ISO27001企業信息安全 ——人員
在企業建立ISO27001信息安全管理體系時�����,創建適當的信息安全部門,要考慮的關鍵問題包括公司規模��、業務復雜程度、所處行業等�。一個只在少數地點運作的小公司和在全球開展業務的很大的金融服務公司相比���,在安全部門上的要求是差別很大的����。
公司的規模通常預示著你要么建立一個正式的信息安全部門,要么只是讓這些職責由另外一個部門來兼任�,如信息技術部門或設備部門����。大的公司經常具有正式的信息安全部門,來負責建立安全戰略并實施相應的支持計劃��。
由于信息安全行業的動態性�,安全人員必須經常檢查和更新安全戰略。因此���,全體安全人員需要經常的、持續的培訓�,以保證他們能了解新的威脅�����,并建立有效的保護戰略。
對一個安全部門來說��,雖然理想的人員數量沒有標準的指標�����,但通用的做法是每 1000 名員工就需要有一個專門的信息安全人員��。安全人員需要的高超技術能力和接連不斷的培訓費用,因而讓內部員工轉變為安全人員做法不是很有效��。
許多公司更愿意專注于核心競爭力����。因此�,他們可能選擇將全部或部分信息安全職能外包。
雖然包括從實習生到 CEO 的所有員工都需要在保證信息安全計劃成功的方面發揮積極主動作用,但是如果可能����,還是最好將計劃的責任指定給特定的個人�����。
信息安全人員需要來自公司管理人員的支持和合作,以便能實施同公司其他行動競爭資源的安全計劃。因而,首席信息安全官(CISO)需要在公司內向盡可能高的上級匯報����,一般是向首席運營官(COO)或首席執行官(CEO)��。
除信息安全部門外,其他如法律和人力資源(HR)等部門同樣在信息安全計劃中扮演關鍵角色,因為公司認可的計算機和互聯網使用政策決定了員工的預期行為����,但是這些政策不應與勞工法律產生沖突�����。
這就是一些當建立公司信息安全部門時的要考慮的關鍵事宜。要建立起一個有效的團隊�����,花費的時間可能超過一年�,因此以長遠的眼光來看待部門建設這件事是很重要的。在關鍵的位置上有正確的人員,這對于取得成功是極為重要的�����。
