當(dāng)前位置:工程項目OA系統(tǒng) > 泛普服務(wù)體系 > 泛普博客
ISMS在外包企業(yè)和業(yè)務(wù)的結(jié)合
由于發(fā)包方對信息安全要求的提高,越來越多的外包企業(yè)都遵循ISO27001標(biāo)準(zhǔn),建立了自身的信息安全管理體系(ISMS);然而,在ISMS建立及運作的過程,卻很少有企業(yè)能夠真正做到使ISMS與其外包業(yè)務(wù)相結(jié)合。如果不能與企業(yè)自身業(yè)務(wù)相結(jié)合,ISMS只能夠徒有其形,最終不能很好的持續(xù)并且改進,那么,ISMS在外包企業(yè)如何做到與其業(yè)務(wù)很好的結(jié)合呢?作為一名信息安全咨詢顧問,我很愿意將自己的一些理解與大家分享。
首先,信息安全目標(biāo)應(yīng)與企業(yè)業(yè)務(wù)目標(biāo)保持一致。
信息安全目標(biāo)是否能夠與企業(yè)的業(yè)務(wù)目標(biāo)相一致,將直接影響到ISMS運行的效率和效果,因此,信息安全的目標(biāo)必須要符合企業(yè)的業(yè)務(wù)目標(biāo)。要保證信息安全目標(biāo)與企業(yè)業(yè)務(wù)目標(biāo)的一致性,可以通過以下兩個方面來考慮:
1) 制定企業(yè)發(fā)展戰(zhàn)略時,考慮業(yè)務(wù)目標(biāo)的實現(xiàn)對信息安全的要求。在業(yè)務(wù)規(guī)劃時,不僅僅分析業(yè)務(wù)需求,還應(yīng)該同時進行信息安全需求分析,并且將這些信息安全的需求的實施內(nèi)容加入到業(yè)務(wù)發(fā)展規(guī)劃中。比如,企業(yè)將向某個新行業(yè)客戶提供外包服務(wù)為企業(yè)的戰(zhàn)略,那么在業(yè)務(wù)戰(zhàn)略規(guī)劃中應(yīng)加入客戶行業(yè)的安全需求調(diào)研、客戶行業(yè)安全知識庫建設(shè)、信息安全管理人才培養(yǎng)、外包服務(wù)車間的安全建設(shè)等信息安全內(nèi)容。
2) 制定信息安全目標(biāo)時,繼承企業(yè)的業(yè)務(wù)目標(biāo)。信息安全目標(biāo)是信息安全管理體系前進的方向,因此,只有將業(yè)務(wù)目標(biāo)層層分解,最終得出信息安全目標(biāo),再將安全目標(biāo)分解到各信息安全控制措施的具體指標(biāo),并且進行有效的過程改進,才能保證ISMS的有效行。
其次,項目執(zhí)行過程固化信息安全管理活動。
信息安全管理活動能否固化到項目的執(zhí)行過程中,或者說信息安全管理活動與項目運作的結(jié)合程度,已經(jīng)成為了企業(yè)ISMS實施能否成功的關(guān)鍵因素。因此,企業(yè)想要建立并運作有效的ISMS,必須將信息安全管理作為項目管理活動的一部分,固化到項目實施的各個階段。信息安全管理活動與項目執(zhí)行過程的結(jié)合可以從以下方面考慮:
1) 項目售前階段客戶信息安全需求管理。從項目售前階段開始,對客戶外包項目的信息安全需求進行歸納、分析,并且形成正式的客戶安全需求文檔。這份需求文檔應(yīng)包含客戶所有正式提出的安全要求,每項的安全要求需要有相對應(yīng)的具體的安全管理活動,并且在項目的整個聲明周期由專人進行維護、管理,真正做到客戶安全需求的符合性管理。
