歡迎來到「華道顧問」,專業為您提供:ISO系列標準認證、特種設備生產資質、涉水產品衛生許可、服務認證等咨詢輔導服務。
全國免費咨詢電話:
4006-010-725
搜索:
北京電話:136 8120 0268
青島電話:137 0542 9315
上海電話:152 2175 9315
國際標準認證

青島華道智業企業管理咨詢有限公司
全國免費咨詢電話:4006-010-725

地址:山東省青島市市南區中山路10號
電話|微信:137-9194-1216
辦公電話:0532-89775129
QQ:1263118282
網址:龙珠激斗2.3无敌版
郵箱:hdzygw#126.com(#[email protected])
您現在的位置:網站首頁 >國際標準認證 >ISO/IEC 27001信息安全管理體系認證ISO/IEC 27001信息安全管理體系認證

山東企業ISO27001信息安全管理體系建設運行的正確方式

文章來源:華道顧問 編輯:華道顧問

 信息安全管理體系(ISMS)在國內經過十多年的應用逐漸走向成熟,在這個過程中,有很多組織在對其不斷完善強大,也有很多組織逐漸將其邊緣化。同時,那些堅持下來的組織,也有些對ISMS體系的運行逐漸流于形式,僅將其作為商業競爭的籌碼。這是一個值得思考的問題,這一問題的妥善解決,將有助于真正提高組織的信息安全管理水平。
ISMS最直接相關的是ISO/IEC 27000標準族,預留標準號60個,目前已有35個標準號相關標準建立發布,但由于標準轉換的限制和標準的專業性,國內建立ISMS的組織一般都僅僅關注ISO/IEC 27001《信息技術安全技術信息安全管理體系要求》和ISO/IEC 27002《信息技術安全技術信息安全管理體系控制實踐指南》。這兩個標準,尤其是ISO/IEC 27001僅是要求,內容簡練,不易理解,從而導致組織對其理解存在偏差。本文從可能存在的偏差及其原因入手,對解決方法進行簡單討論。
偏差之一是組織對建立ISMS期望太高,以致對倉促建立的體系感到失望。ISMS對應的要求類標準ISO/IEC 27001來自英標BS 7799-2,是工業化國家對其信息安全最佳實踐的總結和提煉,但部分組織會認為它本身就是最佳實踐。事實上,標準只是要求,沒有具體實現的方法,需要組織對其進行理解、建立、實施和運行,并逐步形成自己的最佳實踐。所以一開始一勞永逸的高期望與實際建設和運行過程中頻頻出現的問題是組織對ISMS逐漸失望并產生懷疑的主要原因。

偏差之二是重實施不重設計。好的設計可以讓實施變得事半功倍,且更容易實現預期的效果。但現實是,大部分組織都采用簡單的設計,復雜的實施。在體系建設之初,體系的建設小組通?;嵩謐裳降鬧傅枷?,開展體系的建設和實施。通常情況下,有咨詢方指導,體系的建設和實施會更順利,但實際上受時間或能力的限制,咨詢方對體系建設方的實際情況了解不夠充分,體系設計形式化,從而導致體系的建設大而全,不夠深入和細致,不能貼合組織的實際情況。這樣簡單粗暴、不考慮實際的設計根本無法將ISMS真正融入組織原有的自成體系的管理里面,這也是組織對其失望的原因之一。

偏差之三是無法衡量ISMS對組織業務的正面支持和影響。體系的建設,必須要有管理層的支持和充足的資源保障,如何說服管理層給予支持,需要充足的理由和證據。然而,很多組織在體系建設的時候并未建立良好的評價機制,從而導致無法證明或展現管理體系的效果,再加上前面兩個原因,更是雪上加霜,一旦管理層不再支持,管理體系有用沒用都無法持續下去。
當然,ISMS無法良好運行的原因有很多種,這三個方面是相對比較普遍、關鍵和基礎的,組織如能在這三個方面做好,則可以為建立ISMS打下了堅實的基礎。

