请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 立即注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

查看: 1265|回复: 1

[ISO27001管理体系实践] 谈谈信息安全管理

[复制链接]
发表于 2011-7-5 08:55:00 | 显示全部楼层 |阅读模式
每个企业都有自己的信息安全要求,根据行业特点的不同,信息安全管理的需求则不同;如何选择自己的信息安全策略需要衡量多方面的因素,例如:企业的产品特点、面对的客户群、企业员工的素质水平、企业文化等;企业需要权衡这些因素决策。
????针对一般的研发型企业而言,由于做的是高技术附加值产品,其核心知识若被盗用,将给企业带来很大的麻烦,甚至与灭顶之灾。因此,研发型企业的信息安全是非常重要的,这点我们都可以理解。然而,严密的信息安全策略带来好处的同时也会有负面的问题,例如:员工的行为受到很大制约,员工的工作积极性和创造力会受到影响;企业的知识传播、可持续发展将受到影响;员工的不安全感很强,与企业之间的信任度降低;研发生产效率降低等等;这些问题是企业面对的直接困难,需要权衡哪些信息需要严格保密,哪些信息可以在一定范围内公开,这里就有一个度的问题;
????举个例子,多半企业为了提高生产效率、降低工作期间的非工作行为,会对员工的上网行为进行监控;这里不得不提的是,员工的隐私和行为也会因此有一定的曝光;尤其是监控聊天内容、邮件内容等;这种情况被员工获知后会带来相当大的负面作用,员工的反感度会很大的提升,因而带来的离职率、消极怠工等情况会屡屡发生。对上网监控,我们在一定范围内是支持的,企业的终极目标是产生效益,需要知道员工是否在为企业创造价值;但是,我们需要注意方法和手段,可以监控网络流量、可以监控上网IP,知道员工是否在工作,但是不能监控交流的信息,给员工一定的空间和安全感,毕竟这是人的基本需求--被尊重的需求;
????说道这里,不得不说企业管理者和员工之间的矛盾是无时不刻存在着;企业经营需要尽可能创造利润,而员工也需要获取到更多,这其中的平衡是多少管理者都难以解决好,并深陷其中的。????
????这里,还有企业文化问题,企业的一项策略,尤其是涉及到员工利益的,都需要在实施中对员工进行很好的宣贯和疏导,至少保证大部分的员工了解和理解实施这项政策的原因,这样才能保证实施中不会有大的问题;信息安全策略也一样,需要有这样一个公开的沟通过程;
????信息安全现在是很难做到全方位监控,若要做到,企业投入的人力物力成本是相当大,需要考虑很多环节:电脑的一些接口:USB、蓝牙、红外、数据卡等,网络数据传输(邮件、MSN、QQ、web上传等),设备携带出去等;多种信息可传输的通道,导致了信息安全工作的复杂性;
????因此,信息安全工作需要重点保护公司的核心资产,例如公司的客户资料、源代码、产品设计资料等信息,这些是公司存身立命之根本。而对这些方面的保护就可以通过一系列措施,而不是全面撒网,包括信息安全工具的使用,关键岗位人员的管理,规章制度的落实等来进行保障。




上一篇:标题: [原创] IT服务管理体系与信息安全管理体系的整合方法
下一篇:ISO/IEC 24762:2008 信息与通讯技术灾难恢复服务指南 (中文版)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

参加 ITIL 4 基础和专家认证、长河ITIL实战沙盘、DevOps基础级认证、ITSS服务经理认证报名

QQ|ITIL先锋论坛 ( 粤ICP备11099876号 )|appname

Baidu

GMT+8, 2022-6-28 10:22 , Processed in 0.093669 second(s), 29 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表