大多数钢铁企业的信息安全管理仍然存在很多问题,需要认真面对。
分析总结
五、 效果分析
三零卫士通过在不同钢铁企业实施ISMS,总结出钢铁企业实施ISMS可获得以下收益:
由于构建了大量的流程文档,为钢铁企业在开展各项与安全相关的活动中提供了明确的目标和操作指引;
进一步明确分工,使安全风险和责任意识从传统的IT 部门扩展到钢铁企业每个员工,提高了安全管理的整体效率;
培养一批熟悉国际标准和信息安全管理的专业人才,将信息安全管理工作贯穿到日常工作中,有效保护了产销系统的重要信息资产;
钢铁企业的IT部门能够有效控制成本,提高信息安全水平和用户的满意度;
通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程,使钢铁企业安全管理从“静态、被动、散乱”的管理向“动态、主动、系统”的管理转变;
通过把ISO27001 的要求引入业务流程,使现有的业务运作更加符合安全规范,减少了流程和操作过程带来的安全风险;
实施ISMS为今后通过ISO27001认证做好了铺垫,钢铁企业通过国际安全风险管理认证,有助于提高客户的信任度,从而巩固在钢铁行业领域的专业形象和市场号召力。
六、 经验总结
根据三零卫士在不同钢铁企业建立ISMS的实施经验,现将在钢铁企业建立ISMS的经验总结如下:
钢铁企业信息安全管理体系的建立,让钢铁企业拥有了可持续改进的信息安全管理架构、方法和机制,显著改善了钢铁企业的信息安全风险主动防御能力。在项目实施过程中我们总结了以下经验:
不同钢铁企业的信息化历史不同、特点不同,因此其建设ISMS的要求也有区别。应该根据钢铁企业的具体情况明确ISMS的实施重点并予以落实。充分结合现有管理体系可以使得ISMS的运行更为切实有效。
随着产销一体化地完成和钢铁行业内竞争的不断发展,钢铁企业的交货期在逐渐缩短,这对信息系统功能提出了很高的要求,找出钢铁企业信息系统全生命周期中信息安全管理的薄弱特点并加以完善对于保障钢铁企业信息安全有重要意义。
以钢铁企业信息系统的主要维护部门作为立足点,以面向整个钢铁企业范围为最终目标建立体系,可以为后期阶段的项目实施确定方向,也为信息安全管理体系(ISMS)的建设奠定良好基础。
钢铁企业在建立ISMS过程中要考虑信息安全组织机构的建立和调整、信息安全岗位角色的建立或转换、以及信息安全相关业务流程的改善优化;安全策略、目标的设置应符合业务目标;完善而平衡的测量体系将有助于ISMS的持续改进;由于ISMS的实施可能会涉及到组织结构和人员职责的变动,实施过程中要能够获得高管的支持与承诺、尽量保持原有钢铁企业文化、立足现在的组织分工与人员结构进行部署,并深化教育,避免由于强制推行ISMS引起实施阻力;风险是永远存在的,重点是钢铁企业是否有经过详尽的风险分析与评估,在明确风险后找到并采取对钢铁企业自身合适的技术手段、管理手段以控制风险让钢铁企业能承受。钢铁企业面对的风险环境会变化。
ISMS的建立和完善本身是一整套管理制度的实施、多个流程的运作,并结合技术手段进行配合的过程。因此信息安全的控制目标、手段需持续改进。ISMS的建立是确保信息系统安全的起点,因此,钢铁企业ISMS的建立和实施是一个循序渐进的过程,不可能一蹴而就。
网友评论