公司在推行ISO27001信息安全管理體系時,常常會碰到以下問題:
1、公司已經投入了資金,購買了產品,在公內部推行了防病毒軟件,但是越做越沒有安全感,安全問題依然存在。
2、已經制定了本部門的安全規定,但是公司內部沒有方向性規定,我們在部門也不好強行推行。
3、公司的安全規定太空泛,太多,沒有參考的原則,沒有明確的目標,員工日常行為無法落實。
4、部分員工接觸到公司的核心機密很多,但是不了解公司在這方面的具體要求,不知道該怎么做。
5、員工安全培訓少,只有特點的職位有培訓,員工沒有普遍的信息安全意識,安全技能嚴重不足。
6、大部分員工沒有接觸過ISO27001信息安全管理體系,對信息資產不甚了解,不知道何為信息資產。
7、公司曾經要求部分信息分級,雖然分為絕密、保密、公司內部公開、公司外部公開,但標準不夠統一,致使分出來的級別不統一。
8、公司紙面合同、標書、研發文檔、重大項目評審資料沒有正式的保密標準。公司系統人員沒有授權、審批流程
9、新員工需簽訂保密協議,公司有職位和角色的定義,有違反規定處理。總的來說,公司的安全制度不夠完善,沒有可以細化到可執行的文件,沒有處理流程,只根據突發事件處理。
職務說明書沒有明確崗位的安全職責,崗位的安全級別簡單與行政級別掛鉤,不利于員工自覺遵守。
從以上問題我們可以看出,制定出完善的安全策略是做好ISO27001信息安全管理體系的關鍵,而安全策略就是領導一個組織如何安全運作的管理條例,它是對企業安全目標、理念、規范和責任的高度概括。安全策略應該隨著時間持續改善,并且獨立于特定的技術,同時運用正式的規章制度保證既定策略的執行。所以,一個好的安全策略至少包括以下幾點:
信息安全的明確定義;
安全策略明確實現的目標;
明確信息安全所包含的各個方面的一般性和特殊性責任;
詳細的安全策略應包括合法性需求、安全培訓需求,病毒防范和檢測策略,業務持續性計劃等;可疑安全事件的通報流程;
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
