信息安全组织建设的重要性
1、信息安全组织建设是信息安全体系建设的一个前提条件
2、信息安全组织建设是信息安全体系内容中的一部分
3、信息安全组织对信息安全体系的运行、维护至关重要
没有新消息安全组织、信息学安全体系的运营,维护好不到相关责任人员、信息安全的决策
和汇报无法进行
27001:2013版对信息安全组织的要求
1、内部组织
1.1新消息安全角色和职责
1.2职责分离
1.3与政府部门的联系
1.4与特定利息集团的联系
1.5项目管理中的信息安全
2、移动设备和远程工作
2.1移动设备策略
2.2远程工作
2.3识别外部组织风险
2.4当与客户接触时强调安全
2.5在第三方协议中强调安全
信息安全角色和职责
1、信息安全职责的分配与信息安全策略相一致
2、资产或信息安全过程的实体职责
3、供应商关系信息安全方便的协调和监督措施
职责分离
1、相冲突的责任和职责分离
开发和运维、运维和审计
2、如果难以分离,宜考虑其他控制措施
加强审计、强化监督
与特定利益集团的联系
1、宜包吃与特定利益集团、其它安全论坛和专业协会的适当联系
2】宜考虑为特定利益集团和论坛的成员
项目管理中的信息安全
1、无论项目是什么类型,在项目中都宜处理信息安全问题
信息安全目标纳入项目安全
移动设备策略
1、宜采用策略和支持性安全措施来管理由于使用移动设备带来的风险
移动设备的注册
物理保护的要求
软件安装的限制
移动设备软件版本和补丁的应用要求
密码技术
恶意软件防范
是否允许使用私人移动设备
2、远程工作
宜实施策略和支持性措施来保护在远程工作场地的访问、处理或存储的信息
远程工作场地的物理和环境安全
通信安全
访问控制措施、如身份认证
信息存储的安全
远程工作的审计
如何建设信息安全组织
1、信息安全组织是建立在风险评估基础上的。
只有经过风险评估,才能指导企业的信息安全情况
2、信息安全组织要根据企业实际情况和企业文化等进行综合考虑。
信息安全组织要因地制宜,不能复制和照办,
本文出自 “无双城” 博客,谢绝转载!
原文地址:http://929044991.blog.51cto.com/1758347/1757559
