信息安全管理的作用三

(1)对组织内信息安全管理能够实现：

◇能够保护关键信息资产和知识产权，维持竞争优势

◇在系统受侵袭时，确保业务持续开展并将损失降到最低程度

◇建立起信息安全审计框架，实施监督检查

◇建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查

◇强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化

◇按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性

(2)对组织外信息安全管理能够实现：

◇能够使各利益相关方对组织充满信心

◇能够帮助界定外包时双方的信息安全责任

◇可以使组织更好地满足客户或其他组织的审计要求◇可以使组织更好地符合法律法规的要求

◇若通过了IS027001认证，能够提高组织的公信度

◇可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全

(3)需要清楚的认识到实施信息安全管理的关键成功因素包括：

◇组织的信息安全方针和活动能够反映组织的业务目标

◇组织实施信息安全的方法和框架与组织的文化相一致

◇管理者能够给予信息安全实质性的、可见的支持和承诺

◇管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解

◇向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识

◇向全员和其他相关方分发并宣贯信息安全方针、策略和标准

◇管理者为信息安全建设提供足够的资金

◇向全员提供适当的信息安全培训和教育

◇建立有效的信息安全事件管理过程

◇建立有效的信息安全测量体系