公告:

欢迎访问河南信之杰企业管理咨询有限公司,我公司专业提供各种认证服务解决方案,详情咨询:135-925-95029。

信之杰认证
信之杰认证

0371-88131785

13592595029

认证指南
您所在的位置:

怎样建立企业信息安全管理体系的全过程安全管理?

来源:信之杰认证   时间:2020-10-26

    俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范能力的作用。只有管理到位了,才能保障技术措施充分发挥作用。能否对信息网络实施有效的管理和控制是保障信息安全的关键。构建企业信息安全管理体系时,应建立从信息网络规划、建设、运行维护到报废的全过程安全管理,建立评估——响应——防护——评估的动态闭环的管理过程。

    一、加强全过程安全管理自信息系统整个生命周期分为规划、建设、运维、报废四个阶段,不同的阶段有不同的安全管理重点和要求。

    1、信息网络的规划阶段封此时应加强对信息安全建设和管理的规划。信息安全建设本身就需要投入一定的人力、物力和财力,且无论管理工作还是技术建设工作都不可能一步到位,因此要根据企业状况实事求是地确定信息网络的安全总体目标和阶段目标,分步实施,从而有效降低风险。

    2、信息网络建设阶段建设管理单位要将安全需求的汇总和安全性能、功能的测试列入工程建设各个阶段工作的主要内容,要加强对开发(实施)人员、开发过程中的资料(尤其是涉及各种加密算法的资料)、版本控制的管理,要加强对开发环境、用户和路由设置、关键代码的检查。

    3、信息网络运行维护阶段

    a、建立有效的安全管理组织架构,明确各级人员职责,理顺流程,制定完善的安全管理制度,实施高效管理。

    b、建立多应急预案体系,保证信息网络不间断运行,例如:设备故障应急预案、网络中断应急预案、灾备系统应急等。

    c、加强对物理场所的安全管理,包括人员出入管理、机房物理安全管理、消防安全管理等。

    d、加强安全技术和管理培训。大多损害是出自内部人员的情况,必须加强对内部人员的管理(包括技术人员和营业人员)和教育,让相关人员知法懂法。

    e、加强对安全管理制度的执行力度和违规行为的处罚力度。

    4、系统及设备报废阶段对于已过期的保密信息(纸质文档、电子文档等),要及时、集中销毁;对于报废设备处理时也要销毁遗存在设备上涉及安全的信息。

    二、建立动态的闭环管理流程,企业的信息网络是一个处在不断的建设、调整、再建设、再调整的过程,新的安全漏洞和设计缺陷总是不断地被发现,单纯的静态管理流程已经不能满足要求的,需要建立动态的、闭环的管理流程。动态、闭环的管理流程就是要在企业整体安全策略的控制和指导下,通过安全评估和检测工具及时了解信息网络中存在的安全问题和安全隐患,据此制定安全建设规划和安全加固方案,综合应用各种安全防护产品,将系统逐步调整到相对安全的状态。

    总之,信息安全管理体系的建立是一个目标累加、持续改进完善的过程,是需要企业从上到下的参与和重视,不同的企业应根据自身的特点和具体情况,采取不同的步骤和方法,将企业的安全风险控制在可接受的范围内,才能保证企业业务的持续性和企业效益的最大化。

页面版权备注
本文版权归 信之杰认证 所有;本文共被查阅 162 次。
未经授权,禁止任何站点镜像、采集、或复制本站内容,违者通过法律途径维权到底!