-
浏览次数:
78
2021
-
12
-
31
企业在进行ISO27001信息安全管理体系资质申请时,在体系文件制定过程中,经常会出现没意识到或意料外的问题,这些问题主要体现在如下几方面:1、目标无法考核在管理手册或其他文件中,制定的安全目标或标准要求无法考核。如重大信息安全泄需不超过0起,但是整套体系文件缺少对重大信息安全泄露的定义,什么叫做重大信息安全泄露,2个员工的邮箱信息泄露是不是,高管的个人隐私信息泄蟊是不是,结果就导致该信息安全目标无法考核和衡量。还存在一种情况,如规定年度信息安全培训考核通过率为98%, 但是培训系统的考核故据只保留30天,年底统计数据的时候,发现只有12月份数据,导致该目标无法统计。2、内容脱离业务现状如在计算机控制程序中,规定晚上10: 00后,计算机必须全部关机,使用终端管理软件执行关机操作。但有些测试部门的设备晚上是不能关机的,必须每晚都以测试性能,该条规定就影响到测试部门的工作,进而影响业务,所以是不合理的。应调研业务部门的实际状况,并根据实际需求,进行分区域管控或分业务管控。3、制度要求不被执行制底文件发布后,明确了体系的管控要求,但是没有按照要求执行。如计算机控制程序规定要封票U口,但实际并没有,员工可以任意拷贝文件。要求3个月更换密码,实际也没有执行,员工的空码从来不修改等。4、制度要求不明确如信息安全事件控制程序中,规定信息安全事件需及时上报,这个内容就很模糊,1小时算不算及时、2小时呢、12小时呢?再比如业务连续性管控程序中规定业务持续中断4小时,必须上报总经理,这个内容也是不明确的,所有业务中断4小时都要上报吗?一些非核心系统,如机房进入登记系统,中断4小时也要上报给总经理吗?实际上机房进入登记系统中断4小时,不会对业务造成影响,我们只需要手工登记一下就可以了,没必要上报到总经理层面。
-
浏览次数:
28
2021
-
12
-
31
认证预备阶段的另一项重要作业便是调研,关于整个安排而言,进行充沛详尽的调研作业有助于收拾安排内IT效劳办理现状,一起关于进步全员认证认识,提高安排内成员对认证作业的注重程度有必定的积极作用。这一阶段的作业在某种程度上和下一阶段距离剖析作业存在必定堆叠,能够同步进行。差异在于正式发动认证前的调研承当了部分可行性研究的功能,一起首要偏重于现状的了解和收拾,并不过多地进行与ISO 20000规范条款的比照,而距离剖析首要立足于ISO20000规范,运用专业的剖析办法和东西进行比较性的剖析,查找出安排现状和ISO20000规范中各条款的距离,从而拟定改进课题。下面扼要介绍几个认证预备阶段常用的调研方法:问卷调查问卷调查是最为常用的方法之一,长处是能够让受访方针能够有针对性地预备搜集资料、收拾相关信息,一预备的时刻也相对富余。在调研问卷收回的基础上,能够安排进行面临面的访谈,对问卷中的重要部分进行打开了解。问卷调查可根据ISO 20000的特色进行规划,首要包含2个部分,即办理系统和13个办理流程。办理系统部分的调研规模包含认证方针、安排结构、职工职位描绘、人员知识结构、文档系统、训练系统、内部审计和改进方案等方面。办理系统的调研方针为安排的高层办理人员,这些人员一般也是ISO 20000系统全体质量办理人员,或称质量司理,对整个系统负有办理责任。办理流程部分相对细节层面的内容较多,能够包含各流程的界说、输入、输出、文档记载、东西以及流程间相关的内容。人员职责汇总除管理体系和管理流程外,组织内部人员职责分工也是调研期问需要检理和拿握的重要内容。建议采用“人员角色和职责列表” (role&responsibility matrix) 的方式,通过建立人员和工作内容的对应矩阵,对组织内所有人员的职能分工进行汇总和整理。总体而言,人员角色和职责列表是一种扩展性较强的信息汇总形式,可...
