信息安全等级保护之管理要求→安全管理制度→沟通和合作

一、要求内容 

a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题; 

b)应加强与兄弟单位、公安机关、电信公司的合作与沟通; 

c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通; 

d)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息; 

e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。 

二、实施建议 

对内应当有信息安全工作委员会定期组织各部门间召开信息安全协调会议,协调跨部门安全问题的解决。 对外加强与信息安全监管机构的联系以便在出现安全事件时及时通报;加强与第三方安全机构或安全公司的联系,及时获得最新的业界安全动向和信息;如果公司由于人力不足或能力不足无法建立更好的安全管理体系则可以聘请第三方的安全顾问进行规划和资讯。 

三、常见问题 

很多公司缺少信息安全工作委员会协调各部门间的沟通;与外界的联系也主要是和一些已采购安全产品的厂家的商务和技术联系。 

四、实施难点 

需要公司高层了解跨部门沟通安全问题的重要性,发挥信息安全工作委员会的实际作用。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,系统管理员或安全管理员,会议文件,会议记录,外联单位联系列表,安全顾问名单。 

实施 

a)应访谈安全主管,询问是否建立与外单位(公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等),与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制,与外单位和其他部门有哪些合作内容,沟通、合作方式有哪些; 

b)应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施,参加会议的部门和人员有哪些,会议结果如何;信息安全领导小组或者安全管理委员会是否定期召开例会; 

c)应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等; 

d)应访谈系统管理员或安全管理员,询问其与外单位人员,与组织机构内其他部门人员,与内部各部门管理人员之间的沟通方式和主要沟通内容有哪些; 

e)应检查安全工作会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述; 

f)应检查信息安全领导小组或者安全管理委员会定期例会会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述; 

g)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司、供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容; 

h)应检查是否具有安全顾问名单或者聘请安全顾问的证明文件,检查由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录,查看是否具有由安全顾问签字的相关建议。 

六、参考资料 

ISO17799中对与内外沟通有一些指导方法: 

6.1.2 信息安全协调 

控制: 

信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。 

实施指南: 

典型的,信息安全协调应包含管理人员、用户、行政人员、应用设计人员、审核员和安全专员,以及各领域专家技术的协调和协作,这些领域包括保险、法律问题、人力资源、IT或风险管理等。

这些活动应: 

a) 确保安全活动的实施与信息安全方针相一致; 

b) 确定如何处理不符合; 

c) 核准信息安全相关的方法和过程,例如风险评估、信息分类; 

d) 识别重大的威胁变化和信息系统内暴露于威胁下的信息和信息处理过程; 

e) 评估信息安全控制实施的充分性性和协调性; 

f) 有效地促进整个组织内的信息安全教育、培训和意识; 

g) 评价在信息安全事故的监视和评审中获得的信息,推荐适当的措施响应识别 的信息安全事故。 如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织规模来说是不适当的,那么上面描述的措施应由其它的合适的管理机构或单独管理人员实施。 

6.1.6 与政府机构的联系 

控制: 

应保持与相关政府机构的适当联系。 

实施指南: 

组织应建立程序,规定何时应当与哪个机构(例如,执法部门、消防局、监管部门)联系,如果怀疑已识别的信息安全事故可能触犯了法律,如何及时报告。 由于互联网而遭受攻击的组织可能需要外部第三方(例如互联网服务提供商或电信运营商)采取措施以抵制攻击源。 

6.1.7 与特殊利益团体的联系 

控制: 

应保持与特殊利益团体或其他专家安全论坛和行业协会的适当联系。 

实施指南: 

获得特殊利益团体或论坛的成员资格,应考虑将其作为一种方式来: 

a) 增进关于相关安全信息的最佳实践和最新状态的知识; 

b) 确保对于信息安全环境的理解是最新的和完整的; 

c) 尽早接受到关于攻击和脆弱点的警告、建议和补丁; 

d) 获得得到信息安全专家建议的途径; 

e) 分享和交换关于新的技术、产品、威胁或脆弱点的信息; 

f) 提供处理信息安全事故时的适应的联络地点(见13.2.1)。

如若转载,请注明出处:http://www.codingwhy.com/view/265.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com