用信息系统驱动IS建设
作者简介:吕康,谷安天下产品顾问,具备丰富的IT风险管理及流程的专业知识,拥有丰富的IS项目实施经验,在项目中协助客户进行风险评估,并根据风险评估的结果结合客户企业文化进行风险处理,建立符合ISO 27001标准的信息安全管理体系(IS),并且与客户当前的管理体系(包括:ISO 9001、 ISO2000以及CMMI)进行整合,使之符合客户的不断变化的业务需求和业务环境,从而保持持续经营,有效达成客户期望。
同时具备丰富的IT风险管理软件设计与部署、实施等方面经验。
文章正文:
随着社会信息化的不断发展,信息本身蕴含了巨大的价值,成为财富的主要来源之一,因此信息安全建设得到了越来越多组织和企业的关注和重视,建立信息安全管理体系(IS)被认为是有效的方式,以管理组织内部与信息安全相关的风险。
信息安全管理体系在一个企业当中,是整个管理体系的一部分,正如质量管理体系、财务管理体系或环境管理体系一样,是推动和企业业务发展的重要因素。而且IS的概念已经跳出了传统的“为了信息安全而信息安全”的理解,强调基于业务风险方法来组织信息安全活动,其本身只是整个管理体系的一部分,因此,是站在全局的观点来看待信息安全问题。
通常企业在建设IS时,可以根据自身需要,引入IS标准,来指导其IS建设,如国际标准ISO27001。但是在体系建设的前,企业需要做好各种准备和策划工作,包括教育培训、制定计划、现状调研,以及人力和资源方面的调配;企业还需要根据自己的实际情况,确定IS的实施范围,可以在整个组织范围内、也可以在个别部门或区域内实施。接下来,企业可以自行实施,也可以请外部咨询顾问,来协助企业进行整个体系建设的过程,从现状调研、资产收集和分析、风险评估,到建立信息安全管理的框架,从整体和全局的视角,从信息系统的所有层面进行整体安全建设,并将其文档化,保持文件化的信息安全管理体系,作为组织实施风险控制、评价和改进信息安全管理体系、实现持续改进必不可少的依据。信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。在此期间,组织通过加强运作力度,充分发挥体系本身的各项功能,及时发现体系策划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。最后通过内审,组织进行自我检查,通过外审获得资质认证。
在以往国内实施IS建设的组织当中,大多是按照这样的过程来做的。IS建设的实施人员,除了要具备必要的知识技能和管理意识外,还要面临大量具体、繁琐而枯燥的工作,例如对信息资产的收集和维护过程,以及对其进行风险评估时的大量文案工作;当IS体系建立起来以后,对体系的维护过程也和企业管理中遇到的其他问题一样:流程的运转、信息的管理、知识的沉淀。不过目前大多数公司对IS的建设和维护过程,都还停留在离散的管理方式中,只是用“管理流程”“管理规定”来约束整个过程,却没有完整可靠的信息系统工具对整个过程进行指导和约束。
现代企业管理中ERP已经得到广泛认可和应用,生产制造、质量监控、财务管理、商务管理、人力资源管理、客户关系管理、电子商务等等,已经可以整合在一套基于网络的、开发平台统一的、灵活配置业务流程的信息系统当中,而信息安全管理体系建设与维护,将成为企业信息管理系统的新需求。
那么,将信息安全管理体系建设和维护过程固化到信息系统中是否可行呢?从体系的实施过程来说,国内已经有不少企业和组织都建立了信息安全管理体系,虽然从单个企业或组织来说其过程未必具有代表性,但咨询公司在协助各种不同行业类型的企业和组织建立IS时,积累了很多经验,可以将风险管理与控制体系建设方法及过程在软件系统中固化下来,并建立与各种信息安全风险控制相关,与法规制度、标准指南相对应的信息安全风险控制的知识库。这样,就可以规范信息安全风险管理与控制体系的建设过程,提升组织信息安全风险管理与控制体系的完备性和有效性。从技术角度讲,企业需要的信息系统应该符合以下标准:基于浏览器/服务器的体系结构,支持标准网络通信协议,支持标准的数据库访问,支持XML的异构系统互联;应用系统独立于硬件平台、操作系统和数据库;实现系统的开放性、集成性、可扩展性、互操作性。这些技术需求在现在已发展的非常成熟。结合软件的业务需求和技术需求来看,对信息安全风险进行管理的软件系统是完全可以实现的,对于需要建设信息安全管理体系的企业和组织,以及咨询公司来说,这样的系统是非常有价值的。
不过在国内市场上,具有这样功能的软件产品并不多。北京谷安天下科技有限公司的IT风险管理系统(ITRM)正是符合以上需求的一款软件。谷安天下经过多年的相关领域咨询经验,形成了完善的IT风险控制体系建设方法论,并整合当前纷繁复杂的IT 风险控制相关法规制度标准指南及实践要求,形成了一个涵盖COSO、Cobit、BS7799/ISO27000、ITIL、等级保护等各类IT 风险控制准则的控制目标或措施要求知识库。通过结合谷安天下的IT 风险控制体系建设流程及知识库,信息安全风险评估管理系统能满足各级组织的IT 风险控制体系建设需求。从技术实现角度看,信息安全风险评估管理系统系统采用B/S 架构,以通用浏览器作为客户端,采用J2EE 构建系统服务端。整个系统应用逻辑上分为三层,分别是服务层、业务层、表示层。服务层向业务层提供Web 及数据库服务,由Web 中间件及数据库系统完成;业务层完成体系建设辅导、知识库维护等业务功能,采用J2EE 技术实现;表示层向客户展示业务层返回信息,通过浏览器实现。对于用户来说,这样的系统未尝不是一种新的解决方案。
文中图片素材来源网络,如有侵权请联系删除网上报名
新闻资讯
更多>>-
数字经济时代下的内部审计转型
2017-06-05
-
同方威视技术股份有限公司商业秘密和敏感信息保护咨询项目
2017-06-05
-
网络安全
2017-06-05
-
为中国电信IT审计体系建设咨询提供服务
2017-06-05
-
为甘肃银行股份有限公司提供信息科技全面审计服务
2017-06-05