中文字幕亚洲综合久久_а√天堂资源中文在线官网_亚洲国产AV一区二区三区四区_欧美激情一区二区久久久

為什么說企業做ISO27001認證是非常必要的?

發布時間(jian):2020-11-19 瀏覽次(ci)數(shu):625次(ci)

  • 您現在可能很想知(zhi)道,ISO27001信息安全管(guan)理體(ti)系能給您企業(ye)帶(dai)來哪些(xie)效益,ISO27001到底(di)在做(zuo)些(xie)什么東(dong)西?自己公司是不是適合(he)做(zuo)這個體(ti)系?

    許多人(ren)誤以(yi)為信息(xi)(xi)安(an)(an)全(quan)是(shi)黑客(ke)與(yu)網絡專(zhuan)家(jia)的(de)事情(qing),其(qi)實并不(bu)是(shi)這樣,以(yi)下我會有案例來說明(ming),信息(xi)(xi)技(ji)術(shu)只是(shi)信息(xi)(xi)安(an)(an)全(quan)的(de)一(yi)個(ge)手段與(yu)工(gong)具,并不(bu)是(shi)用(yong)錢(qian)買(mai)過來就安(an)(an)全(quan)了,企(qi)業(ye)的(de)信息(xi)(xi)安(an)(an)全(quan)需要我們平時(shi)(shi)工(gong)作(zuo)的(de)時(shi)(shi)候(hou)要注意一(yi)些(xie)細節,如工(gong)作(zuo)機(ji)的(de)數據平時(shi)(shi)要備份,公(gong)共文件夾的(de)權限要設定(ding)清楚,文件柜要上鎖(suo),計算機(ji)屏幕(mu)要設定(ding)定(ding)時(shi)(shi)屏保且用(yong)密碼恢復,對(dui)于企(qi)業(ye)購買(mai)的(de)防(fang)火墻(qiang),路由器的(de)安(an)(an)全(quan)功能(neng)要正(zheng)確(que)的(de)去應(ying)用(yong)執行,日后(hou)去管理。

    這(zhe)些都是(shi)ISO27001信息安(an)(an)全管(guan)理體系(xi)標準(zhun)所要求的(de)(de)安(an)(an)全事項,當然(ran)這(zhe)只(zhi)是(shi)標準(zhun)的(de)(de)冰(bing)山(shan)一角,自己做過(guo)很(hen)多不安(an)(an)全的(de)(de)行(xing)為自己都沒發覺,標準(zhun)是(shi)國外先進管(guan)理經驗的(de)(de)積累,幫我們(men)收集了所有的(de)(de)安(an)(an)全控制措施,按照這(zhe)個標準(zhun)去執行(xing)工作,能確保公司信息資產(chan)(硬盤(pan)光盤(pan)電子數據,紙質數據)免(mian)受各種威(wei)脅(黑客,內賊(zei),外部小(xiao)偷,火災(zai),雷擊等(deng))。

    簡單的(de)說,ISO27001信息(xi)安全管(guan)理體系標準要(yao)(yao)求我們把公司的(de)各項工作體系化(hua)運(yun)作,保(bao)護重要(yao)(yao)信息(xi)資產不受到各種威脅而導(dao)致(zhi)企業機(ji)密信息(xi)泄漏(lou)并被(bei)人利用,或者是(shi)受到環境及人為的(de)破壞而不能繼續(xu)(xu)使用,保(bao)持業務的(de)持續(xu)(xu)運(yun)營(ying)是(shi)公司的(de)目標。 

    信(xin)息(xi)安(an)(an)(an)全(quan)管理就是(shi)對(dui)信(xin)息(xi)安(an)(an)(an)全(quan)風險(xian)進(jin)行(xing)識別、分析(xi)、采取措施將風險(xian)降到可(ke)接受水平并維持該水平的(de)過(guo)程(cheng)(cheng)(cheng)。企(qi)(qi)業(ye)的(de)信(xin)息(xi)安(an)(an)(an)全(quan)管理不是(shi)一勞永(yong)逸(yi)的(de),由于新的(de)威脅(xie)不斷出現(xian),信(xin)息(xi)安(an)(an)(an)全(quan)管理是(shi)一個相對(dui)的(de)、動態的(de)過(guo)程(cheng)(cheng)(cheng),企(qi)(qi)業(ye)能(neng)做(zuo)到的(de)就是(shi)要不斷改進(jin)自身的(de)信(xin)息(xi)安(an)(an)(an)全(quan)狀態,將信(xin)息(xi)安(an)(an)(an)全(quan)風險(xian)控(kong)制(zhi)在(zai)企(qi)(qi)業(ye)可(ke)接受的(de)范圍之內(nei)(nei),獲得企(qi)(qi)業(ye)現(xian)有條件下(xia)和資(zi)源(yuan)能(neng)力(li)范圍內(nei)(nei)最大程(cheng)(cheng)(cheng)度的(de)安(an)(an)(an)全(quan)。

