企业内部面临信息安全问题的时候,目前虽然不是以前上某种安全产品就解决一切问题的那种一劳永逸的想法,但是大多数的企业都希望尽可能多解决一些问题,这种心情是可以理解的。
ISMS建设时,都会确定一个明确的实施范围,比如IT部或研发部或财务部,那么在实施ISMS的过程当中,范围之外的部门或组织一般都不会深入涉及,再次实施的重点明确在已定的范围之内,在咨询顾问的帮助下,建立合理的信息安全组织框架,培养出能够胜任安全管理体系运作的相关人员,比如掌握了风险评估方法的人员,内部审计人员等等,提高人员的安全技能以及安全意识,在范围内,提高信息安全的运作水平,降低相关安全风险。然后依此作为示范,一步一步的扩大ISMS的范围,并且按照PDCA模型使企业的信息安全水平不断提升,最后全公司范围内推广实施。实际上这也是企业在信息安全体系的建设过程当中,在一定的人财物的投入的条件下,按部就班,循序渐进,并秉承关键部门、以及高安全风险的地方优先控制的原则,切忌一步而蹴。