|
2.6 通信及操作管理:覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等,并确保信息处理设施正确和安全运行。项目经理博客
2.7 访问控制:定义用户访问控制策略,管理用户访问过程,包括对网络访问控制、操作系统、应用系统及移动设备和远程工作设备的访问控制管理。
2.8 信息系统获取、开发及维护:确保安全成为信息系统的一部分;防止应用系统信息的错误、丢失、非授权的修改或误用;通过加密手段来保护信息的保密性、真实性或完整性;确保系统文档、应用系统软件的安全;减少因利用公开的技术漏洞带来的风险。项目管理者联盟
2.9 信息安全事件管理:确保使用持续有效的方法管理信息安全事件。项目管理论坛
2.10业务连续性管理:防止业务活动的中断,保护关键业务流程不会受信息系统重大失误或灾难的影响,并确保它们的及时恢复。
2.11 符合性:避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织的安全策略及标准。项目管理者联盟
3.实施信息安全管理的关键因素项目经理博客
信息安全管理的实施是一个系统的过程,应该按照项目管理过程进行策划、建立、运行、监控、改进、评审等步骤来执行。信息安全管理建设是一个长期的持续的过程,其中涉及到多种因素,其中主要的关键因素包括:转自项目管理者联盟
3.1 建立合理的信息安全组织架构。项目管理者联盟
合理的信息安全组织架构应该包含三个层次,决策层、管理层和执行层:从角色上来讲可以分为信息安全管理者、普通员工、信息安全专业人员、安全审核员;由于信息安全是“一把手”工程,一般应该由企业的最高管理者直接领导。项目管理者联盟
3.2 实施信息安全管理体系要从业务需求出发。项目管理者联盟
外包公司的主要业务是承接了客户业务链中的某个环节业务,因此,信息安全管理要始终围绕着外包业务需求进行建设,并把安全管理纳入到服务过程中,同服务过程一起实施、监控和审查,并提供质量保证。service.mypm.net
3.3 加强信息安全教育和培训,树立全员信息安全意识。项目管理者联盟
一方面按照企业人员级别以及业务性质的不同,对不同人员实施不同侧重内容的培训,项目管理者联盟
关注不同级别人员对信息安全的关注点;另一方面,实现员工在企业整个就业期间,实施不间断的持续培训,从员工入职到最后离开企业。当然,在安全教育和培训方面,不必拘泥于形式,除了正常的集中人员面对面的培训之外,还可以采取网络教程、动画、张贴墙报、定期发送电子报、开展信息安全知识竞赛等。通过多种方式,全方位的宣传和教育,把信息安全融入到企业文化当中,并逐渐注入到每个员工的信息安全意识中,进而融入到企业文化中。项目管理者联盟
3.4 坚持信息安全管理的持续改进。项目管理者联盟
信息安全管理是一个持续渐进的过程,管理者要充分认识到实施信息安全管理过程中的项目管理者联盟
艰难和痛苦,并做出有效的应对措施。这可以通过制定各种短期目标、绩效指标和阶段里程碑来进行实施、监控、度量和考核,并及时总结经验和教训,通过持续改进提高信息安全管理体系的适宜性和有效性。为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(规划)、D(实施)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。项目管理者联盟
4.结论项目管理者联盟
信息安全管理体制的建立和健全,目的就是降低信息风险对企业经营的危害,并将其投资和商业利益最大化。我们已经越来越深刻地认识到,信息安全不只是个技术问题,而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术发外的其它手段,如规范安全标准和进行信息安全管理。信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。项目管理者联盟
参考文献:项目经理圈子
[1]《信息系统项目管理师教程第2版》,柳纯录主编,清华大学出版社,2008年1月。项目管理者联盟
[2]《软件过程改进美文精选2009年度》,编制:广东软件行业协会软件过程改进专业委员会项目管理者联盟
[3] 珠海市国际信息检索中心:http://www.searchcenter.gov.cn 。项目管理者联盟 bbs.mypm.net
本文为项目管理者联盟联盟会员原创文章,授权发布,非经同意不得转载!
|
