作为信息安全领域的国际标准，ISO/IEC提供的项控制目标和项控制措施，这些控制目标和控制措施分布在大信息安全管理领域，包括：

　　. 信息安全方针：根据业务需求和相关法律法规要求，为信息安全提供管理指导和支持。

　　. 信息安全组织：在组织内建立信息安全组织，保持被外部组织访问、处理、通信或管理的组织信息和信息处理设施的安全。

　　. 资产管理：对与信息技术有关的资产进行分类，加强与信息技术有关的资产分类管理，并对这些资产就价值和重要性进行分类标识，实施不同安全措施对这些资产进行保护。

　　. 人力资源安全：确保员工、合同方和第三方用户明白他们的职责，适合于他们被赋予的角色，减少因盗窃、欺诈或设施误用造成的风险;确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针、减少人为错误的风险;确保员工、合同方和第三方用户离开组织或雇用变更时以一种有序的方式进行。

　　. 物理及环境安全：防止对组织办公场所和信息的非授权物理访问、破坏和干扰;防止资产的丢失、损坏或被盗，以及对组织活动的中断。

　　. 通信及操作管理：覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等，并确保信息处理设施正确和安全运行。

　　. 访问控制：定义用户访问控制策略，管理用户访问过程，包括对网络访问控制、操作系统、应用系统及移动设备和远程工作设备的访问控制管理。

　　. 信息系统获取、开发及维护：确保安全成为信息系统的一部分;防止应用系统信息的错误、丢失、非授权的修改或误用;通过加密手段来保护信息的保密性、真实性或完整性;确保系统文档、应用系统软件的安全;减少因利用公开的技术漏洞带来的风险。

　　. 信息安全事件管理：确保使用持续有效的方法管理信息安全事件。

　　.业务连续性管理：防止业务活动的中断，保护关键业务流程不会受信息系统重大失误或灾难的影响，并确保它们的及时恢复。

　　. 符合性：避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织的安全策略及标准。　.实施信息安全管理的关键因素

　　信息安全管理的实施是一个系统的过程，应该按照项目管理过程进行策划、建立、运行、监控、改进、评审等步骤来执行。信息安全管理建设是一个长期的持续的过程，其中涉及到多种因素，其中主要的关键因素包括：

　　. 建立合理的信息安全组织架构。

　　合理的信息安全组织架构应该包含三个层次，决策层、管理层和执行层：从角色上来讲可以分为信息安全管理者、普通员工、信息安全专业人员、安全审核员;由于信息安全是“一把手”工程，一般应该由企业的最高管理者直接领导。

　　. 实施信息安全管理体系要从业务需求出发。项目管理论坛

　　外包公司的主要业务是承接了客户业务链中的某个环节业务，因此，信息安全管理要始终围绕着外包业务需求进行建设，并把安全管理纳入到服务过程中，同服务过程一起实施、监控和审查，并提供质量保证。

　　. 加强信息安全教育和培训，树立全员信息安全意识。

　　一方面按照企业人员级别以及业务性质的不同，对不同人员实施不同侧重内容的培训，

　　关注不同级别人员对信息安全的关注点;另一方面，实现员工在企业整个就业期间，实施不间断的持续培训，从员工入职到最后离开企业。当然，在安全教育和培训方面，不必拘泥于形式，除了正常的集中人员面对面的培训之外，还可以采取网络教程、动画、张贴墙报、定期发送电子报、开展信息安全知识竞赛等。通过多种方式，全方位的宣传和教育，把信息安全融入到企业文化当中，并逐渐注入到每个员工的信息安全意识中，进而融入到企业文化中。

　　. 坚持信息安全管理的持续改进。

　　信息安全管理是一个持续渐进的过程，管理者要充分认识到实施信息安全管理过程中的

　　艰难和痛苦，并做出有效的应对措施。这可以通过制定各种短期目标、绩效指标和阶段里程碑来进行实施、监控、度量和考核，并及时总结经验和教训，通过持续改进提高信息安全管理体系的适宜性和有效性。为了使企业构建的信息安全管理体系能适应不断变化的风险，必须要以构建、执行、评估、改进、再构建的方式持续地进行，构成一个P(规划)、D(实施)、C(检查)、A(改进)反馈循环链以使构建的企业

上一页  [1] [2] [3] 下一页