2) 項目執(zhí)行階段信息安全管理活動實施。首先,在項目管理流程中,將項目運作過程中的信息安全管理職責(zé)明確定義下來,并且將各類項目所包含的信息安全管理活動定義下來。其次,在項目執(zhí)行階段,項目經(jīng)理需要按照既定的項目安全管理活動進行操作,即從人、機、料、法、環(huán)的角度進行資產(chǎn)識別、風(fēng)險評估、風(fēng)險處理等活動。最后,在項目執(zhí)行的過程中,需要審計人員定期或不定期的對項目的各個活動進行安全審計,從而保證項目安全管理活動的有效性。
3) 項目結(jié)束后信息安全管理措施。項目結(jié)束時,項目相關(guān)的信息資產(chǎn)需要妥善的得到處理,避免由于管理不善導(dǎo)致敏感信息的泄露、丟失等問題。
最后,在新業(yè)務(wù)開拓中考慮ISMS的附加價值。
管理體系如何才能直接為企業(yè)創(chuàng)造價值,這一直都是每個企業(yè)所關(guān)心,并且非產(chǎn)困惑的問題,但是,信息安全管理體系卻能夠很好的為外包企業(yè)創(chuàng)造額外的價值。外包企業(yè)在提供通常的外包服務(wù)之外,還可以為根據(jù)不同安全等級需求的客戶,提供不同安全級別的外包服務(wù),為重點客戶提供VIP的服務(wù)環(huán)境,例如:
1) 提供單獨的物理場所作為工作環(huán)境;
- 獨立碎紙機
- 獨立打印機
- 獨立門禁系統(tǒng)
2) 提供符合客戶要求的網(wǎng)絡(luò)環(huán)境;
3) 更為頻繁的回顧與審計等。
總之,在進行信息安全管理體系建設(shè)的過程中,只有充分的考慮到企業(yè)業(yè)務(wù)需求,并使各項管理措施滲透到企業(yè)的業(yè)務(wù)運作中,真正做到ISMS與外包企業(yè)的業(yè)務(wù)相結(jié)合,才能使信息安全管理體系發(fā)揮最大的效能,為外包企業(yè)帶來更大的價值。(比特網(wǎng))
- 1將加深在航空器事故調(diào)查和搜尋救援上的合作
- 2主機運維管理:思路還是命令?
- 3中小企業(yè)何時徹底更換CRM
- 4重視客戶利益才能贏得更大成功
- 5中國反壟斷調(diào)查“高通案”歷時14個月
- 6云南會計考試報名學(xué)習(xí)報考點
- 7網(wǎng)管軟件應(yīng)該具有哪些功能
- 8金龍魚大米,先驅(qū)還是先烈
- 9通過何種方式選擇ERP實施方案
- 10教育孩子必備的15個智慧錦囊
- 11OA辦公系統(tǒng)國內(nèi)第一家開通會員注冊功能
- 12調(diào)查稱Uber開展業(yè)務(wù)的城市 酒駕車禍發(fā)生率降低
- 13民企打造北方最大鹽化工現(xiàn)代化電子交易平臺
- 14微淘運營、引粉、推廣日記
- 15SEO優(yōu)化要在關(guān)鍵字布局上下功夫
- 16企業(yè)的短命與長壽
- 17上淘寶找人設(shè)計logo 我是如何被坑的
- 18江蘇:第四屆銀行業(yè)文明服務(wù)滿意度 調(diào)查啟動
- 19現(xiàn)代管理與企業(yè)未來發(fā)展
- 20通過8種方式 IT幫企業(yè)抵御金融風(fēng)暴沖擊
- 21服裝店管理中店長的五大職責(zé)
- 22[服裝管理軟件]服裝店經(jīng)營技巧之接近顧客
- 23RFID在離散制造業(yè)生產(chǎn)線的應(yīng)用研究
- 24好處于無形 企業(yè)老板是否會上CRM
- 25中小企業(yè)信息化的時機怎樣把握?
- 26有效處理員工關(guān)系的5大方法
- 27廣州:調(diào)查稱三成企業(yè)不發(fā)年終獎
- 28用戶愿意分享什么樣的文章?
- 29數(shù)據(jù)挖掘與決策支持系統(tǒng)之間的關(guān)系
- 30怎么做移動網(wǎng)站?
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