Alyne 支持贵组织设计和维护符合信息安全和网络安全管理通用标准的信息安全管理系统 (ISMS)。
导言
设计和维护符合信息安全和网络安全管理通用标准(如 ISO / IEC 27001:2013、NIST 网络安全或 SOC2 框架)的信息安全管理系统 (ISMS),是几乎所有需要保护公司和客户信息的组织的共同任务。在 Alyne,我们通过软件即服务 (SaaS) 定期为客户提供支持,并观察到一些常见的挑战,同时也分析了一些成功因素:
共同的挑战
- 目标定位 100%
ISMS 并不意味着我需要在一开始就使每项控制达到 100% 的成熟度。它只意味着我需要有一个适当的管理流程来管理 ISMS 的全部范围。这通常意味着要积极管理信息和网络风险,并确定适当的行动或风险接受度。 - 执着于技术措施
信息安全管理往往被过分简化为单个的技术措施,因为这些措施很容易理解。ISMS 告诉我们的是,通过参与式管理将技术措施和组织措施结合起来,才能真正增强安全态势。 - 打勾
将 ISMS 简化为 "打勾 "最终会失败。试图将这一任务从管理层外包给组织的其他部门也同样会失败。管理系统不是白叫的。作为管理层,要么参与进来,要么就不要开始。
成功因素
- 有机整合
将 ISMS 作为与相关利益者互动的常规议程的一部分,而不是安排新的经常性会议。这样就能最大限度地减少干扰,并利用现有的联络点正式确定 ISMS 的成果。 - 利用框架协同效应
不要孤立地对待 ISMS。从流程、人员和技术的角度来看,ISMS 与数据隐私、运营风险管理、业连管、审计等其他相关主题有很大的重叠。如果能在更广泛的背景下解决 ISMS 能力问题,就能更好地利用所投入的时间和预算。 - 在冲刺阶段解决
在日历上划出一些时间,在几天内一次性完成实施或审查 ISMS 的大部分工作。这样就能最大限度地减少在这一主题上花费的总体时间。如果这些活动拖得太久,很快就会失去动力。
如需了解更多信息,并访问 Alyne 符合 ISO 27001 标准的专用 ISMS 资源,请单击 此处。
