软件安全

自主研发软件的专利及外购软件的许可证管理均已成为企业不得不重视的问题，一旦疏忽就有可能给企业带来很大的经济和名誉损失。通过信息安全管理体系的建设，许多企业要求软件许可证也作为固定资产由专门部门管理，使用须进行登记，采购须申请，到期须提醒。人员变动、业务变动都有可能导致软件的变更，因此对软件许可证的管理并不是采购后进行登记一劳永逸的事情，在日常工作中需要保证一旦发生变化即更新许可证信息，且提前做好许可证过期的准备工作。

数据安全

数据对于企业是至关重要的，对其进行的安全管理措施更需加大力度。对存储数据的移动介质要做到登记并限制使用人群;对于大批量的数据清楚需要经授权才可执行;同时数据备份须落实到位，从业务角度识别数据备份需求，清晰定义数据备份策略(包括备份方式频率等)，的;数据备份需要进行记录，并定期进行恢复性测试保留记录，从而降低数据损失的风险。

物理安全

大多数企业都设立了门卫、保安、前台等岗位，通过信息安全管理体系的建立，也采用了访客登记，应用门禁系统等措施，对于敏感区域(例如财务、机房、研发中心等)进行了隔离或更高权限的物理访问控制。但访客登记进入后是否可以到处参观，是否有专人陪同并登记，进入和离开的时间是否进行了记录，必要时是否提交参观申请得到授权;员工门禁卡和钥匙的领取是否进行了登记，敏感区的访问是否提交了申请等这些方面均是物理安全的以保障的控制点。

安全检查

安全检查与年度或半年度的内审并不同，审核通常会基于行业要求、标准规定和内部规范进行能够检查，安全检查目的是排查各方面的安全隐患，降低安全事件发生的风险，可以是随机，也可是定期的。每次检查结果可保存，可作为日后改进和信息安全管理体系(ISMS)有效性测量的依据。

安全事件

信息安全事件一旦发生，就须快速响应妥善处理，否则可能会给企业带来更大损失。首先，企业须清晰定义什么是信息安全事件，使大家对信息安全事件形成相同的认识;第二，可根据信息安全事件的严重程度进行分级，定义不同级别的事件汇报途径、升级时间和处理要求;且在整个公司公布相关要求，做到发生安全事件即报告记录并快速响应处理。对于安全事件的管理可参照ITIL或ISO20000 IT服务管理的最佳实践和国际标准的事件管理章节。

安全培训

安全培训也是一项应持续的长期活动，安全培训可针对不同对象分成不同的培训，可以定期组织面向管理层的信息安全标准、法律法规解读的管理培训;面向全员的信息安全意识普及性培训;针对IT相关技术人员的信息安全技术知识的专业培训;面向信息安全运维和管理人员提供的信息安全相关资质认证培训(CISSP、CISP、ISO27001主任审核员等)。建议企业对培训过程、结果进行记录，可作为信息安全体系建设的记录和有效性测量的依据。

由此可看出，信息安全管理体系的落地貌似简单，并非易事，贵在坚持，以上工作均需长期执行，才可起到效果，逐步提升企业的信息安全管理水平并将信息安全渗透到企业的各个角落中形成安全的工作环境。

从上文中可看出，基本每块内容都提及了记录保留相关信息等字眼，对这些长期工作的记录保留目前各个企业采取不同的形式，有的领域采用纸张记录，有些领域利用公司的一些操作平台进行记录(例如OA、IT服务管理系统等)，目前市面上协助信息安全管理体系落地的工具很稀缺，谷安天下数名信息安全领域的资深顾问共同总结多年信息安全管理方面经验结合各行业特点，开发了协助各行业企业建立并维护信息安全管理体系的一套工具(如下图所示)，涵盖了上文提及到的各个领域的安全运营管理。管理+工具的使用协助您将信息安全管理体系在贵企业中落地实施并持续改进。

(责任编辑：)