各行業(yè)許多企業(yè)都根據(jù)業(yè)務(wù)所需選擇不同的國(guó)際,、國(guó)內(nèi)標(biāo)準(zhǔn)搭建了信息安全管理體系（ISMS），無論是基于國(guó)際信息安全標(biāo)準(zhǔn)ISO27000,，還是基于國(guó)家標(biāo)準(zhǔn)國(guó)家等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則的要求,，信息安全管理體系的建立并不是一蹴而就的,。數(shù)據(jù)安全專家卓越同舟提醒，需要真正的將信息安全管理體系落到實(shí)處,，而不僅僅停留在一年一到兩次的風(fēng)險(xiǎn)評(píng)估,、突擊性的控制措施實(shí)施和一套看似完備的信息安全管理制度，這可能是許多信息安全管理體系管理者經(jīng)常思考且關(guān)注的話題,。本文中敏捷科技就帶大家簡(jiǎn)單了解一下,。

　　通知公告

　　通過信息安全相關(guān)公告通知發(fā)放的方式，在企業(yè)中滲透信息安全各方面的信息和知識(shí),，逐漸形成信息安全無處不在的工作氛圍,，提升全員信息安全意識(shí)。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布,；企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布,；近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定,，通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺(tái),、電子郵件、電子期刊等形式均可,。

　　帳號(hào)管理

　　建議企業(yè)對(duì)各類帳號(hào)進(jìn)行嚴(yán)格管理,，包括基本帳號(hào)（員工入職后默認(rèn)都需開通的帳號(hào)，例如郵箱帳號(hào),，OA帳號(hào),，所在部門的公共文件夾等）、工作所需的各類應(yīng)用系統(tǒng)帳號(hào)（通常根據(jù)崗位職責(zé)所需開通的帳號(hào)）,、特殊權(quán)限的帳號(hào)（例如應(yīng)用系統(tǒng)管理員的帳號(hào),，數(shù)據(jù)庫(kù)管理員的帳號(hào)，域管理員的帳號(hào)等）,，VPN等特殊應(yīng)用的帳號(hào),。從管理角度，不同類別的帳號(hào)申請(qǐng)需要不同級(jí)別的管理人員授權(quán),，一方面企業(yè)需清晰識(shí)別各類賬號(hào)并定義申請(qǐng)流程和授權(quán)方式,；同時(shí)也需要保留必要的申請(qǐng)記錄以便查證，及測(cè)量體系實(shí)施的有效性,。從使用角度,，需要加強(qiáng)對(duì)員工的培訓(xùn)并制定必要的規(guī)范（例如不允許帳號(hào)共享，密碼定期修改等策略）,，以確保帳號(hào)不被濫用誤用,，從而降低信息安全事件的發(fā)生。

　　人員安全

　　員工作為企業(yè)信息使用和傳遞的重要載體，員工變動(dòng)可能會(huì)給企業(yè)的信息安全帶來很大影響,。在員工發(fā)生變動(dòng),，即員工入職、轉(zhuǎn)崗和離職幾個(gè)關(guān)鍵點(diǎn)進(jìn)行控制,，可大大降低其對(duì)企業(yè)信息安全的影響,。因此在入職前，許多企業(yè)會(huì)對(duì)關(guān)鍵崗位的員工進(jìn)行背景調(diào)查并形成記錄,，簽訂保密協(xié)議等,；發(fā)生內(nèi)部職責(zé)變動(dòng)時(shí)，要求員工填寫工作交接單,，刪除其原有崗位賬號(hào)等措,；離職時(shí)，要求員工填寫離職交接單,，清理數(shù)據(jù),，歸還物品。同樣,，在這些關(guān)鍵點(diǎn),，企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。

　　設(shè)備安全

　　通常企業(yè)在資產(chǎn)管理方面相對(duì)完善,，但對(duì)設(shè)備自身的信息安全管理相對(duì)弱很多,，IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù)，在維護(hù)過程中無論是對(duì)設(shè)備自身進(jìn)行的更換,、更新,，還是對(duì)其承造的系統(tǒng)、應(yīng)用和數(shù)據(jù)進(jìn)行的配置調(diào)整,、結(jié)構(gòu)調(diào)整等變更均有可能對(duì)其中的信息數(shù)據(jù)造成不利影響,，甚至有可能導(dǎo)致應(yīng)用不能使用影響到企業(yè)的正常業(yè)務(wù)操作。因?yàn)閷?duì)IT設(shè)備變更進(jìn)行控制是至關(guān)重要的,，在實(shí)施變更前,，須根據(jù)變更的緊急程度和可能帶來的影響程度進(jìn)行變更分類和風(fēng)險(xiǎn)評(píng)估，制定詳細(xì)的變更計(jì)劃并得到相應(yīng)級(jí)別的授權(quán),；變更實(shí)施后須對(duì)變更結(jié)果進(jìn)行記錄且進(jìn)行回顧,，以確保變更實(shí)施的成功和經(jīng)驗(yàn)總結(jié)，具體實(shí)施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國(guó)際標(biāo)準(zhǔn),。

　　軟件安全

　　自主研發(fā)軟件的專利及外購(gòu)軟件的許可證管理均已成為企業(yè)不得不重視的問題,，一旦疏忽就有可能給企業(yè)帶來很大的經(jīng)濟(jì)和名譽(yù)損失。通過信息安全管理體系的建設(shè),，許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專門部門管理,，使用須進(jìn)行登記,，采購(gòu)須申請(qǐng)，到期須提醒,。人員變動(dòng)、業(yè)務(wù)變動(dòng)都有可能導(dǎo)致軟件的變更,，因此對(duì)軟件許可證的管理并不是采購(gòu)后進(jìn)行登記一勞永逸的事情,，在日常工作中需要保證一旦發(fā)生變化即更新許可證信息，且提前做好許可證過期的準(zhǔn)備工作,。

