信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。

它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

虽谈不上”一个人的安全部门”,但是“唯一”的安全管理岗在信息安全管理体系所承担的职责完全不亚于那些孤军奋战的“一个人的安全部门”,纵然知道前路漫漫遍地荆棘,也要摸爬滚打着前进,颇有“天将降大任于斯人也……”的既视感,给那些奋战前线的安全管理先驱者致以最崇高的敬意。

公司只有在达到一定的规模后,才会存在“安全管理岗”这个坑位。

很多小型公司普遍还是“一个人的安全部门”,附属于运维部门底下,一个人身兼安全运维、安全管理、应用安全(代码审计、渗透测试)、安全开发,甚至还需要去承担部分运维的职责。

对于规模稍微大一点,对信息安全比较重视的、较有前瞻性的企业,亦或是合规性要求比较严格的企业,方才会设定专门的安全管理岗,甚至是成立独立的安全部门。

本人就自己的专业范畴,工作职责浅谈安全管理岗。

常说“三分靠技术,七分靠管理”,不去深究技术与管理具体的比例是否准确,但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理,安全管理的作用无可厚非。

作为承担安全管理责任的安全管理岗,核心工作是建立、实施、保持和持续改进信息安全管理体系。

通过合理的组织体系、规章制度和管控措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。

最高管理者应该通过以下活动,对建立 、实施、运作、监视、评审、保持和改进ISMS的承诺提供证据:

a) 建立信息安全方针;

b) 确保信 息安全目标和计划得以制定;

c) 建立信息安全的角色和职责;

d) 向组织传达满足信息安全目标、 符合信息安全方针、履行法律责任和持续改进的重要性;

e) 提供充分的资源,以建立、实施、运作、监视、评审、 保持并改进ISMS;

f) 决定接受风险的准 则和风险的可接受等级;

g) 确保内部ISMS审核得以实施;

h) 实施ISMS管理评审。