ISO27001(ISMS信息安全管理体系)的建构方法
第一点是要不断完善ISMS信息安全管理框架体系,一定要按照适当的程序进行相应的管理,不能忽略任何一个环节,每一组成部分都要依据自身的发展情况,建设有利于自身发展的各种业务平台,科学制定相关的信息管理制度,通过对日常业务的科学管理,组建好与数据信息相一致的管理框架系统,包括各类的文档信息、文件储存信息等,同时要仔细记录在管理过程中出现的各种安全信息事件,严格控制安全管理水平,建立相应的风险评价机制,提高信息安全管理体系的主动性。发生问题后及时采取高效的补救措施,以便将损失降到最低限度。
第二点是要对ISMS信息安全管理框架中的内容进行有效分析,将每一具体环节都落到实处。ISMS信息安全管理体系的落实效果必然会受到各种因素的影响,要综合全面地进行考虑。例如信息安全管理在实施的过程中产生的费用包括培训费、报告费等的支出就要协调好每一部门的工作。另外还有一些影响因素包括不同的管理部门之间在实际操作中的相互协调问题,不仅要不断提高管理的效率,同时也要加强各机构组织之间的联系,共同将管理工作落到实处。
第三点是要建立和完善ISMS信息安全管理的相关文档。信息安全管理所涉及的范围比较广,涉及的文档类型也比较多样,包括对信息安全管理所指定的政策、管理标准、适用范围、具体操作步骤等。文档内容的丰富性决定了其形式的多样性,所以在保存的时候尽量要按照其原来的形式,为了管理和读取的便利性,可以按照不同的等级进行分类,或者是可以按照类型来分类,这样在以后的信息安全工作管理中,文档就很容易被认证审核员等为代表的第三方访问和理解,达到了应用的目的。
第四点是要做好信息安全事件的及时记录,并将信息进行有效地回馈,便于建立有效的信息安全应对机制。信息安全事故的准确记录可以为组织进行相关安全政策定义、管理方式的选择、管理措施的落实等工作提供可靠的依据。所以在实际的管理中,信息安全事件的记录工作一定要做到清楚明了,清晰准确记录与之相关的管理人员在当时当地的具体行为活动,记录的材料要进行妥善保管。