    在(zai)信(xin)息(xi)安(an)全管(guan)理(li)(li)(li)領域,“三(san)分(fen)技(ji)術,七分(fen)管(guan)理(li)(li)(li)”的(de)(de)(de)理(li)(li)(li)念已(yi)經被廣泛(fan)接(jie)受。通(tong)過閱讀文獻可(ke)以發(fa)現,早期的(de)(de)(de)信(xin)息(xi)安(an)全研(yan)(yan)(yan)究(jiu)主要(yao)集中(zhong)在(zai)信(xin)息(xi)安(an)全技(ji)術方(fang)面,20世紀90年(nian)代前(qian)后(hou),信(xin)息(xi)安(an)全在(zai)管(guan)理(li)(li)(li)方(fang)面的(de)(de)(de)研(yan)(yan)(yan)究(jiu)才開(kai)始受到重(zhong)視并逐漸發(fa)展起(qi)來。本文的(de)(de)(de)研(yan)(yan)(yan)究(jiu)目的(de)(de)(de)是(shi)針對當前(qian)我(wo)國中(zhong)小企(qi)業(ye)在(zai)信(xin)息(xi)安(an)全實踐(jian)中(zhong)面臨的(de)(de)(de)問題(ti),通(tong)過研(yan)(yan)(yan)究(jiu)國內外(wai)的(de)(de)(de)信(xin)息(xi)安(an)全管(guan)理(li)(li)(li)理(li)(li)(li)論和實踐(jian),結合(he)ISO/IEC27001信(xin)息(xi)安(an)全管(guan)理(li)(li)(li)體系,提(ti)出(chu)一個適合(he)我(wo)國中(zhong)小企(qi)業(ye)的(de)(de)(de)信(xin)息(xi)安(an)全管(guan)理(li)(li)(li)的(de)(de)(de)模型,用以指導我(wo)國中(zhong)小企(qi)業(ye)的(de)(de)(de)信(xin)息(xi)安(an)全實踐(jian)并不斷提(ti)高中(zhong)小企(qi)業(ye)的(de)(de)(de)安(an)全管(guan)理(li)(li)(li)能力。

    實施(shi)ISO27001的效益(yi) 

    一(yi)、ISO27001證書的獲得(de),可以(yi)客(ke)戶(hu)表(biao)明,組織/企業(ye)(ye)遵循了所有適用的法律法規。從(cong)而保(bao)護企業(ye)(ye)和(he)相關方的信息交換、知識產權、商業(ye)(ye)秘密等增加(jia)市場的競爭(zheng)優(you)勢。 

    二、信息(xi)安全管理(li)體(ti)(ti)系的建立可以和(he)外(wai)部(bu)團(tuan)體(ti)(ti)如(ru)合(he)作(zuo)伙伴及客(ke)戶與內部(bu)團(tuan)體(ti)(ti)如(ru)股東說(shuo)明組織(zhi)/企(qi)業(ye)為保護信息(xi)所做的努(nu)力,同(tong)是保護了(le)客(ke)戶以及企(qi)業(ye)自身的知(zhi)識(shi)產(chan)權,使其對組織(zhi)/企(qi)業(ye)的信心(xin)加(jia)強,并有助(zhu)于在同(tong)行業(ye)中的競爭優勢(shi),提升客(ke)戶滿(man)意度及形象(xiang)。 

    三(san)、提升員(yuan)工(gong)信息(xi)安(an)全積(ji)極態度,規(gui)范信息(xi)安(an)全制度,降(jiang)低人(ren)為所(suo)造成的(de)信息(xi)安(an)全事故(gu)機率。 

    四、提升公司運營目(mu)標及達(da)到業務永續經(jing)營要求目(mu)標。 

    五、滿足組織/企業對信息安(an)全(quan)的要求及(ji)期望(wang)。

    客戶導入ISO27001心(xin)得體會 

    我們(men)公司剛(gang)剛(gang)通過(guo)(guo)(guo)了(le)ISO27001的(de)(de)認證,在(zai)(zai)整個體系(xi)(xi)的(de)(de)實(shi)施過(guo)(guo)(guo)程(cheng)中(zhong)感(gan)受(shou)很(hen)多(duo)。我以前是做IT的(de)(de),一(yi)直(zhi)關(guan)心技術方(fang)(fang)面,對體系(xi)(xi)方(fang)(fang)面的(de)(de)認識(shi)不足。公司以前也做過(guo)(guo)(guo)ISO9001、CMMI,可(ke)是我一(yi)直(zhi)抱著一(yi)種(zhong)得過(guo)(guo)(guo)且過(guo)(guo)(guo)的(de)(de)抵觸(chu)態度,所以也沒有從過(guo)(guo)(guo)程(cheng)中(zhong)學習到什么知識(shi)。這次通過(guo)(guo)(guo)準備ISO27001,從文(wen)件體系(xi)(xi),業務持續計劃BCP,資產識(shi)別、風險評估等多(duo)方(fang)(fang)面對ISO27001信息安全管理體系(xi)(xi)有了(le)一(yi)個比較清楚的(de)(de)認識(shi),而(er)且在(zai)(zai)試運行(xing)階段通過(guo)(guo)(guo)實(shi)踐,也對體系(xi)(xi)有了(le)更深刻的(de)(de)了(le)解。

