大家来谈谈自己所在的企业信息安全管理所遇到的挑战吧

erylily

RT

自己先说说吧,目前我所在的公司最大的问题就是员工的安全意识,安全架构搭建的十分完善，来自内部的风险却时而隐现.高层对便利性的需求时常打破安全的制度和流程,又束手无策.
我们准备对公司的高层和普通员工开展意识培训,IT人员的安全意识倒是还不错,呵呵.
各位不知道有什么经验没?

ayazero

ISMS成功实施的Critical Success Factors

关键成功因素：
a) 信息安全策略、目标和行为应与业务目标保持一致；
b) 信息安全实施、维护、监控、改进的方法应该符合组织的文化；
c) 来自所有管理层可见的支持和承诺；
d) 对信息安全需求、风险评估、风险管理应有很好的理解；
e) 应对所有经理、员工和第三方进行信息安全的有效宣传；
f) 对所有经理、员工和第三方发布信息安全策略和标准的指南；
g) 为信息安全活动提供资金；
h) 提供适当的教育和培训；
i) 建立有效的信息安全事件管理流程；
j) 建立一套用来评估信息安全管理的性能和有关改进安全管理的反馈建议的测量系统

ayazero

内控的局限性：

内部控制受制于成本效益原则
内部、内外的串通舞弊会使内部控制失效
内部控制受人员素质、信息传递的影响
权利游戏
经营环境变化

ayazero

根老板的沟通需要一些技巧

CEO也是有他自己的KPI的，戳其“痛”处

对“执行官”讲技术讲不通就讲故事

段誉

民企和国企，还是有很大差别的。大多数时候，国企的CEO根本听不到这些声音。

ayazero

原帖由 段誉 于 2007-2-9 17:56 发表
民企和国企，还是有很大差别的。大多数时候，国企的CEO根本听不到这些声音。

至少CTO/CIO要重视，当然这跟CSO本身的职业经理的人沟通技巧也有很大的关系，

如果不行，ISMS注定不会实施成功，还是赶快找猎头换公司吧，

erylily

原帖由 ayazero 于 2007-2-9 18:00 发表


至少CTO/CIO要重视，当然这跟CSO本身的职业经理的人沟通技巧也有很大的关系，

如果不行，ISMS注定不会实施成功，还是赶快找猎头换公司吧，

重视不代表接受哦,口头重视,但做起来是另外一回事,国企外企一个样,我们虽然是外企,但管理层基本都是香港人,也是中国人,所以做事也一样~
在企业里做不象咨询四大那样哦,用BU来划分组织的企业是很简单的,但是其他都不同的哦~关系十分复杂,不能想顾问一样可以抛开很多问题只谈事情.

ayazero

晕，口头重视那就是不重视喽~

首先IT公司的信息安全因为IT是最重要的承载媒介，所以管理层的重视程度与非IT企业比具有先天性优势

其次是IT在业务中所占的比重，IT变革带来的利润提升率，CIO只是技术主管还是参与战略的SVP/VP

至于为了开展业务CSO所承担的承上启下，以及部门间的沟通协作、审时度势，应该属于个人技巧的成分更多一点。比如ISMS的物理安全、核心资产保护等，有些属于行政的职能，往上追溯就涉及到公司的权利版图，不可避免的就会碰到公司政治，工作也将因此而终结……

fish007

原帖由 ayazero 于 2007-2-9 17:47 发表
ISMS成功实施的Critical Success Factors

关键成功因素：
a) 信息安全策略、目标和行为应与业务目标保持一致；
b) 信息安全实施、维护、监控、改进的方法应该符合组织的文化；
c) 来自所有管理层可见的支持 ...

最关键的还是要有风险出现后的应急措施.

ayazero

原帖由 fish007 于 2007-2-10 13:55 发表

最关键的还是要有风险出现后的应急措施.

Business Continuity Planning , Incident handling & recovery 是属于ISMS的正文的具体条款

并不是ISMS是否能在企业中成功实施的CSF