-
浏览次数:
88
2021
-
12
-
30
一般来说,信息技术服务管理工具的评价和选择包括四个主要过程:启动过程、构造过程、评价过程和选择过程(如图1所示)。关键的过程是将一组需求进行构造,并根据这组需求来对候选的信息技术服务管理工具进行评价,选择决策也根据这组需求来做出。一、启动过程启动过程的目的是为要进行的信息技术服务管理工具的评价和选择定义一般的目标和需求,明确高层的目标,并且确定管理方面的内容(例如:进度、资源、成本等)。启动过程由三个活动组成:1、设定目标:为评价和选择工作提供合理的和一般性的方针策略;2、建立选择准则:依据目标提供后续选择过程中要使用的准则,例如:功能和性能选择方面的标准(适用、国内领先或是国际水平等);3、执行项目规划:产生一个计划,该计划包括一般的计划信息以及定义评价和选择工作结构的信息。二、构造过程构造过程的目的是根据信息技术服务管理工具的特性,叙述一组结构化需求,并获得评价信息技术服务管理工具所必要的信息。构造过程由三个活动组成:1、需求分析:将组织的需要转化为可测量的结构;2、收集信息技术服务管理工具信息:获取信息技术服务管理工具当前技术发展水平和市场主流工具的信息;3、确定最终候选的信息技术服务管理工具:由使用上述两个活动的组织来确定候选的信息技术服务管理工具列表。三、评价过程评价过程目的是产生评价报告,该报告将成为选择过程的主要输入信息。每一个评价过程产生一个要被评价的工具的质量和其他一些特性的概要信息。但是对各工具的比较并不在这个过程中进行。评价过程由三个活动组成:1、准备活动:最终确定评价计划中各种评价细节(如:评价环境、特性集、评价工具、评价报告的内容等);2、评价活动:按照评价计划,在评价环境中使用评价工具测量、评级和评估信息技术服务管理工具的特性集完成水平;3、报告评价结果:按照评价计划准备评价报告,对所考虑的每个信息技术服务管理工具提供评价结果。四、选择过程选择过...
-
浏览次数:
25
2021
-
12
-
30
前事不忘、后事之师。在已经开展ISO27001信息安全体系建设的公司中发生的问题,已经直接影响了安全管控效果,造成ISO27001信息安全管理体系仅仅停留在文件上,未能有效地改变企业内部的管理模式、行为方式、思想意识,未能解决实际存在的问题。导致这些问题的原因很多,从ISO27001体系的计划、建立和导入、实施和运作、监控和评审、维护和改进等体系管理阶段的角度看,主要包括:未能采用科学的方法进行ISO27001体系构建对自身风险识别、分析不足,没有规范的风险评估流程,不能覆盖安全管理的所有方面,不能采取针对性的管控措施,明确自己存在的不足和努力方向。脱离实际,套用ISO27001标准对标准进行生搬硬套,没有针对企业的现状进行详细的“望闻问切”,基于个体现状,参考案例,结合经验进行定制开发,造成安全管理体系与公司现有的管理方法、制度和流程冲突、脱节,不能适应公司的人员和组织现状、文化氛围。人员思想不统一,积极性不高安全管理需要领导支持、全员参与,不是系统管理、维护人员的几个人的事情,人员思想不统一就不能集中力量,达成目标。尤其是在安全管理体系建设刚起步时,面临着大量人员兼职的情况,不会主动、积极的参与安全管理工作,尤其是在缺乏有效激励措施的情况下。缺乏强制性的技术配置措施有些安全管控措施的落实,单凭制度约束是很难得,尤其是在制度与其人员自身利益冲突,且其违反制度的成本极低,或其不当行为不易被发现的情况下。缺乏有效的、强制性的防护、监控、审计措施,就不能保证体系的切实落地和执行。对问题的解决,也需要从这三个方面进行入手和解决。
-
浏览次数:
25
2021
-
12
-
29
在进行监督审核之前,认证机构需要收集企业获证组织的安全服务管理与安全服务能力的相关信息,以确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。CCRC认证要求客户提供的信息包括以下几个方面:1、信息确认文件,包括但不限于: a、基本信息,包括组织名称、地址、联系人、法人等信息的变化情况; b、组织信息:包括范围、组织架构、人员数量等信息的变化情况; c、服务管理体系相关信息,关键文件化信息的变化情况。 2、 自评估信息,包括但不限于:a、安全服务管理运行情况,包括运行说明和运行证据;b、安全服务管理监视、测量、分析和评价的结果和证据; C、安全服务管理运行的持续改进情况,包括改进说明和证据; d、满足法律法规的情况说明;e、对安全服务管理符合性的自我评价。
-
浏览次数:
34
2021
-
12
-
29
企业进行ISO27001信息安全认证到底有什么意义呢?首先我们要从ISO27001认证开始了解,再分析其给企业带来的意义。 1、ISO27001认证范围信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 2、ISO27001是符合法规要求证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 3、ISO27001是维护企业的声誉、品牌和客户信任证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 4、ISO27001是履行信息安全管理责任证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 5、ISO27001增强员工的意识、责任感和相关技能证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 6、ISO27001保持业务持续发展和竞争优势全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。 7、ISO27001实现风险管理有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。 8、ISO27001减少损失,降低成本ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。 ...