安全设备的采购等等,都是需要大量资金的,这是项目开展的基础工作,需要有领导层的支持才能获取到必要的建设资金支持。
因为小星有接触咨询服务(不是打guang gao哈),见过一些企业不聘请任何的外部的第三方咨询机构,全部靠组织的内部人员来自行建设信息安全管理体系;
或者有些企业不安需求购买必要的安全设备(如防火墙、防病毒软件……),组织内部人员自行开发或者基于开源软件进行二次开发来满足安全需求;
他们的做法正确吗?当然可以!只要企业的内部人力资源可以满足现有的需求,当然是没问题的。但是归根到底,如果人力资源与资金的投入的可以处于平衡状态,这就是最佳方案!
不过不论是人力资源还是项目设备资金的投入,都需要领导层的高度支持。
二、适用性
为什么建立信息安全管理体系?企业面临着哪些问题和风险?企业的安全管理水平现在处于什么状态?
每个企业都会有不同的信息安全工作的出发点和关注点,自然后续关注的安全工作的重点也不同。我们不能把没有安全管理体系的解决方案用在拥有完善的安全管理体系的企业上,也不能把拥有完善的安全管理体系的解决方案用在建设了一半的安全管理体系的企业之上。我们可以参考别人的管理模式,略作适当的调整,改为使用于我们组织的管理模式。
毕竟管理50人与管理5000人的管理方法是不同,虽然你用管理5000人的方法去管理50人也是可行的。但是某种程度上,又何尝大材小用了?
投入和产出的话题是亘古不变的,我要学会衡量,如何在能够满足业务需求的条件下,用最少的成本去完成。只有适合自己的,才是最好的!
以上为个人观点,仅供参考。
欢迎关注小星(ID:DBXSJ01)
网友评论