ISO27001信息安全管理體系標(biāo)準(zhǔn)要求我們把公司的各項(xiàng)工作體系化運(yùn)作，保護(hù)重要信息資產(chǎn)不受到各種威xie而導(dǎo)致企業(yè)機(jī)密信息泄漏并被人利用，或者是受到環(huán)境及人為的破壞而不能繼續(xù)使用，保持業(yè)務(wù)的持續(xù)運(yùn)營(yíng)是公司的目標(biāo)。

通過實(shí)施ISO27001，按照PDCA模型建立信息安全管理自我約束機(jī)制，有助于企業(yè)識(shí)別信息安全風(fēng)險(xiǎn)并加改進(jìn)規(guī)避，減少可能存在的安全隱huan，降低潛在安全事件發(fā)生給企業(yè)帶來的損失，規(guī)范企業(yè)各個(gè)部門各個(gè)崗位的職責(zé)，提升員工信息安全意識(shí)，不斷改善，有效預(yù)防，最終實(shí)現(xiàn)組織的良性發(fā)展。

一、ISO 27001標(biāo)準(zhǔn)體系落地的難點(diǎn)：

ISO27001標(biāo)準(zhǔn)體系落地的難點(diǎn)在哪里？根本上講，需要找到業(yè)務(wù)與安全的平衡點(diǎn)，任何安全控制措施的實(shí)施都會(huì)給降低業(yè)務(wù)運(yùn)行效率，不論是增加安全設(shè)備，還是流程。安全的目標(biāo)是為了保障業(yè)務(wù)的正常穩(wěn)定運(yùn)行，而不是阻礙業(yè)務(wù)的發(fā)展，因此，解決好業(yè)務(wù)和安全的平衡是ISO 27001標(biāo)準(zhǔn)體系落地的根本難點(diǎn)。

1、資產(chǎn)不清晰

資產(chǎn)是ISMS保護(hù)的對(duì)象，資產(chǎn)的不清晰將導(dǎo)致安全策略的無效、冗余、甚至缺失。在小型組織中，資產(chǎn)數(shù)量和類型往往較少，但是在大型組織中，資產(chǎn)數(shù)量和類型紛繁復(fù)雜，如何將資產(chǎn)梳理清楚已經(jīng)成為普遍認(rèn)識(shí)的難題，資產(chǎn)梳理的結(jié)果往往僅停留在一張表，無法為ISMS的建設(shè)提供實(shí)質(zhì)性的基礎(chǔ)支撐。

2、風(fēng)險(xiǎn)不清晰

風(fēng)險(xiǎn)是ISMS建設(shè)的主線，目標(biāo)是保證保護(hù)對(duì)象面臨的風(fēng)險(xiǎn)始終在組織的可接受范圍內(nèi)，風(fēng)險(xiǎn)的不清晰將導(dǎo)致風(fēng)險(xiǎn)應(yīng)對(duì)措施失效，既造成了資源的浪費(fèi)，又無法降低真正的風(fēng)險(xiǎn)。

在現(xiàn)階段，如何做到風(fēng)險(xiǎn)的持續(xù)有效監(jiān)控，是組織面臨的一大挑戰(zhàn)，主要原因包括：

風(fēng)險(xiǎn)評(píng)估人才門檻高、過度依賴技術(shù)手段、需要對(duì)組織面臨的風(fēng)險(xiǎn)情況進(jìn)行監(jiān)控，不斷調(diào)整更新ISMS，以適應(yīng)風(fēng)險(xiǎn)環(huán)境的變化。

如果您有企業(yè)認(rèn)證方面的問題，歡迎咨詢我們150--3403--9810。