這三方面問題其實是相輔相成的,需要整體進行解決。目前,隨著管理體系類標準的發展,信息安全管理體系實際上就是管理體系在信息安全領域的應用,因此我們可以先從管理體系談起。
什么是管理體系?簡單說就是組織為了實現管理目的而建立的一系列相輔相成的管理過程,對組織的活動進行指導和控制。管理體系可大可小,可簡單可復雜,一個全面的管理體系可以由多個單獨的管理體系組成,其最終目的是實現組織的價值和戰略目標。從這個角度來看,信息安全管理體系就是為了實現信息安全目的而建立的管理體系。隨著國際標準化組織導則83的發布,對管理體系標準的基本結構提出了明確的要求,依據導則83編制的管理體系標準從章節設置和框架內容設置上都保持了高度一致,每個管理體系都是建立在同一個框架下。組織在建立管理體系的同時,也建立了一個基本的管理框架,這樣一來,組織無論是建立其他管理體系還是為了實現某個管理目的建立管理制度時,都可以在這個基本管理框架下進行,所以,組織要建立ISMS應先從管理框架建起,這樣可以達到事半功倍的效果。

那么,如何建立管理框架才能避免前面提到的三個問題呢?首先,從標準結構來看,管理體系的框架分7章節進行描述,分別為:組織環境、領導力、規劃、支持、運行、績效評價和持續改進。每一章節的內容都很簡單,僅僅是提出了要求,卻沒有要求一定要怎樣做,組織必須自己理解或者聘請有能力的人員來幫助完成這些管理過程的設計和實施??蚣芙⒌鬧柿拷齠ㄒ桓鼉嚀宓墓芾硤逑瞪杓剖凳┑男Ч?。現在,我們來了解一下管理框架的基本內容:

組織環境。組織需要建立組織環境管理的基本方法并識別組織的基本環境信息,其實所謂的組織環境也就是我們常說的組織的基本情況,例如組織業務及業務特點、來自外部的限制條件和約束、內部的限制條件和約束、相關方及其特點等,這些都會影響體系的設計效果,就像設計一個建筑要了解地質條件和人文環境一樣重要。

領導力。沒有管理層的支持就沒有資源,因此要明確管理層的責任。管理體系要實現的組織管理目的其實就是管理層的管理目的,管理層在管理體系里面一個重要的責任就是要明確提出管理目的,也就是我們常說的確定方針,如果缺少這個環節,設計出的管理體系就不會得到管理層的支持。除此之外,為了實現管理目的,還需要管理層提供資源,分配職責和賦予權力。

規劃。有了方針,自然要去實現它,管理體系的方針實現過程就是通過建立與方針保持一致的目標來實現,因此在規劃階段要建立逐級分解的目標,一般目標分為上層目標和下層目標,上層目標為下層目標提供方向,下層目標對上層目標進行支撐,分解為多少層與組織的組織架構和管理結構有直接關系,重點是要分解到可以通過活動來實現的層級。并不是每一個目標分解的層級都是一樣的,需要根據實際情況來確定。在規劃的環節,還應充分考慮組織的風險管理,在目標實現過程中,總是會有各種因素影響目標的實現,這些因素需要進行識別并得到有效控制。但這些因素的識別不要盲目采用那些所謂放之四海而皆準的列表,而是要結合組織自己的情況來針對性識別,也就是要充分利用識別的組織環境信息?;諫鮮齷疃?,組織就可以建立起貼合實際的目標實現計劃。

組織還需注意的是風險管理是動態的,隨著組織環境的變化,風險也會變化,因此組織需要建立有效的風險管理過程和風險評估方法。

支持。從體系建設之初,對資源的需求就開始了,這一章正式提出了建立、運行、維護和持續改進管理體系所需要的支持,因此可以看出,標準的章節并不是按體系建設執行順序來寫的,不是要等規劃完成后再考慮支持資源的提供和支持活動的建立。管理體系的支持主要從資源管理、人員能力管理、意識管理、溝通管理和文檔管理等5個方面提出要求。這些方面,組織根據實際情況或者根據現有的管理情況確定管理過程即可。

