ISO27001企业信息安全——人员
ISO27001企业信息安全 ——人员
在企业建立ISO27001信息安全管理体系时,创建适当的信息安全部门,要考虑的关键问题包括公司规模、业务复杂程度、所处行业等。一个只在少数地点运作的小公司和在全球开展业务的很大的金融服务公司相比,在安全部门上的要求是差别很大的。
公司的规模通常预示着你要么建立一个正式的信息安全部门,要么只是让这些职责由另外一个部门来兼任,如信息技术部门或设备部门。大的公司经常具有正式的信息安全部门,来负责建立安全战略并实施相应的支持计划。
由于信息安全行业的动态性,安全人员必须经常检查和更新安全战略。因此,全体安全人员需要经常的、持续的培训,以保证他们能了解新的威胁,并建立有效的保护战略。
对一个安全部门来说,虽然理想的人员数量没有标准的指标,但通用的做法是每 1000 名员工就需要有一个专门的信息安全人员。安全人员需要的高超技术能力和接连不断的培训费用,因而让内部员工转变为安全人员做法不是很有效。
许多公司更愿意专注于核心竞争力。因此,他们可能选择将全部或部分信息安全职能外包。
虽然包括从实习生到 CEO 的所有员工都需要在保证信息安全计划成功的方面发挥积极主动作用,但是如果可能,还是最好将计划的责任指定给特定的个人。
信息安全人员需要来自公司管理人员的支持和合作,以便能实施同公司其他行动竞争资源的安全计划。因而,首席信息安全官(CISO)需要在公司内向尽可能高的上级汇报,一般是向首席运营官(COO)或首席执行官(CEO)。
除信息安全部门外,其他如法律和人力资源(HR)等部门同样在信息安全计划中扮演关键角色,因为公司认可的计算机和互联网使用政策决定了员工的预期行为,但是这些政策不应与劳工法律产生冲突。
这就是一些当建立公司信息安全部门时的要考虑的关键事宜。要建立起一个有效的团队,花费的时间可能超过一年,因此以长远的眼光来看待部门建设这件事是很重要的。在关键的位置上有正确的人员,这对于取得成功是极为重要的。
