保障信息安全组织内部安全管理的措施有哪些
保障信息安全组织内部安全管理的措施有以下这些:
信息安全的管理承诺:管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的信息安全。此项措施的主要内容包括:明确管理者应该履行的信息安全相关管理职责;提供信息安全所需资源;批准内部信息安全角色及职责划分;根据内、外部专家提出的信息安全建议,评审和协调专家建议结果。
信息安全协调:信息安全活动应由来自不同部门并具备相关角色和工作职责的人员进行协调。此项措施的常规控制包括成立或指定适当的管理机构或管理人员专门负责信息安全协调,以实现相关人员与信息安全专业之间的协调和协作。这些活动应该确保安全活动的实施与信息安全方针相一致;核准信息安全方法和过程;识别重大风险;评估措施实施的充分性和协调性。
信息安全职责的分配:所有的信息安全职责应予以清晰的定义。此项措施的内容包括定义资产的保护职责;定义角色,将已定义的信息安全职责分配给各个角色,再明确每名员工的角色,即明确了每名员工的信息安全职责;将每个岗位的信息安全职责编制成岗位职责说明书,打印后由人力资源负责人、员工主管领导及员工本人签字确认。
信息处理设施的授权过程:为新信息处理设施的使用定义一个管理授权过程并实施。此项措施具体包括建立申请、审批、授权的有效管理过程,用以批准新信息处理设施的用途和使用,有效禁止未经授权使用信息处理设施的行为。
保密性协议:应识别并定期评审反映组织信息保护需求的保密协议。组织应与员工、合作机构及人员签署合法的保密协议,保密协议中应明确保密信息的范围、协议持续的时间、商业秘密和知识产权的所有权、对保密信息相关活动进行审核和监视的权利等内容。
与政府部门的联系:保持与政府相关部门的适当联系,以便及时得到官方信息并及时调整信息安全策略,避免组织成为信息孤岛。组织应制定应急响应计划、事件管理等规程文件,指明什么时候应当与哪个部门联系,找到这些部门的具体联系方式并验证有效后写进相应文件。这些部门通常包括执法部门、消防部门、监管部门、电力供应部门和电信运营商等。
与特定利益集团的联系:保持与特定利益集团、其他安全专家组织和专业协会的适当联系,以保障信息安全过程所需的技术支持和更新。组织可以成为特定利益集团或安全专家组织的成员,以便增进对最佳实践和最新相关安全信息的了解,在需要时向其寻求建议和帮助。
信息安全的独立评审:组织管理信息安全的方法及其实施应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。组织应制定相应的规程,规定独立评审的周期和方式。周期通常为三个月或六个月,最长不超过一年。常见方式有内部审核、第三方审核和管理评审。独立评审结果应以书面形式保存,并报告评审管理者。