ISMS成功实施的Critical Success Factors
关键成功因素:
a) 信息安全策略、目标和行为应与业务目标保持一致;
(这里业务目标具体是什么呢?公司自身的业务目标?or安全的业务目标?)
b) 信息安全实施、维护、监控、改进的方法应该符合组织的文化;
c) 来自所有管理层可见的支持和承诺;
d) 对信息安全需求、风险评估、风险管理应有很好的理解;
e) 应对所有经理、员工和第三方进行信息安全的有效宣传;
f) 对所有经理、员工和第三方发布信息安全策略和标准的指南;
(指南实际枯燥无味,恐怕无人会仔细翻看,以故事例证+配图为典范,可能会受到更好的成效)
g) 为信息安全活动提供资金;
h) 提供适当的教育和培训;
(培训应该以简明、易懂,并以简单的漏洞攻击为实例,给大家呈现不注重安全所带来的隐患)
i) 建立有效的信息安全事件管理流程;
j) 建立一套用来评估信息安全管理的性能和有关改进安全管理的反馈建议的测量系统
——————
内控的局限性:
内部控制受制于成本效益原则
内部、内外的串通舞弊会使内部控制失效
内部控制受人员素质、信息传递的影响
权利游戏
经营环境变化
——————
根老板的沟通需要一些技巧
CEO也是有他自己的KPI(Key Performance Indication)即关键业绩指标,戳其“痛”处
对“执行官”讲技术讲不通就讲故事
阅读(766) | 评论(0) | 转发(0) |
