企业信息安全管理体系建设是企业信息安全工作的启动、建设、规划的重要内容。企业信息安全管理体系有四个层次,构成这四个层次的内容为:企业信息安全合规管理、信息安全管理、信息安全策略遵从以及信息安全风险管理。
信息安全合规管理是企业信息安全管理体系建设的基石和助推器。合规就是必须符合法律、法规和准则。企业信息安全合规管理与企业信息安全管理和全面风险管理是企业可持续发展的三种制度安排和保障。在合规与业务发展发生矛盾时,合规优先于业务发展必须是企业经营的基本方针。合规管理与内控、合规与业务发展、合规与全面风险管理是企业信息安全合规管理需要处理好的三类关系。
要想做好合规管理需要从两个方面重视,一是做好监管要求采集,关键活动包括监管要求跟踪和监管要求汇总。二是要监管合规管理。包括监管要求差距评估和差距评估结果的整改落实。
此外,要成立由企业主管领导任责任人的信息安全管理机构,建立相应的信息安全管理制度。从IT规划管理、IT制度管理、IT资源管理、监督管理、违规管理、外部环境六个方面建立信息安全管理过程。并且,企业要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于解决眼前的问题,还要杜绝类似事故再发生或者降低其再发生的可能性。
信息安全策略是企业管理层解决信息安全问题最重要的部分。企业信息安全策略工作主要从两方面进行,一是企业信息安全策略的制定,二是企业信息安全策略的贯彻、执行。制定安全策略的目的是保证网络安全,保护工作的整体性、计划性及规范性。其包括以下内容:进行安全需求分析;对网络系统资源进行评估;对可能存在的风险进行分析;确定内部信息对外开放的种类及发布方式和访问方式;明确网络系统管理人员的责任和义务;确定针对潜在风险采取的安全保护措施的主要构成方面,制定安全存取、访问规划。
最后,信息安全风险管理是对企业信息安全风险进行识别、评价、处置、整改等的全过程。包括确定工作方针、定义风险评估的系统性方法、识别风险、评估风险识别并评价风险处理的方法、为风险的处理选择控制目标与控制方式以及获得最高管理者的授权批准。
风险评估的方法主要是通过人工评估或者自动化工具测评等手段识别、分析支撑IT目标的流程和资源中存在的缺失或不足,判断风险优先级,提出风险处置建议。评估管理人员组织评估团队识别所评估对象的IT服务目标,进而分析支撑IT目标的流程和资源;识别影响流程和资源中的关键因素,根据关键因素设计风险检查项、检查指标和评价权重,形成风险检查表。评估人员依据风险检查表采用人工或自动化工具对评估对象的信息科技状况进行信息收集。信息收集可采用调查、检查、安全测试等方式。