運行。由于資源和能力限制,運行不一定要把規劃好的活動和管理過程全部進行實施和投入運行。實際情況是,管理體系的建立和運行在不同規模的組織內需要1年到3年的時間才能夠相對完善。因此建設運行計劃很重要,組織需要根據組織的管理現狀、資源限制情況、相關方要求的影響程度等多個方面,建立可行的建設運行計劃。對于那些必須滿足的要求、急需解決的問題、對組織有重大影響的風險,需要集中資源重點進行實施和運行;對于那些對業務影響比較大,需要反復論證和測試的,可以單獨作為項目進行管理和實施;對于自我實現成本過高的可以通過外包的形式進行實現;對于時間要求不緊迫的方面,可以在時間表上緩一緩。一個好的建設運行計劃,可以保證體系有條不紊地運行。

績效評價。績效評價設計的好壞,直接影響著管理體系在管理層心目中的形象。這個環節是否能夠很好地進行設計和實施取決于規劃環節目標對方針的支持程度和目標層級的設計是否合理,因為管理體系是否實現管理層的管理目的要看方針和目標是否得到實現。當然這只是一個方面,有了好的目標框架設計,還需要好的績效評價方法和評估實施過程。很多組織會建立單獨的績效評價方法和過程,但實際上內部審核是非常好的績效評價手段。所謂內部審核,就是組織對自己體系運行情況的評價活動,主要用來區別于第三方審核。組織可以任意設計內部審核的方式和頻率,不需要每年一次,更不需要由幾個人員來完成整個組織的內部審核工作。組織可以為每一個影響管理目標的管理過程和管理措施,甚至是活動和崗位,設計評價指標、評價方法、評價頻率并指定評價人員。將管理體系的內部審核工作分散到各個部門、各個團隊,定期或不定期地由相關人員提供信息和數據,然后由專門的部門或崗位對信息和數據進行匯總分析,從而實現績效的評價。但需要注意的是,評價方法、抽樣方式和頻率、績效計算公式等方面要進行詳細、科學、合理的設計才會實現預期的目的。

管理評審也是績效評價的一種方式,這種方式比較直接,由管理層直接作出評價。當然,管理層需要內部審核的結果和體系運行的其他信息來進行綜合評價。管理層的評價很重要,直接決定接下來他是否會更好地支持管理體系的運行工作。

持續改進。績效評價是持續改進的一個重要輸入,對于存在的問題和無法實現預期目標的方面都要進行改進,這一方面很容易理解,不再贅述。

如果上述7個方面組織可以進行良好的設計和實施,則無論建立什么樣的管理體系都可以先成功一半。對于ISMS來說,還需要做好哪些事情才能真正發揮ISMS的作用,下面針對ISMS來做討論。

返回

青島華道智業企業管理咨詢有限公司 版權所有 全國免費服務電話:4006-010-725
總部:青島市南區中山路10號          電話|微信:137-9194-1216    QQ:1263118282
北京:海淀區西三環昌運宮紫竹橋     電話|微信:136-8120-0268    QQ:2970890153
上海:閔行區虹梅南路1755號         電話|微信:152-2175-9315    QQ:2215501312
杭州:西湖區教工路198號              電話|微信:158-6716-8335    QQ:2668763939
西安:未央區未央路80號                電話|微信:139-0928-9277    QQ:3568192523
深圳:南山區粵海街道環東路西環北路北濱海之窗花園   電話|微信:130-7782-9315   QQ:574472821
  
    魯ICP備11001126-1    常年法律顧問:徐年達  胡克用
    服務項目:國際標準認證,特種設備資質,涉水產品衛生許可批件,龙珠激斗2.3无敌版,保密室設備
服務地區:
青島,煙臺,濟南,威海,濰坊,日照,東營,濱州,淄博,萊蕪,臨沂,濟寧,泰安,棗莊,菏澤,聊城,德州,上海,深圳,重慶,廣州,天津,石家莊,長春,哈爾濱,濟南,呼和浩特,沈陽,烏魯木齊,蘭州,西寧,銀川,鄭州,太原,合肥,長沙,武漢,南京,成都,貴陽,昆明,南寧,拉薩,杭州,南昌,福州,???大連