各行業(yè)許多企業(yè)都根據(jù)業(yè)務(wù)所需選擇不同的國際����、國內(nèi)標(biāo)準(zhǔn)搭建了信息安全管理體系(ISMS)�,無論是基于國際信息安全標(biāo)準(zhǔn)ISO27000�,還是基于國家標(biāo)準(zhǔn)國家等級保護(hù)測評準(zhǔn)則的要求�,信息安全管理體系(ISMS)的建立并不是一蹴而就的。在建立信息安全管理體系(ISMS)過程中企業(yè)會投入很多資源進(jìn)行資產(chǎn)收集��、風(fēng)險評估��、采取種種控制措施降低風(fēng)險��、且制定相關(guān)的管理制度規(guī)范以降低企業(yè)風(fēng)險�����,提升員工信息安全意識��,從而達(dá)到提升企業(yè)整體信息安全管理水平�。但如何可以真正的將信息安全管理體系落到實處�����,而不僅僅停留在一年一到兩次的風(fēng)險評估���、突擊性的控制措施實施和一套看似完備的信息安全管理制度��,這可能是許多信息安全管理體系管理者經(jīng)常思考且關(guān)注的話題�。就此話題,我想簡單總結(jié)一下在這方面的經(jīng)驗���,希望籍此能啟發(fā)您的更多靈感�����。
通知公告
通過信息安全相關(guān)公告通知發(fā)放的方式�����,在企業(yè)中滲透信息安全各方面的信息和知識����,逐漸形成信息安全無處不在的工作氛圍�����,提升全員信息安全意識���。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布�����;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布�;近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定����,通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺、電子郵件���、電子期刊等形式均可�����。
帳號管理
建議企業(yè)對各類帳號進(jìn)行嚴(yán)格管理�,包括基本帳號(員工入職后默認(rèn)都需開通的帳號��,例如郵箱帳號�����,OA帳號���,所在部門的公共文件夾等)、工作所需的各類應(yīng)用系統(tǒng)帳號(通常根據(jù)崗位職責(zé)所需開通的帳號)�、特殊權(quán)限的帳號(例如應(yīng)用系統(tǒng)管理員的帳號,數(shù)據(jù)庫管理員的帳號,域管理員的帳號等)��,VPN等特殊應(yīng)用的帳號�����。從管理角度�,不同類別的帳號申請需要不同級別的管理人員授權(quán),一方面企業(yè)需清晰識別各類賬號并定義申請流程和授權(quán)方式�����;同時也需要保留必要的申請記錄以便查證�����,及測量體系實施的有效性�。從使用角度,需要加強對員工的培訓(xùn)并制定必要的規(guī)范(例如不允許帳號共享��,密碼定期修改等策略)�,以確保帳號不被濫用誤用,從而降低信息安全事件的發(fā)生����。
人員安全
員工作為企業(yè)信息使用和傳遞的重要載體�,員工變動可能會給企業(yè)的信息安全帶來很大影響�����。在員工發(fā)生變動��,即員工入職���、轉(zhuǎn)崗和離職幾個關(guān)鍵點進(jìn)行控制��,可大大降低其對企業(yè)信息安全的影響���。因此在入職前,許多企業(yè)會對關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄����,簽訂保密協(xié)議等;發(fā)生內(nèi)部職責(zé)變動時��,要求員工填寫工作交接單�����,刪除其原有崗位賬號等措����;離職時,要求員工填寫離職交接單��,清理數(shù)據(jù)���,歸還物品��。同樣����,在這些關(guān)鍵點���,企業(yè)最好能制定明確的交接審批流程并妥善保留記錄��。
設(shè)備安全
通常企業(yè)在資產(chǎn)管理方面相對完善���,但對設(shè)備自身的信息安全管理相對弱很多,IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù)��,在維護(hù)過程中無論是對設(shè)備自身進(jìn)行的更換���、更新��,還是對其承造的系統(tǒng)���、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整�����、結(jié)構(gòu)調(diào)整等變更均有可能對其中的信息數(shù)據(jù)造成不利影響��,甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作��。因為對IT設(shè)備變更進(jìn)行控制是至關(guān)重要的���,在實施變更前,須根據(jù)變更的緊急程度和可能帶來的影響程度進(jìn)行變更分類和風(fēng)險評估�,制定詳細(xì)的變更計劃并得到相應(yīng)級別的授權(quán);變更實施后須對變更結(jié)果進(jìn)行記錄且進(jìn)行回顧���,以確保變更實施的成功和經(jīng)驗總結(jié)�,具體實施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實踐和國際標(biāo)準(zhǔn)����。
