企业信息安全治理实施路线

企业信息安全治理实施路线

考虑到企业信息安全治理的复杂程度和关联问题等,信息安全治理工作要分步走。采用标准先行,试点建设。完善体系和深化应用的阶段演进实施路线。标准先行阶段主要是通过对国际信息治理,信息安全管理、运维、风险、内控审计等相关的标准进行深入研究。结合企业业务发展对信息安全管理的需求进行梳理,形成企业信息安全治理管控标准。试点建设阶段将国际标准和最佳时间研究后形成的信息安全治理体系中的思路、方法、方案等成果通过试点单位的应用和反馈逐步向全企业推广。体系完善阶段通过建设的实践经验。对现有管控措施查漏补缺,通过规范制度,优化流程、落实责任、提升效率逐步形成信息安全治理体系。深化应用阶段实现流程间的有效集成和融合,利用平台工具进行流程固化,通过平台改进和专项系统建设提升治理工作效率。

1信息安全管理控制实施

对于企业信息安全管理控制的实施,主要从安全管控策略、安全审计、安全测评和安全内控4个方面进行。对于安全管控策略首先要梳理、制定信息安全策略体系并将安全策略体系电子化实现,通过定期评估和策略调整对体系进行完善。对于安全审计要设计审核列表、计划和方案,并定期实施安全审计,出具审计报告。对于安全测评要建立测评模型,确定提升目标,要识别企业的CSF/KGI/KPI等关键指标,定期实施安全管控测评。对于安全内控要制定内控目标、计划和方案,统一内控流程和内控文档,定期开展内控流程;最终要将安全审计、测评和内控的整改活动纳人到安全管控的流程管理中,并将安全管控的指标、数据进行智能分析和可视化展现。

2信息安全运行控制实施

对于企业信息安全运行控制的实施,主要从运行监控、流程管理、运行职责管理和运行质量管理4个方面进行。运行监控要结合企业业务数据的特点进行监控指标的设计,监控平台和流程报表的建立。在流程管理中,企业要梳理现有的安全流程进行差距分析,并开展统一的运行流程设计。在运行职责管理中,重点要完成运行职责的设计,并将运行安全流程执行和推广,将流程平台化和固化。在运行质量管理,企业要建立安全检测系统和质量管理系统,将运行质量管理固化。

3信息安全合规管理实施

信息安全合规管理是企业健康发展的关键,企业首先要对国家法律、法规,行业规范,企业内部制度、手册进行收集、梳理和分析,建立企业的合规知识库,并要不断进行维护。

4信息安全风险控制实施

企业对于信息安全风险的实施要首先对企业进行风险管理差距分析,建立风险管理标准,并有针对性的进行风险评估方案设计,风险处置方案设计和风险管理制度设计。要定期开展风险评估、风险处置和风险控制活动,并强整改活动纳人统一的流程管理。

企业信息安全治理是一个长期的系统工程,实施路线要适应企业战略和发展需要,确保信息安全相关管理措施和技术手段适应企业的目标和文化,并与之协调一致。要准确把握当前和未来一定时期内信息系统所面临的威胁和风险,用适当的投人有效管控所有的威胁和风险。企业信息安全治理以企业运行流程为依托,结合信息安全管控点,将管控流程与组织机构相对应。确保企业信息安全知识库、架构、平台和工具有效使用,测量、监控和审计管控手段和流程,确保安全管控的目标完成和实现。最终通过适当安全投人,有效的安全项目的实施和交付,确保企业业务发展的目标实现。