用户投稿在这四个选项中,开发信息安全管理系统(ISMS)是最合适,最关键的。ISMS从管理承诺和政策开始,这些承诺和政策推动信息安全,以满足利益相关者(或利益相关方)的保护需求和安全要求。它涵盖了网络访问控制,IT流程以及业务连续性的信息安全方面。
.实施全面的网络访问控制是必要的,但还不够,也不是优先事项。
.将安全性集成到IT流程中是必要的,但还不够。无论CISO向哪个角色报告,他(她)都应确保安全功能支持业务,并将安全集成到“所有”组织流程中,而不仅仅是IT流程中。
.除非CISO非常了解业务并得到充分授权和委派,否则他或她发起并指导业务连续性计划不是一个好主意。业务连续性是指持续交付涉及组织流程的产品和服务,而不仅仅是IT,安全或保证流程。首席执行官,首席运营官或委员会更合适。如下图所示,CISSP考试大纲和ISO 27001甚至都不能满足所有业务连续性要求。
资料来源: Wentz Wu QOTD-20210224
微信扫一扫打赏
支付宝扫一扫打赏
