随着互联网的发展,信息安全管理是企业、公司的重要内容之一。做好企业自身的信息安全管理工作,提升企业综合实力,对于创造性、科技型公司来说,是要着重注意的内容。
什么是信息安全管理体系?
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
办理信息安全管理体系有那些注意事项?
程序文件要符合组织业务运作的实际,并具有可操作性;
可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性,必要时附相应的控制标准; 在正式编写程序文件之前,组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划,确保每个程序之间要有必要的衔接,避免相同的内容在不同的程序之间有较大的重复;另外,在能够实现安全控制的前提下,程序文件数量和每个程序的篇幅越少越好; 程序文件应得到本活动相关部门负责人同意和接受,必须经过审批,注明修订情况和有效期。
信息安全管理实例:某医院信息安全管理
一、计算机安全管理
1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。
2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。
3、计算机的软件安装和卸载工作必须由信息科技术人员进行。
4、计算机的使用必须由其合法授权者使用,未经授权不得使用。
5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。
6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。
7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
网络使用人员行为规范
1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。
2、不得在医院网络中进行国家相关法律法规所禁止的活动。
3、未经允许,不得擅自修改计算机中与网络有关的设置。
4、未经允许,不得私自添加、删除与医院网络有关的软件。
5、未经允许,不得进入医院网络或者使用医院网络资源。
6、未经允许,不得对医院网络功能进行删除、修改或者增加。
7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
8、不得故意制作、传播计算机病毒等破坏性程序。
9、不得进行其他危害医院网络安全及正常运行的活动。
二、网络硬件的管理
网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。
2、不得破坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。
3、未经允许,不得中断网络设备及设施的供电线路。因生产原因必须停电的,应提前通知网络管理人员。
4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员,在得到允许后方可实施。
四、软件及信息安全
1、计算机及外设所配软件及驱动程序交网络管理人员保管,以便统一维护和管理。
2、管理系统软件由网络管理人员按使用范围进行安装,其他任何人不得安装、复制、传播此类软件。
3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配,任何人不得擅自超越权限使用网络资源及网络信息。
4、网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。
5、任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。
小知识:《信息安全管理》2019年国防工业出版社
《信息安全管理》以构建信息安全管理体系为框架,全面介绍了信息安全管理的基本概念、信息安全管理体系以及信息安全管理的各项内容和任务。该书从信息安全管理的产生和基本内涵入手,内容涵盖了信息安全管理体系的建立与实施、信息安全风险管理、组织与人员管理、环境与实体安全管理、软件使用安全管理、应用系统开发安全管理、运行与操作安全管理、安全应急响应管理、灾难恢复、信息安全测评认证管理等,最后对信息安全等级保护和信息安全管理效能评估进行了系统的探讨。
《信息安全管理》可作为信息安全相关专业的本科生及研究生教材,或信息管理与信息系统专业及计算机相关专业的参考书,也可作为信息化管理人员、安全管理人员、网络与信息系统管理人员、IT咨询顾问与IT技术人员的参考手册和培训教材。
了解更多信息安全管理、信息技术服务管理、能源管理体系认证、碳中和认证内容
全国认证业务免费咨询,制定科学合理企业认证技术方案。专业提供信息安全管理、信息技术服务管理、能源管理体系认证、碳中和等服务的认证公司,免费咨询认证咨询邓经理。有着将近20年的行业历程,与多家上市公司保持良好合作关系。
