我們在iso27001認(rèn)證在項(xiàng)目實(shí)施過程中,主要的難點(diǎn)包括:
a、 如何確定ISMS的范圍?
ISMS(信息安全管理體系)范圍的正確訂立是整個(gè)實(shí)施的基礎(chǔ)和成敗關(guān)鍵。它界定了涵蓋的業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn),因而也確定了ISO27001信息安全管理體系的邊界和目標(biāo),這對于實(shí)施周期、實(shí)施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。
僅就認(rèn)證目的而言,企業(yè)可以選擇任何部門和系統(tǒng),但顯然只有與業(yè)務(wù)目標(biāo)一致的范圍定義才有助于體現(xiàn)安全管理對于核心業(yè)務(wù)的促進(jìn)作用。
b、 如何進(jìn)行風(fēng)險(xiǎn)評估?
風(fēng)險(xiǎn)評估被公認(rèn)為ISMS實(shí)施過程最關(guān)鍵和難以操作的環(huán)節(jié),因此,ISO27001認(rèn)證標(biāo)準(zhǔn)的實(shí)施并不限定客戶使用什么風(fēng)險(xiǎn)評估方法。
(1)風(fēng)險(xiǎn)評估成功與否的關(guān)鍵首先不在于技術(shù)問題,而在于良好的客戶溝通和會議組織技巧,包括讓管理層和業(yè)務(wù)人員理解風(fēng)險(xiǎn)評估的重要性、方法,予以必要的配合、支持,并通過高效的會議組織,獲得較全面的和客觀的調(diào)查反饋信息。
(2)應(yīng)避免風(fēng)險(xiǎn)評估僅限于IT部門和安全專家的參與。在一開始就應(yīng)把業(yè)務(wù)骨干納入到風(fēng)險(xiǎn)評估小組,通過培訓(xùn)讓所有成員理解風(fēng)險(xiǎn)評估的目的、組織流程和方法。
(3)風(fēng)險(xiǎn)評估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進(jìn)行。
(4)成功的風(fēng)險(xiǎn)評估還要避免片面性、主觀性,避免與漏洞掃描或穿透測試混為一談。此外,完整的風(fēng)險(xiǎn)評估應(yīng)涵蓋物理和邏輯兩方面的因素。
上海賽學(xué)也因此成為眾多信息安全管理部欽點(diǎn)的iso27001認(rèn)證咨詢機(jī)構(gòu)和iso27001輔導(dǎo)機(jī)構(gòu)。賽學(xué)免費(fèi)為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷,出具ISO27001認(rèn)證方案。
|