ISMS在外包企业和业务的结合
由于发包方对信息安全要求的提高,越来越多的外包企业都遵循ISO27001标准,建立了自身的信息安全管理体系(ISMS);然而,在ISMS建立及运作的过程,却很少有企业能够真正做到使ISMS与其外包业务相结合。如果不能与企业自身业务相结合,ISMS只能够徒有其形,最终不能很好的持续并且改进,那么,ISMS在外包企业如何做到与其业务很好的结合呢?作为一名信息安全咨询顾问,我很愿意将自己的一些理解与大家分享。
首先,信息安全目标应与企业业务目标保持一致。
信息安全目标是否能够与企业的业务目标相一致,将直接影响到ISMS运行的效率和效果,因此,信息安全的目标必须要符合企业的业务目标。要保证信息安全目标与企业业务目标的一致性,可以通过以下两个方面来考虑:
1) 制定企业发展战略时,考虑业务目标的实现对信息安全的要求。在业务规划时,不仅仅分析业务需求,还应该同时进行信息安全需求分析,并且将这些信息安全的需求的实施内容加入到业务发展规划中。比如,企业将向某个新行业客户提供外包服务为企业的战略,那么在业务战略规划中应加入客户行业的安全需求调研、客户行业安全知识库建设、信息安全管理人才培养、外包服务车间的安全建设等信息安全内容。
2) 制定信息安全目标时,继承企业的业务目标。信息安全目标是信息安全管理体系前进的方向,因此,只有将业务目标层层分解,最终得出信息安全目标,再将安全目标分解到各信息安全控制措施的具体指标,并且进行有效的过程改进,才能保证ISMS的有效行。
其次,项目执行过程固化信息安全管理活动。
信息安全管理活动能否固化到项目的执行过程中,或者说信息安全管理活动与项目运作的结合程度,已经成为了企业ISMS实施能否成功的关键因素。因此,企业想要建立并运作有效的ISMS,必须将信息安全管理作为项目管理活动的一部分,固化到项目实施的各个阶段。信息安全管理活动与项目执行过程的结合可以从以下方面考虑:
1) 项目售前阶段客户信息安全需求管理。从项目售前阶段开始,对客户外包项目的信息安全需求进行归纳、分析,并且形成正式的客户安全需求文档。这份需求文档应包含客户所有正式提出的安全要求,每项的安全要求需要有相对应的具体的安全管理活动,并且在项目的整个声明周期由专人进行维护、管理,真正做到客户安全需求的符合性管理。
2) 项目执行阶段信息安全管理活动实施。首先,在项目管理流程中,将项目运作过程中的信息安全管理职责明确定义下来,并且将各类项目所包含的信息安全管理活动定义下来。其次,在项目执行阶段,项目经理需要按照既定的项目安全管理活动进行操作,即从人、机、料、法、环的角度进行资产识别、风险评估、风险处理等活动。最后,在项目执行的过程中,需要审计人员定期或不定期的对项目的各个活动进行安全审计,从而保证项目安全管理活动的有效性。
3) 项目结束后信息安全管理措施。项目结束时,项目相关的信息资产需要妥善的得到处理,避免由于管理不善导致敏感信息的泄露、丢失等问题。
最后,在新业务开拓中考虑ISMS的附加价值。
管理体系如何才能直接为企业创造价值,这一直都是每个企业所关心,并且非产困惑的问题,但是,信息安全管理体系却能够很好的为外包企业创造额外的价值。外包企业在提供通常的外包服务之外,还可以为根据不同安全等级需求的客户,提供不同安全级别的外包服务,为重点客户提供VIP的服务环境,例如:
1) 提供单独的物理场所作为工作环境;
- 独立碎纸机
- 独立打印机
- 独立门禁系统
2) 提供符合客户要求的网络环境;
3) 更为频繁的回顾与审计等。
总之,在进行信息安全管理体系建设的过程中,只有充分的考虑到企业业务需求,并使各项管理措施渗透到企业的业务运作中,真正做到ISMS与外包企业的业务相结合,才能使信息安全管理体系发挥最大的效能,为外包企业带来更大的价值。(比特网)
- 1将加深在航空器事故调查和搜寻救援上的合作
- 2主机运维管理:思路还是命令?
- 3中小企业何时彻底更换CRM
- 4重视客户利益才能赢得更大成功
- 5中国反垄断调查“高通案”历时14个月
- 6云南会计考试报名学习报考点
- 7网管软件应该具有哪些功能
- 8金龙鱼大米,先驱还是先烈
- 9通过何种方式选择ERP实施方案
- 10教育孩子必备的15个智慧锦囊
- 11OA办公系统国内第一家开通会员注册功能
- 12调查称Uber开展业务的城市 酒驾车祸发生率降低
- 13民企打造北方最大盐化工现代化电子交易平台
- 14微淘运营、引粉、推广日记
- 15SEO优化要在关键字布局上下功夫
- 16企业的短命与长寿
- 17上淘宝找人设计logo 我是如何被坑的
- 18江苏:第四届银行业文明服务满意度 调查启动
- 19现代管理与企业未来发展
- 20通过8种方式 IT帮企业抵御金融风暴冲击
- 21服装店管理中店长的五大职责
- 22[服装管理软件]服装店经营技巧之接近顾客
- 23RFID在离散制造业生产线的应用研究
- 24好处于无形 企业老板是否会上CRM
- 25中小企业信息化的时机怎样把握?
- 26有效处理员工关系的5大方法
- 27广州:调查称三成企业不发年终奖
- 28用户愿意分享什么样的文章?
- 29数据挖掘与决策支持系统之间的关系
- 30怎么做移动网站?