    我想(xiang)每一(yi)(yi)個做過ISO27001的人都會有很多收獲和感想(xiang),希望大家共享一(yi)(yi)下,一(yi)(yi)來可以互相學習,二來對正在學習體系的朋友們也是一(yi)(yi)種幫助。

    先來談談HR方(fang)面(mian)的(de)(de)管理(li)(li),我們(men)公司HR方(fang)面(mian)主要是入職(zhi)、離(li)職(zhi)和部門異動(dong),還有背景調查(cha)和保密協議方(fang)面(mian)。HR涉(she)及(ji)的(de)(de)人(ren)員管理(li)(li)是一(yi)個關鍵,如果沒(mei)有清(qing)晰的(de)(de)流程,那么后續(xu)的(de)(de)很(hen)(hen)多工作都不好開展(zhan)。比(bi)如我們(men)原(yuan)來的(de)(de)域帳戶和郵件(jian)帳戶、供員工工作的(de)(de)OA系(xi)統(tong)(可(ke)web方(fang)式登錄)以及(ji)門禁系(xi)統(tong)權限(xian)的(de)(de)管理(li)(li)就(jiu)比(bi)較混亂,因為人(ren)員的(de)(de)流動(dong)沒(mei)有及(ji)時(shi)的(de)(de)通知(zhi)IT部門。所以很(hen)(hen)多很(hen)(hen)早就(jiu)離(li)職(zhi)的(de)(de)員工還是保留了(le)相應的(de)(de)權限(xian),這對公司的(de)(de)信息安全就(jiu)造成了(le)很(hen)(hen)大的(de)(de)威脅。

    大家(jia)經常(chang)說三分(fen)技術,七分(fen)管(guan)理(li)。我個(ge)人認(ren)為其實技術和管(guan)理(li)同樣重(zhong)要,管(guan)理(li)是(shi)以技術為基(ji)礎(chu)的,不(bu)過(guo)由于ISO27001是(shi)信息安(an)全管(guan)理(li)體系,很多做體系的人原來都是(shi)負責技術的,所以要加強管(guan)理(li)方面的能(neng)力。

    搞技術的(de)人應該(gai)也意(yi)識到(dao)員工(gong)安全(quan)意(yi)識培訓(xun)的(de)重(zhong)要(yao)性(xing)了,至少我是意(yi)識到(dao)了,呵呵。所以在這(zhe)次ISO27001的(de)準(zhun)備過程中(zhong),還有一個重(zhong)要(yao)內容就是全(quan)員的(de)安全(quan)意(yi)識培訓(xun)。我們是通過網站宣傳,郵(you)件宣傳和face to face的(de)交流(liu)來(lai)進行的(de)。這(zhe)應該(gai)也是現(xian)場審核的(de)一個重(zhong)要(yao)方面。

    關于帳號權限這塊(kuai),需要開(kai)(kai)通的時候找IT,而有(you)(you)(you)變動(離職(zhi)(zhi)、轉(zhuan)崗)時卻不(bu)通知IT,這是絕(jue)大部(bu)分企業管(guan)(guan)理上都(dou)存在的問題。追其(qi)(qi)原(yuan)因,更多(duo)的還是在職(zhi)(zhi)責定義上,業務開(kai)(kai)展部(bu)門(men)(如軟件開(kai)(kai)發)要有(you)(you)(you)其(qi)(qi)安全管(guan)(guan)理的職(zhi)(zhi)責,HR也應有(you)(you)(you)其(qi)(qi)安全管(guan)(guan)理的職(zhi)(zhi)責,IT也有(you)(you)(you)其(qi)(qi)安全管(guan)(guan)理的職(zhi)(zhi)責,將(jiang)各自(zi)的職(zhi)(zhi)責明(ming)確(que)了,然后將(jiang)流(liu)程(cheng)理清楚了,很多(duo)事情就解決了。萬一出了什么問題,在各個環節(jie)也可以追蹤審查。

    看到這(zhe)里(li),如果你發現你的公(gong)司缺的正是ISO27001認(ren)證,就趕(gan)快聯系(xi)我(wo)們吧!

  1.  上一篇:除了招投標,ISO體系認證對公司的好處還有這些!
  2. 下一篇:為什么那么多企業都申請了AAA信用等級認證,有什么好處 ?
  3. 返回列表