《网络安全法实施指南》发布(6)
时间:2018-04-14 07:29 来源:网络整理 作者:墨客科技 点击:次
组织可根据各岗位人员信息安全能力建设需求,设计未来3到5年信息安全培训规划,并针对各岗位的工作特征,制定各岗位信息安全能力需求表,以及由知识组合成的课程。根据组织的实际情况可采用以下基于角色与职责的、框架式的课程设计。以下是基于岗位与信息安全知识体对应的培训方案示例:
此外,《网络安全法》第十九条规定,“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。“因此,网络运营者在进行人员能力建设的同时,还应加强包括管理层在内全员网络安全意识培养和重要性宣传的工作。 普通员工是各项业务的执行者,员工信息安全意识的薄弱是组织信息安全最大的风险。内部员工无意的疏忽,往往会引发敏感信息泄露等安全事件的发生。内部员工的信息安全意识水平提升有助于减少信息安全风险,提升组织的总体信息安全水平。 组织应设计与提供贯穿员工整个职业生命周期的、多种层次、多种方式的信息安全意识宣贯,提高组织全体员工的信息安全意识水平。以下是各类信息安全意识教育形式示例:
组织在经过合规差距分析并建成组织、管理和技术体系之后,要推进体系的运行。如果条件许可,组织还可以建立信息安全监控运行中心(SOC),对安全运行状态进行检测与管理。组织要持续地收集体系运行数据,对体系运行状态进行测量,并根据测量结果建立信息安全绩效考核机制,这样才能把信息安全要求落实到业务流程和员工岗位之中。
组织要建立信息安全保障体系的PDCA循环模式,以推进体系建设的持续完善,全面提升组织的风险识别、安全防御、安全检测、安全响应与安全恢复能力,最终实现风险可视化、防御主动化、运行自动化、管理流程化的安全目标,积极、主动、快速地应对网络安全风险,保障业务与数据安全。 (责任编辑:admin) |
