ISO认证过程的问题解决思路在现代社会,对公民个人来说,维护自身的信息安全有着特殊的意义。一方面,维护个人信息安全是构建和谐社会的基础。另一方面,在自主创新和科教兴国的战略背景下,个人信息的安全是保护和促进公民创新精神的重要前提。人的创造性是推进社会进步和经济发展的核心力量,保护这种创造性就必须对个人的相关信息加以保护。对于企业来说,随着信息时代的快速发展,业务需求驱企业开展信息安全管理工作,建立信息安全管理体系,降低信息安全风险,确保信息安全目标,为企业正常运营保驾护航。
ISO信息安全管理本质就是人与事的关系,是人根据制度和流程,采用适宜的方法、工具和手段去降低风险。风险是安全管理的对象,人员、流程、手段是安全管理基本要素,其中人员是根本,流程是核心,手段是支撑。
培养和建立一支高效干练的人员队伍参与ISO信息安全管理的人员应组成一个强有力的管理组织,分工明确、沟通顺畅、协调有力,运作高效。通常安全管理组织应是扁平化的,以便发现问题,及时响应,能够根据外部威胁的形势,快速进行适应性变化。
参与安全管理的人员的知识、技能应适用其岗位要求,并不断的学习成长,适用信息安全快速变化的时代要求。
建立科学、合理、易于落地的管理体系ISO信息安全管理体系构建应采用科学的方法,即按照ISO认证的要求,采用过程方法,通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度,它的目的是推动公司行动起来,发生变化,不断提升其安全管控能力。要使安全管理体系有效发挥作用、起到实效还必须:
全面化:要针对评估中发现的问题,与最佳实践相比较所存在的差距,应覆盖人员和组织、制度和流程、技术手段等所有要素,覆盖信息系统的整个生命周期,覆盖管理的
系统化:管理体系应符合PDCA(规划、实施、检查、改进)思想,必须要有测量、反馈机制,能够进行内部监督、审计,形成正向的内部激励机制,不断进行改进和完
流程化:制度是有益的、必须的,但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要
联系电话: