|
我们在iso27001认证在项目实施过程中,主要的难点包括:
a、 如何确定ISMS的范围?
ISMS(信息安全管理体系)范围的正确订立是整个实施的基础和成败关键。它界定了涵盖的业务流程、信息流和相关资产,因而也确定了ISO27001信息安全管理体系的边界和目标,这对于实施周期、实施受益的信息管理环节都将产生影响。
仅就认证目的而言,企业可以选择任何部门和系统,但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。
b、 如何进行风险评估?
风险评估被公认为ISMS实施过程最关键和难以操作的环节,因此,ISO27001认证标准的实施并不限定客户使用什么风险评估方法。
(1)风险评估成功与否的关键首先不在于技术问题,而在于良好的客户沟通和会议组织技巧,包括让管理层和业务人员理解风险评估的重要性、方法,予以必要的配合、支持,并通过高效的会议组织,获得较全面的和客观的调查反馈信息。
(2)应避免风险评估仅限于IT部门和安全专家的参与。在一开始就应把业务骨干纳入到风险评估小组,通过培训让所有成员理解风险评估的目的、组织流程和方法。
(3)风险评估应始终围绕企业的目标和方针进行。
(4)成功的风险评估还要避免片面性、主观性,避免与漏洞扫描或穿透测试混为一谈。此外,完整的风险评估应涵盖物理和逻辑两方面的因素。
上海赛学也因此成为众多信息安全管理部钦点的iso27001认证咨询机构和iso27001辅导机构。赛学免费为黄浦区|徐汇区|长宁区|静安区|普陀区|虹口区|杨浦区|宝山区|闵行区|嘉定区|浦东新区|松江区|金山区|青浦区企业做上门诊断,出具ISO27001认证方案。
|
