通常人们只是认为信息安全只是花钱的部门,不能产生直接的经济效益。
在一个企业内我们经常看到这样的情景:年终总结会上,销售经理们在为不断提高的销售业绩而沾沾自喜、弹冠相庆时,安全主管对自己的最高奖赏只能是向总经理汇报“平安无事”。 因此安全预算经常受到质疑,特别是在企业经营状态不佳时,首先受到压缩就是信息安全预算,然而企业决策者们往往没有意识到,过度压缩的安全预算,往往会使企业蒙受很大的风险。
“911”事件中,当Morgan Stanley 集团和American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时,没有人怀疑灾难恢复计划的重要性;“SARS”肆虐时,成功实施业务持续性计划的亚信、摩托罗拉、惠普等公司使人们看到面对这样的重大灾害时,企业怎样才能避免束手无策。
安全计划只有在安全事例发生后,才能证明其价值,然而只有在安全事件发生前,取得企业决策者们的支持才更有意义。这就需要安全主管与企业决策者们进行有效的沟通,不要企图用高深的技术数据说服高层管理者们。这样往往适得其反,安全主管与决策者们的最佳沟通方式就是投资回报计划,安全主管应当为安全预算做出一份有说服力的投资回报计划,来获得决策者们的理解与支持。
信息安全投资回报计划就是要研究信息安全的成本效益,其成本效益组成如下:
◆从系统生命周期看信息安全的成本:获取成本和运行成本;
◆从安全防护手段看信息安全的成本:技术成本和管理成本;
◆信息安全的价值效益:减少信息安全事故的经济损失;
◆信息安全的非价值效益:增加声誉、提升品牌价值。
如侵联删未允勿转:认证生态网 » 建立信息安全管理框架:投资回报计划
最新评论
太好了,找了半天,正好在编iso9001体系文件,很有用
Iso 9001 certification, very good
2015版估计得运行几年了,都是高度概括性内容,没有重大缺陷估计一直会运行下去。
TC176这是在偷懒么?
好,收到了。
是的,是以您名义发出来的,比如很多文章显示的其他账户名。
好,加的人比较多把姓名和联系方式发我。
邮箱太麻烦了 我加微信了 通过一下 发你
投稿可以以我名义发出来么?
您好 我投了篇ISO认证的稿子 您查收下
每年更新 可不可以有变更后再更新
不用这么多吧
我们公司当初做下来好像花了两万多 听培训老师说按照人数来的
我们培训老师说iso是个蛮不错的工具 仅此而已 不过最近看 政府 议会 企业 殡葬 寺庙都在做iso认证﹉
议会做这玩意干啥
政府做iso?
政府做iso?
传说中的业绩
全球都认可iso9001:2015 看来要好好钻研钻研了
认证这个事情 还是任重道远
我认为是为了提升学校管理 尤其现在什么事情都是绩效的大环境下
来赞一个
14001做一个下来多少钱
知识产权 赞一个
学校ISO意义在哪里?最近看不止国外 国内也有学校做ISO认证。
good
是的 iso9001现在是企业蛮好用的一个工具,只要稍微有点规模的都会做。而ISO13485基本局限医疗产业,所以900
可以去看看GB/T 27925-2011这个标准
有认证业务的,只是检测比较出名。
是的 三标和三项体系认证及QEO QES都是一个东西都是指ISO9001 ISO14001 ISO45001认证。
可以请在内审员证书上加上认证生态网LOGO以后你们发的证书提交给我们就可以在cha.isooo.org查到了。
可以做的
真希望我们定的标准也能走出去
有的公司会慢半拍
45001还没换啊
哈哈
厉害了我的国
哪里怎么都有你 刚看到在ISO贴吧
有问题可跟我沟通
ISO13485