信息安全等级保护之管理要求→安全管理制度→管理制度

一、要求内容 

a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; 

b)应对安全管理活动中的各类管理内容建立安全管理制度; 

c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程; 

d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 

二、实施建议 

建立信息安全管理体系,首先需要在组织内部建立总的安全管理策略,作为组织内部最高的安全管理思想,作为安全管理体系的纲领性文件,内容将包括机构安全工作的总体方针、目标、范围、原则和安全框架等。 在安全策略指导之下建立各方面的管理制度,例如,体系维护、风险评估、法律合规、安全事件管理、资产管理、业务连续性管理等。 对于具体的日常管理和操作流程文件,可以在各部门原来的流程规定的基础上建立,增加信息安全方面的要求。 

三、常见问题 

多数企业在没有建立信息安全管理体系之前缺少总体的信息安全管理方针和策略,各部门建立的流程文件缺少安全要求,且都是各自独立按需求建立,缺少统筹管理。 

四、实施难点 

体系和制度的建立和推进需要公司最高管理层的支持,如果没有他们的支持体系推进工作将很难开展。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程。 

实施 

a)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由安全政策、安全策略、管理制度、操作规程等构成; 

b)应检查信息安全工作的总体方针、政策性文件和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等,是否明确信息系统的安全策略; 

c)应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用和管理等层面; 

d)应检查是否具有重要管理操作的操作规程,如系统维护手册和用户操作规程等。 

六、参考资料 

ISO17799中给出了信息安全策略建立的指导方法: 

5.1.1 信息安全策略文档 控制: 信息安全方针文档应经过管理层的批准,并传达给所有雇员和外部相关方。 实施指南: 信息安全方针应阐述管理层的承诺,并规定组织管理信息安全的方法。

该策略文档应包括以下方面的陈述: 

a) 信息安全的定义、其整体目标和范围以及安全作为保障信息安全共享机制的重要性(参看简介); 

b) 陈述信息安全的管理意图、支持性目标和准则,并与业务战略和目标保持一致; 

c) 设立控制目标和控制措施的框架,包括风险评估和风险管理的架构; 

d) 对安全方针、准则、标准的简介,也包括对机构有特别重要性的法律的要求,

例如: 

1) 要符合法律及合同要求; 

2) 安全教育、培训、意识的要求; 

3) 业务连续性管理; 

4) 违反安全方针的后果。 

e) 信息安全管理的一般的和特定的责任的定义,包括报告安全事件; 

f) 支持该方针的文档的参考说明,如更详尽的安全策略,特定信息系统的程序,用户应该遵守的或安全规则。应以预期的读者适合的、可访问的和可理解的形式将信息安全方针传递给整个组织的用户。

如若转载,请注明出处:http://www.codingwhy.com/view/253.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com