本文第八部分提供了一套完整的、结构化的问题和实务准则,但是安全治理负责人需要提出一些问题,以帮助人们思考和提高安全意识,发现信息安全问题,并初步了解解决这些问题的方法。
本文第八部分提供了一套完整的、结构化的问题和实务准则,但是安全治理负责人需要提出一些问题,以帮助人们思考和提高安全意识,发现信息安全问题,并初步了解解决这些问题的方法、用来发现信息安全状况的问题。
上一次管理执行层关注安全相关的决定是什么时候?管理执行层多长时间参与一次安全方案的改进?
管理执行层知道谁负责安全吗?负责人自己知道吗?其他人都知道吗?
当碰到安全事故时,人们这么认为吗?人们忽视它吗?他们知道怎样处理它吗?
每个人知道公司有多少台计算机吗?管理执行层知道计算机的遗失吗?
管理执行层识别了泄漏后造成困难或竞争劣势的所有信息(客户资料,战略规划,研究报告等)吗?
公司最近遭到病毒攻击是什么时候?上一年受到多少次病毒攻击?
有否有人探测公司的网络?有过非法入侵吗?频率是多少?对公司有什么影响?
是否每个人都知道有多少人使用公司的系统?知道他们能否使用,或使用其做什么吗?
事后处理还是事前预防安全问题?
根据损失的收入,丢失的客户和投资者的信心,评估一次严重的安全事故的后果是什么?
用来发现管理执行层怎样看待信息安全的问题:
企业明确信息安全相对于IT和安全风险的定位吗?企业趋向于避免风险还是接受风险
用于信息安全的费用是多少?用于哪些方面?怎样花费的?上一年进行了什么项目提高信息安全?
上一年多少员工接受了安全培训?管理层多少人接受了培训?
组织怎样发现安全事故?怎样向上级汇报这些事故?管理执行层采取什么行动?
管理执行层如何准备从主要的安全事故中恢复吗?
有否涉及所有上述问题的安全工作程序?负责人的职责清楚吗?
自我评价信息安全的实务准则
管理执行层可以确信在公司安全得到足够考虑吗?
管理执行层知道最新的安全问题和最佳实践吗?
其他人在做什么,企业怎样正确处理与他们的关系?
行业最佳实践是什么,本企业怎样与其比较?
管理执行层清楚表明和宣贯企业对信息安全的需求吗?
管理执行层认为企业将投资多少用于信息安全的提升?
在制定商业和IT战略时考虑了信息安全吗?
公司跟踪安全风险和可用的技术方案吗?
管理执行层定期获得安全状况和安全提升项目效果的报告吗?
管理执行层建立了独立的IT安全审计程序吗?他们关注审计结论的执行效果吗?
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
