ISO27001推行过程中常见问题

　公司(Company)在推行ISO27001信息安全管理(guǎn lǐ)体系时，常常会碰到以下问题(Emerson)：

　　1、公司已经投入了资金，购买了产品(Product)，在公内部推行了防病毒软件，但是越做越没有安全感，安全问题(Emerson)依然存在。
　　2、已经制定了本部门的安全规定，但是公司(Company)内部没有方向性规定，我们在部门也不好强行推行。
　　3、公司(Company)的安全规定太空泛，太多，没有参考的原则，没有明确的目标，员工日常行为无法落实。ISO22000认证消费者或客户在持续不断地要求整个食品供应链中相关的组织能够表现并提供足够的证据证明其有能力确认和控制食品安全危害和其它可能对食品安全产生影响的因素。
　　4、部分员工接触到公司(Company)的核心机密很多，但是不了解(Find out)公司在这方面的具体要求，不知道该怎么做。
　　5、员工安全培训（作用:知识传递、技能(skill)传递、标准传递)少，只有特点的职位有培训，员工没有普遍的信息安全意识，安全技能严重不足。ISO13485认证在标准中定义的医疗器械指：制造商的预期用途是为下列一个或多个特定目的用于人类的，不论单独使用或组合使用的仪器、设备、器具、机器、用具、植入物、体外试剂或校准器、软件、材料或者其他相似或相关物品。
　　6、大部分员工没有接触过ISO27001信息安全管理(guǎn lǐ)体系，对信息资产不甚了解(Find out)，不知道何为信息资产。
　　7、公司曾经要求部分信息分级，虽然分为绝密、保密、公司内部公开、公司外部公开，但标准不够统一，致使分出来的级别不统一。
　　8、公司纸面合同(contract)、标书、研发文档、重大项目评审资料(Means)没有正式的保密标准。
　　公司(Company)系统(system)人员没有授权、审批流程(liú chéng)
　　9、新员工需签订保密协议，公司有职位和角色的定义，有违反规定处理。总的来说，公司的安全制度(institution)不够完善，没有可以细化到可执行的文件，没有处理流程(liú chéng)，只根据突发事件处理。
　　职务说明书没有明确岗位的安全职责，岗位的安全级别简单与行政级别挂钩，不利于员工自觉遵守。ISO27001认证信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失。
　　从以上问题我们可以看出，制定出完善的安全策略(strategy)是做好ISO27001信息安全管理(guǎn lǐ)体系的关键，而安全策略就是领导一个组织如何安全运作的管理条例，它是对企业安全目标、理念、规范和责任(zé rèn)的高度概括（generalize)。安全策略应该随着时间持续改善，并且独立于特定的技术，同时运用正式的规章制度保证既定策略的执行。所以，一个好的安全策略至少包括以下几点：
　　信息安全的明确定义;
　　安全策略(strategy)明确实现的目标(cause);
　　明确信息安全所包含的各个方面的一般性和特殊性(particularity)责任;
　　详细的安全策略(strategy)应包括(bāo kuò)合法性需求、安全培训需求，病毒防范（解释:防备、戒备)和检测策略，业务持续性计划等;

　　可疑安全事件的通报流程;