企業(yè)信息安全管理體系的建立和實施可以有效提高企業(yè)的網(wǎng)絡安全防護能力，通過聘請外部顧問來構(gòu)建信息安全管理體系能夠***程度發(fā)揮咨詢顧問的經(jīng)驗，使企業(yè)不會在體系的建設過程中迷失方向，但是，在項目結(jié)束咨詢顧問撤場后，企業(yè)內(nèi)部體系推行人員卻顯得無所適從，或者在體系的推行過程中顯得并不是非常的得心應手，問題在哪里呢?主要是以下幾個方面：

首先，在風險處置過程中所輸出的眾多信息安全管控措施難以統(tǒng)一規(guī)劃，并且缺少各項控制措施與信息安全風險的一一對應。

眾所周知，在風險評估的過程中將會全面、系統(tǒng)地對企業(yè)的各項信息資產(chǎn)進行詳細的風險分析，系統(tǒng)的分析出企業(yè)所面臨的各項風險，并對各項風險采取合理、有效的管控措施。在風險評估的過程中，企業(yè)所面臨的信息安全風險的類別，以及每一類信息風險中實際風險的個數(shù)無疑是非常大的，并且不同類別的信息安全風險所采取管控措施的優(yōu)先級也有很大的差別，如何對數(shù)量龐大的風險及管控措施進行合理的規(guī)劃，對于企業(yè)來說無疑是一個很大的難題，尤其對于組織規(guī)模比較龐大的企業(yè)更是如此，因此如何對風險評估后的管控措施進行統(tǒng)一、合理的規(guī)劃至關重要。

其次，信息安全管理體系中的各級文件、模板及記錄很難有條理地進行管理。

信息安全管理體系擁有為數(shù)眾多的文檔化的方針、策略、規(guī)范、制度，并在體系運行的過程中將產(chǎn)生大量的記錄，如何對這些文件進行分門別類的管理，并且很好的對其中的邏輯性與一致性進行控制，這對于體系維護人員來講是一個不大不小的難題。

***，體系實施及運作過程中關鍵的活動(如體系測量、組織內(nèi)審、管理評審等)的策略、實施、記錄很難系統(tǒng)化、程序化。

信息安全管理體系在進行PDCA循環(huán)運行中，控制措施測量、內(nèi)審及管理評審是體系進行持續(xù)改進的發(fā)動機，但是，由于這些活動關系到企業(yè)的各個部門，組織、策劃、協(xié)調(diào)起來非常的困難，因此，如何將這些活動的組織策劃自動化、實施程序系統(tǒng)化，并且實施過程記錄完整化是體系推行人員一個非常大的挑戰(zhàn)。

如何對上面提到的這些問題進行有效的規(guī)避，即要發(fā)揮傳統(tǒng)咨詢模式的優(yōu)點，又能夠避免傳統(tǒng)咨詢模式的不足，使企業(yè)的信息安全管理體系實施更加有效呢?我們建議企業(yè)需形成完善的信息安全體系建設方法論，通過結(jié)合IT風險控制體系建設流程及知識庫，只有這樣才能有效滿足各級組織的IT風險控制體系建設需求。

為此，信息安全體系建設系統(tǒng)應該包括安全體系規(guī)劃、安全體系設計、安全體系實施以及安全體系保障四個主要模塊。功能分別如下：

1) 信息安全管理體系規(guī)劃：分析識別出的信息安全改進措施，將需要增加或改進的措施分解成一項項任務或項目，明確每個任務或項目的目標、工作內(nèi)容，分析任務或項目的實施優(yōu)先級，根據(jù)實施優(yōu)先級規(guī)劃這些任務或項目的實施時間、實施范圍及參與人員。

2) 信息安全管理體系設計：建立體系相關部門、人員、職責及聯(lián)系信息，體統(tǒng)管理各類方針、策略、程序及作業(yè)指導書的模板及具體文件的歸檔、版本控制。

3) 信息安全管理體系實施：將各個任務實施的情況記錄到系統(tǒng)中，對各項任務的實施的狀態(tài)執(zhí)行有效跟蹤，并且評價各個任務實施的有效性。

4) 信息安全管理體系保障：對體系內(nèi)部審核、外部審核及管理評審等活動進行組織、策劃、協(xié)調(diào)，并對內(nèi)審、外審、管理評審的過程進行記錄，對各不符合項及預防措施進行記錄及狀態(tài)跟蹤。

綜上所述，今天企業(yè)的信息安全體系建設系統(tǒng)只有充分與信息安全管理體系咨詢方法論進行結(jié)合，對體系建設過程提供完整的安全規(guī)劃方法論，有效提高安全規(guī)劃的合理性，提供內(nèi)部審核、管理評審、外部審核等管理活動支持，才能保障體系的有效實施。

【編輯推薦】

1. Web專用網(wǎng)站服務器的安全設置
2. 怎樣進行路由器的安全設置
3. 安全設置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡安全培訓
5. 企業(yè)如何在復雜環(huán)境中降低安全風險