ISO27001改进的中小企业信息安全管理模型_ISO27001认证_体系认证【泽林认证】
泽林
173
2022-08-10 17:32:31
ISO27001改进的中小企业信息安全管理模型_ISO27001认证_体系认证【泽林认证】
核心提示:基于ISO/IEC27001体系运行方法和ISO/IEC27001体系提出的11个控制措施,针对中小企业存在问题,从信息安全的基于ISO/IEC27001体系运行方法和ISO/IEC27001体系提出的11个控制措施,针对中小企业存在问题,从信息安全的要求出发,结合中小企 业的特性,提出了较简洁的企业信息安全防护模型。该模型以策略(Policy)为核心,依次进行信息安全的检测(check)、实时响应 (Response)和安全防护(Protection)工作。这个过程是动态循环的,响应和恢复情况又为风险分析提供依据,并且在整个过程中,时刻注重 在企业内部进行安全教育(Education)。系统的优化具体的指出中小企业应该从组织体系、管理体系和技术体系三个方面入手,不断的完善和改进自己的 信息安全系统。该模型的主要特点:一、视内部安全管理重于外部防范。注重企业内部信息安全管理的建设,而不是把注意力主要集中在对外部攻击上,该信息安全管理模型建立在内因是事物发展的根本原因这一哲学原理的基础上,强调企 业应该从自身内部做好信息安全管理工作,不给外部的攻击者机会。企业内部员工造成的信息安全事故有危害大、难抵御、难发现的特点:内部员工*容易接触敏感 信息,而且他们的行动非常具有针对性,危害的往往是企业*核心的数据和资源。一般说来,各企业的信息安全保护措施都防外不防内,比如很多公司赖以保障其安 全的防火墙对内部人员攻击毫无作用,形同虚设。内部员工对一个企业的运作、结构、文化等情况非常熟悉,导致他们行动时不易被发觉,事后难以被发现。对于中 小企业来说,对内的信息安全监控的成本要低于对外部的攻击者的监控,而对内部信息安全管理的收益要高于对外部信息安全的防御,所以,中小企业在信息安全管 理中应该把资源放在对内的管理上。二、软件管理重于硬件防范。注重的人、组织制度等软件的管理,放宽企业对信息安全技术的要求,在所有的管理因素中人是*不确定,*难以控制的因素。企业的各项信息安全措施、技术归根结 底都需要由人来完成,人在信息安全管理中具有*终的能动性。所以,企业信息安全管理的*终成功与否与企业员工的基本素质和能力密切相关。中小企业的信息安 全管理的过程中技术方面往往因为得不到高素质的人才而显得薄弱,因此很多专家建议中小企业的信息安全技术方面应该进行外包,企业支付一定的费用让由外界的 专业人士负责企业信息安全的技术。这也符合社会分工提高社会效益的原理,所以中小企业应该把注意力放在自身熟悉的领域企业自身的管理上。三、强调教育功能的重要性。特别强调了信息安全教育在中小企业信息安全管理中的重要作用,由于中小企业信息安全管理中人员的重要作用,而教育是提高企业人员素质和能力的主要方法,所有 模型强调了信息安全教育的重要作用,信息安全的教育要通过多种形式进行定期和不定期的培训。这里的教育不仅仅包括正式的教育也包括员工之间的相互学习,上 级对下级的批评教育等等。企业管理者应该创建一个企业的学习氛围,形成一个学习型的企业,不仅仅在信息安全的方面,在企业的其他方面都应该形成学习的良好 氛围。四、ISO27001标准、信息安全理论和中小企业理论相结合。借鉴ISO/IEC27001信息安全管理体系的过程和方法,在结合中小企业特征、简化和整合了一些信息安全管理措施。贯彻和实施ISO/IEC27001 信息安全管理体系应该结合企业自身实际。本文在针对中小企业设计信息安全管理模型时,主要作了以下调整:简化了ISO/IEC27001信息安全管理体系 中的资产管理、信息系统的获取开发和维护以及信息安全事故管理;增加了病毒查杀、入侵检测等。将ISO/IEC27001信息安全管理体系体系中的信息安 全组织细分为信息安全体系的结构和组织的岗位分工。五、注重信息安全体系持续改进性,强调模型的保障体系的动态平衡和持续改进,这也体现了ISO/IEC27001信息安全管理体系的精神。企业自身和企业所处的外部环境都是在不断变化的,面对不断出现的新情况,企业的信息安全管理应该作出相应变化以抵御各种信息安全风险。模型的防护机制是一个 对外的应对策略,而保障体系是企业自身所具备的能力。防护机制与信息安全威胁直接接触,发现信息安全中存在的问题,保障机制运用自身的能力来解决信息安全 问题。防护机制和保障体系在保障企业信息安全过程中会不断遇到新问题、新情况,促使他们不断改变、不断提高。关于检测产品前应该怎么收集相关的资料?认证前期所准备的相关资料不知道是否可以找咨询公司进行处理?商标注册商标转让前应该怎么检查商标?这些问题就给大家解答到这里了,如还需要了解更多专业性问题可以拨打中企检测认证网在线客服。为您提供全面检测、认证、商标、专利、知识产权、版权法律法规知识资讯,包括食品检测、第三方检测机构、网络信息技术检测、环境检测、管理体系认证、服务体系认证、产品认证、版权登记、专利申请、知识产权、检测法、认证标准等信息,为检测认证商标专利从业者提供多种检测、认证、知识产权、版权、商标专利的转让代理查询法律法规等知识。免责声明:本文部分内容根据网络信息整理,文章版权归原作者所有。向原作者致敬!发布旨在积善利他,如涉及作品内容、版权和其它问题,请跟我们联系删除并致歉!
更多认证服务:点击查看
推荐资讯 / Recommended News
- 2022-08-30 企业三大体系认证指哪些?哪里能办?【泽林认证】
- 2022-08-30 哪些企业需要申请ISO体系认证【泽林认证】
- 2022-08-22 ISO27001认证范围和审核范围有什么关联_ISO27001认证_体系认证【泽林认证】
- 2022-08-22 ISO27000策划的具体工作有哪些?_ISO27001认证_体系认证【泽林认证】
- 2022-08-22 ISO27001认证的发展和起源_ISO27001认证_体系认证【泽林认证】
- 2022-08-22 ISO27001认证对企业的好处_ISO27001认证_体系认证【泽林认证】
- 2022-08-22 ISO27001认证ISMS信安全认证体系实施指南_ISO27001认证_体系认证【泽林认证】
- 2022-08-16 ISO27001认证的好处与市场作用?_ISO27001认证_体系认证【泽林认证】
- 2022-08-16 ISO27001认证标准_ISO27001认证_体系认证【泽林认证】
- 2022-08-16 ISO27001认证的产生背景和发展历程_ISO27001认证_体系认证【泽林认证】
