建立科学、合理、易于落地的管理体系应采用科学的方法,即按照要求采用过程方法,通过过程的控制来为结果提供一种可持续的保证。但是湖北ISO质量环境信息安全认证要具备的条件是什么呢?
要针对评估中发现的问题,与较佳实践相比较所存在的差距,应覆盖人员和组织、制度和流程、技术手段等所有要素,覆盖信息系统的整个生命周期,覆盖管理的整个过程。
系统化:管理体系应符合PDCA(规划、实施、检查、改进)思想,要有测量、反馈机制,能够进行内部监督、审计,形成正向的内部激励机制,不断进行改进和完善。
流程化:制度是有益的,但还要贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不需要关注过多的制度,只需按照流程工作即可,减轻了人员负担。
规范化:对于具体工作,要给出明确的工作指导和表单,规范人员的操作行为。
安全管理不是一个独立的体系,应与现运维管理、内部控制等现有制度和流程相结合,借鉴Cobit、ITIL、CMMI、PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。
当然,每个公司都具有一定的个体特性,如文化、人员、组织和信息系统环境等等。在构建时,应采用中医的方法,严格诊断,对症下药,建立起符合自己特点管理体系。
有效利用各种技术手段这主要体现在两个方面,一是采用技术手段,推动安全管理的电子化、自动化,提升管理效率;二是采用技术手段,保障管理流程、管理目标的有效强制落实和实现。
