ISO27001信息安全管理体系标准要求我们把公司的各项工作体系化运作,保护重要信息资产不受到各种威xie而导致企业机密信息泄漏并被人利用,或者是受到环境及人为的破坏而不能继续使用,保持业务的持续运营是公司的目标。
通过实施ISO27001,按照PDCA模型建立信息安全管理自我约束机制,有助于企业识别信息安全风险并加改进规避,减少可能存在的安全隐huan,降低潜在安全事件发生给企业带来的损失,规范企业各个部门各个岗位的职责,提升员工信息安全意识,不断改善,有效预防,最终实现组织的良性发展。
一、ISO 27001标准体系落地的难点:
ISO27001标准体系落地的难点在哪里?根本上讲,需要找到业务与安全的平衡点,任何安全控制措施的实施都会给降低业务运行效率,不论是增加安全设备,还是流程。安全的目标是为了保障业务的正常稳定运行,而不是阻碍业务的发展,因此,解决好业务和安全的平衡是ISO 27001标准体系落地的根本难点。
1、资产不清晰
资产是ISMS保护的对象,资产的不清晰将导致安全策略的无效、冗余、甚至缺失。在小型组织中,资产数量和类型往往较少,但是在大型组织中,资产数量和类型纷繁复杂,如何将资产梳理清楚已经成为普遍认识的难题,资产梳理的结果往往仅停留在一张表,无法为ISMS的建设提供实质性的基础支撑。
2、风险不清晰
风险是ISMS建设的主线,目标是保证保护对象面临的风险始终在组织的可接受范围内,风险的不清晰将导致风险应对措施失效,既造成了资源的浪费,又无法降低真正的风险。
在现阶段,如何做到风险的持续有效监控,是组织面临的一大挑战,主要原因包括:
风险评估人才门槛高、过度依赖技术手段、需要对组织面临的风险情况进行监控,不断调整更新ISMS,以适应风险环境的变化。
如果您有企业认证方面的问题,欢迎咨询我们