信息安全服务提供方管理要求思维导图

安全 应用安全
作为信息安全服务提供方,是不是手里有两把刷子,就可以直接去客户那里提供安全服务了呢?其实,要提供一次性服务,确实还是可以的。然而,要提供持续性稳定输出的服务,仅有两把刷子,没有可靠有效的管理是不行的。

[[418367]]

所谓,无规矩不成方圆。

作为信息安全服务提供方,是不是手里有两把刷子,就可以直接去客户那里提供安全服务了呢?其实,要提供一次性服务,确实还是可以的。然而,要提供持续性稳定输出的服务,仅有两把刷子,没有可靠有效的管理是不行的。

可能有些朋友会说,管理会造成内耗,精力内耗最终会影响效率。其实,不然。为什么呢?这里只是谈一下我粗鄙的见解。我们考虑安全服务肯定考虑服务稳定持续输出,而不是打游击战。科学管理可以提升效率,同时保障服务质量。单枪匹马式的服务,质量会波动非常大,没有体系没有持续性,为客户带来巨量不可以提前预估的各类风险。在这个过程中,安全服务提供方是一个团队,而非一人。

团队讲求的是配合,讲求的是人与人分工互助之原则。

信息安全服务提供方管理要求首先需要从三个大方面考虑,一是信息安全服务原则,二是信息安全服务组织级管理,三是信息安全服务项目级管理。

信息安全服务原则又分合规性、数据和业务保护两个层面;

信息安全服务组织级管理,即就是服务提供方公司层面的管理,又需要从制度和体系、人力资源、保密、技术能力、服务协议、服务组合、供应链几个方面进行规范;

项目级管理则考虑服务方案、服务人员、服务过程、服务工具和平台、服务风险、服务变更、服务沟通、服务交付等几个方面进行规范。 

合规性下又需要分若干项进行细化,同理其他的各个方面也是有具体需要细化的部分。其中建立管理体系工作时需要借鉴GB/T 22080和GB/T 24405两个标准,所以信息安全有关标准是环环相扣,相辅相成的关系,脱离其他标准单独谈一个标准,其意义不能说没有,但是会大打折扣。

所以,作为一个团队必然有一个团队的目标和宗旨,这个目标和宗旨要与需求方是相一致的。一旦形成组织,自然需要一个组织章程,这样在自身合规的前提下,才能为客户带来真正的合规性服务。社会本身就是需要分工协作的,作为安全服务提供方是社会一个组织,每个组织成员又是团队的一个个体。只有各司其职,做到分工互助才能将工作朝着尽善尽美的方向发展。

作为信息安全服务提供方,遵循国家法律法规和国家标准,是自身合规,持续提供安全可靠稳定的安全服务,是帮助客户实现合规。合规,是散漫的无组织无纪律的杂牌军向正规军迈进,是不是正规军不在其名,不在其宣传,就看有制度有管理,是否真实在用,在促进企业向正规路上发展。

参考文件:

《信息安全技术 信息安全服务 分类》GB/T 30283

《信息安全技术 信息安全服务提供方管理要求》GB/T 32914

 

责任编辑:武晓燕 来源: 祺印说信安
相关推荐

2023-04-10 13:08:46

开源思维导图

2017-07-06 12:01:52

MySQL数据安全

2020-11-23 21:18:52

MindMaster

2023-04-07 15:47:56

Seth Kenlo开源

2019-06-12 08:51:14

2011-12-16 20:11:29

Android

2020-06-11 15:24:43

思维导图

2017-07-20 09:23:32

Springjavacio

2012-06-12 09:51:43

在线思维

2021-02-24 14:20:42

开发IDE代码

2024-11-27 08:04:28

LogicFlow技术前端

2017-09-21 09:42:14

2019-03-25 10:05:23

Freeplane开源思维导图

2019-11-20 10:43:32

监控系统技术工具

2010-01-06 16:40:11

.Net Framew

2010-03-31 22:35:06

2017-10-16 12:56:16

正则表达式思维导图

2020-06-09 14:26:10

mac
点赞
收藏

51CTO技术栈公众号