　　數(shù)據(jù)安全

　　數(shù)據(jù)對(duì)于企業(yè)是至關(guān)重要的,，對(duì)其進(jìn)行的安全管理措施更需加大力度。對(duì)存儲(chǔ)數(shù)據(jù)的移動(dòng)介質(zhì)要做到登記并限制使用人群,；對(duì)于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行,；同時(shí)數(shù)據(jù)備份須落實(shí)到位，從業(yè)務(wù)角度識(shí)別數(shù)據(jù)備份需求,，清晰定義數(shù)據(jù)備份策略（包括備份方式頻率等）,；數(shù)據(jù)備份需要進(jìn)行記錄，并定期進(jìn)行恢復(fù)性測(cè)試保留記錄,，從而降低數(shù)據(jù)損失的風(fēng)險(xiǎn),。

　　說到此，不得不提一下專做數(shù)據(jù)安全的一家企業(yè),，就是敏捷科技,，其自主研發(fā)的一系列數(shù)據(jù)安全產(chǎn)品：安全衛(wèi)士Agile DG、文件外發(fā)管理系統(tǒng)Agile FD,、數(shù)據(jù)主動(dòng)備份系統(tǒng)Agile BAK,、打印安全管理系統(tǒng)Agile PSM、桌面安全管理系統(tǒng)Agile DSM等,，可為企業(yè)提供全方位,、全內(nèi)容、全過程的數(shù)據(jù)安全解決方案,，讓企業(yè)的數(shù)據(jù)真正安全無憂,！

　　物理安全

　　大多數(shù)企業(yè)都設(shè)立了門衛(wèi)、保安,、前臺(tái)等崗位,，通過信息安全管理體系的建立，也采用了訪客登記,，應(yīng)用門禁系統(tǒng)等措施,，對(duì)于敏感區(qū)域（例如財(cái)務(wù)、機(jī)房,、研發(fā)中心等）進(jìn)行了隔離或更高權(quán)限的物理訪問控制,。但訪客登記進(jìn)入后是否可以到處參觀,，是否有專人陪同并登記，進(jìn)入和離開的時(shí)間是否進(jìn)行了記錄,，必要時(shí)是否提交參觀申請(qǐng)得到授權(quán),；員工門禁卡和鑰匙的領(lǐng)取是否進(jìn)行了登記，敏感區(qū)的訪問是否提交了申請(qǐng)等這些方面均是物理安全的以保障的控制點(diǎn),。

　　安全檢查

　　安全檢查與年度或半年度的內(nèi)審并不同,，審核通常會(huì)基于行業(yè)要求、標(biāo)準(zhǔn)規(guī)定和內(nèi)部規(guī)范進(jìn)行能夠檢查,，安全檢查目的是排查各方面的安全隱患,，降低安全事件發(fā)生的風(fēng)險(xiǎn)，可以是隨機(jī),，也可是定期的,。每次檢查結(jié)果可保存，可作為日后改進(jìn)和信息安全管理體系（ISMS）有效性測(cè)量的依據(jù),。

　　安全事件

　　信息安全事件一旦發(fā)生,，就須快速響應(yīng)妥善處理，否則可能會(huì)給企業(yè)帶來更大損失,。首先,，企業(yè)須清晰定義什么是信息安全事件，使大家對(duì)信息安全事件形成相同的認(rèn)識(shí),；第二,，可根據(jù)信息安全事件的嚴(yán)重程度進(jìn)行分級(jí)，定義不同級(jí)別的事件匯報(bào)途徑,、升級(jí)時(shí)間和處理要求,；且在整個(gè)公司公布相關(guān)要求，做到發(fā)生安全事件即報(bào)告記錄并快速響應(yīng)處理,。對(duì)于安全事件的管理可參照ITIL或ISO20000 IT服務(wù)管理的最佳實(shí)踐和國(guó)際標(biāo)準(zhǔn)的事件管理章節(jié),。

　　安全培訓(xùn)

　　安全培訓(xùn)也是一項(xiàng)應(yīng)持續(xù)的長(zhǎng)期活動(dòng)，安全培訓(xùn)可針對(duì)不同對(duì)象分成不同的培訓(xùn),，可以定期組織面向管理層的信息安全標(biāo)準(zhǔn),、法律法規(guī)解讀的管理培訓(xùn)；面向全員的信息安全意識(shí)普及性培訓(xùn),；針對(duì)IT相關(guān)技術(shù)人員的信息安全技術(shù)知識(shí)的專業(yè)培訓(xùn),；面向信息安全運(yùn)維和管理人員提供的信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)（CISSP、CISP,、ISO27001主任審核員等）,。建議企業(yè)對(duì)培訓(xùn)過程、結(jié)果進(jìn)行記錄,，可作為信息安全體系建設(shè)的記錄和有效性測(cè)量的依據(jù),。

　　由此可看出,，信息安全管理體系的落地貌似簡(jiǎn)單，但并非易事,，貴在堅(jiān)持,，以上工作均需長(zhǎng)期執(zhí)行，才可起到效果,，逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個(gè)角落中形成安全的工作環(huán)境,。