所有由技术驱动的业务流程都面临着安全与隐私威胁。先进技术虽能抵御网络安全攻击但仅靠技术远远不够企业必须通过业务流程、制度规范将这类风险降至最低或加以管控。由于这条路径既不简单也不明确企业纷纷采用各类框架以指导自身落实信息安全InfoSec最佳实践。而信息安全管理系统正是在这一背景下应运而生 —— 下面我们就来详细了解。什么是信息安全管理系统ISMS信息安全管理系统ISMS是一套由制度与管控措施构成的框架可在企业全范围内系统性地管理安全与风险实现全面的信息安全保障。这些安全管控措施既可遵循通用安全标准也可更贴合所在行业的特定需求。信息安全管理体系框架通常以风险评估与风险管理为核心。可以将其理解为一种结构化方法在风险防控与由此产生的成本风险之间实现平衡取舍。对于医疗、金融等监管严格的行业领域内的企业往往需要覆盖范围更广的安全举措与风险防控策略。信息安全的持续改进信息安全管理体系旨在构建全面的信息安全管理能力而数字化转型要求企业对安全制度与管控措施进行持续优化和迭代升级。信息安全管理体系所设定的架构与适用范围往往仅在一定时期内有效且员工在初期可能难以适应。企业面临的挑战在于随着自身风险状况、组织文化和资源条件的变化同步迭代这些安全管控机制。根据 ISO 27001 标准信息安全管理体系的落地遵循策划 — 实施 — 检查 — 改进PDCA 模型实现信息安全管理流程的持续优化策划识别问题并收集有效信息评估安全风险制定可解决问题根源的制度与流程构建方法持续提升信息安全管理能力。实施落地已制定的安全制度与流程。实施过程遵循 ISO 标准但具体执行方式需结合企业现有资源。检查监控信息安全管理体系制度与管控措施的有效性评估实际成效同时关注信息安全管理流程中的人员行为表现。改进聚焦持续优化记录实施成果、共享经验知识并通过反馈闭环迭代优化后续信息安全管理体系制度与管控措施的 PDCA 落地工作。主流信息安全管理体系框架ISO 27001 是信息安全领域的标杆框架此外还有其他框架也能提供极具价值的指导。这些框架大多借鉴了 ISO 27001 或行业专属规范。ITIL应用广泛的服务管理框架专门设有信息安全管理ISM 模块旨在实现 IT 安全与业务安全协同确保各项活动中的信息安全得到有效管控。COBIT另一款聚焦 IT 领域的框架重点强调资产管理与配置管理是信息安全乃至几乎所有 IT 服务管理职能甚至与信息安全无关的职能的基础。信息安全管理系统安全管控域依据 ISO 27001 标准信息安全管理体系的安全管控覆盖多个信息安全领域相关规范清单围绕以下目标制定实操指南信息安全方针明确总体方向并提供支撑制定适配企业的安全方针。安全方针需结合企业业务与安全需求的变化量身定制。信息安全管理应对企业网络内部的各类威胁与风险包括外部网络攻击、内部安全隐患、系统故障及数据丢失。资产管理覆盖企业 IT 网络内外的各类资产其中可能涉及敏感商业信息的交互。人力资源安全针对员工、相关行为及人为失误制定制度与管控措施包括降低内部威胁风险的举措以及减少员工无意安全疏漏的培训。物理与环境安全规范保护 IT 物理硬件免遭损坏、丢失或未授权访问的安全措施。尽管众多企业借助数字化转型将敏感信息存储在外部安全云网络中但仍需重视访问该信息的物理设备安全。通信与运营管理系统运行需严格遵守安全制度与管控要求日常 IT 运营均需遵循 IT 安全方针与信息安全管理系统管控规则。访问控制限制仅授权人员可访问相关资源并监控网络流量中的异常行为。需明确人员权责遵循最小必要原则开放业务信息访问权限。信息系统的获取、开发与维护在 IT 系统的全生命周期获取、开发、维护阶段均需遵守安全最佳实践。信息安全事件管理识别并解决 IT 问题最大程度降低对终端用户的影响。在复杂网络基础设施环境中需借助先进技术方案识别有效事件指标主动防控潜在问题。业务连续性管理尽可能避免业务流程中断理想状态下灾害发生后可立即启动恢复流程将损失降至最低。合规性严格按照监管机构要求落实安全规范。密码技术作为保护敏感信息的核心有效管控手段但其并非万能方案。因此信息安全管理系统会规范密码技术管控措施的执行与管理方式。供应商关系管理第三方供应商与合作伙伴可能需要访问企业网络及敏感客户数据部分供应商可能无法直接执行企业安全管控措施但需通过 IT 安全方针与合同约定落实充分管控防控潜在风险。上述内容构成了信息安全落地的通用最佳实践。尽管不同框架的细节略有差异但参照并契合这些要求能大幅提升企业信息安全水平。本文转载自 雪兽软件更多精彩推荐请访问 雪兽软件官网