我们常说,人无头不走,鸟无头不飞;火车跑得快不快,就看车头怎么带;这些都跟我们强调了目标方针的重要性。
信息安全管理体系自然也不会例外,非常重要的第一件事,就是制定我们自己公司或组织的管理方针。
目标/方针不容小视,如果做的不好,他很可能就成为了个空口号;但是,如果我们做得好,它就为成为公司/组织前进方向的指南,是管理理念的灵魂,是我们自己品牌价值的核心。
针对不同的业务目标或者说不同的管理理念,我们的方针政策也是不同的。
例如:安全与效率结合,保证服务质量。
这个就可以看出来,公司要在保障安全的同时,注重业务效率。这种管理策略一般被用于快速发展的公司。这样子,在制定其他信息安全管理策略的时候,安全员/顾问们就要考虑安全与效率的平衡,尽量减少由于安全管控导致的不便利。而且,很可能,这种公司没有单独的安全管理部门,安全员属于运维组的一部分,权利相对较弱,即使你想制定严格的管理措施,也很难被其他同级的同事们落地执行的。
例如:信息安全、任重道远;全员参与、人人有责。
这个就可以看出来,公司刚刚开始制定信息安全管理体系,或者公司刚刚发生了重大的信息安全事件,开始重视保障信息安全。很有可能,公司新引入了一位首席安全官,可能是是C开头的。为了帮助其落实信息安全管理体系,公司高层领导需要全体员工能够人人配合新任首席安全官的工作。
对于这种情况,顾问在制定信息安全策略的时候,就可以着重考虑其过去发生的信息安全事件,然后制定相对严格控制策略。但是,在项目进行过程中,应时刻关注员工们的反应,毕竟新任安全官初来乍到,一定要考虑到业务部门及其他部门员工潜在的抗拒情绪。
当安全方针被写入信息安全管理手册中,它就是一个一级文件,属于纲领性的文件。它记载了公司信息安全管理的方针、政策、范围以及控制内容。
ISO27001控制域A5.1.1.1写的是:信息安全方针应被建立、由管理层批准、发布并传达给所有员工和外部相关方。这块其实就是说,方针制定后要进行宣传和宣贯,可以使用培训的方式,也是使用海报/易拉宝等张贴的方式。
A5.1.1.1写的是:信息安全方针,宜按计划的时间间隔或当重大变化时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。这一条的目的在于:随着公司业务或者市场环境的变化,公司对于信息安全管理的策略应该随之而调整变化。每年应重新评审自己的安全方针,这个可以在每年的管理评审会议上进行。具体过程就是:如果公司今年的业务/市场地区、环境等发生了重大变化,应考虑重新制定安全方针。否则,一般就是维持不变。