ISO27000认证怎样策划,ISO27000认证怎样应对信息安全管理的漏洞

ISO27000认证怎样策划

ISO27000认证怎样策划?

教育培训

为了强化组织的信息安全意识，明确信息安全管理体系的基本要求，进行信息安全管理体系标准和相

关知识的培训是十分必要的，这也是组织搞好信息安全管理的关键因素之一。

拟定计划

信息安全管理体系的建立和维持是一项复杂的系统工程，包含培训、风险评估、文件编写、运行、审

核、纠正和预防措施等大量的工作。为确保体系顺当的建立，组织应进行统筹安排，即制定1个切实可行

的工作规划，明确不同时间段的工作任务目标及责任分工，控制工作进度，突出工作重点，例如采用工程

进度计划表。总体计划被批准后，就能够针对具体工作项目制定详细计划，例如文件编写计划。在制定计

划时，组织应考虑资源需求，例如人员的需求、培训经费、办公设施、聘请咨询公司的费用等，假如寻求

体系的第三方认证，还要考虑认证费用，组织最高管理层应确保提供建立体系所必须的人力与财务资源。

明确信息安全方针与信息安全管理体系范围

信息安全方针是关于在1个组织内，指导怎样对资产，包含敏感信息进行管理、保护和分配的规则、

指示。这里所谈到的信息安全方针是组织信息安全的总体方针，组织首先应制定信息安全方针，描述信息

安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，以便为组织的信息安全提供

管理方向与支持。

现状调查与风险评估

组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键，在体系建立的整

个过程中，风险评估的工作量占了很大占比，风险评估的工作质量直接影响安全控制的合理选择，因此，

组织应责成专门的部门负责此项基础性工作，风险评估人员应理解标准的基本要求，掌握风险评估的方法

，熟悉组织商务运作流程与信息系统。风险评估必须不同部门的管理、信息技术、操作人员参与，必要时

应获得信息安全专家的支持。风险评估的结果应被确认。

信息安全管理体系策划

在完成现状调查与风险评估工作之后，组织要根据已确立的信息安全方针的总体要求与信息安全管理

体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、

制定业务持续性计划。

ISO27000认证怎样应对信息安全管理的漏洞

ISO27000认证怎样应对信息安全管理的漏洞

企业信息化的普及和网络技术的快速发展，公司规模越来越大，管理系统也越来越复杂。企业信息安全管理成为企业经营过程中円益突出的问题，为了保证企业信息的安全，企业采取了大量的措施去维护，购买了大量的信息安全产品，可是并没有从本质上改变信息安全管理的漏洞。企业安全管理的漏洞主要表现在以下几个方面：

(1)信息安全系统散而孤立

有些企业尽管支出了大量的资金在购买安全信息产品上，可是这些防毒软件以及防火墙之类都是孤立的系统，没有统一的管理平台，因此无法实现信息安全管理的目标。由干各个安全产品许多都是单.独幵发的，难以从中了解具体情况。

假若企业网络出现攻击时，各个信息安全系统都发出报警声音，这样没有关联性，难以整理出有效的处理措施。

(2)无法有效落实安全管理

企 业员工对信息安全的认识不高，公司购买防病毒软体，有的员工会由于懒惰而并不去安装或者安装好了过了几天又自己在系统管理员不知情的情况下卸载掉了。有的 员工还会认为信息安全不属于自己的事情，属于专门的信息安全管理部门因此，难以使得企业全体员工都关注和认识到信息安全的重要性。

(3)缺少对安全工作的考核

大多数企业都缺乏1个可供企业各层管理者在安全管理和实施方面的平台，使得企业领导难以对企业安全的问题及时得到信息回馈，也难以验证管理部门安全管理和实施的状况。

(4)缺少对信息安全风险的意识

企业缺乏以信息安全为核心的风险管理模式，对企业关键的资产以及业务等都缺少相应的风险评机制和工具，使得无法及时找出企业存在的问题和威胁，也难以事先作出相应的控制措施。

(5)全面的审计手段缺乏

企业经常面临着未经授权或是不IH当的访问，缺乏一种高效且全面的审计手段。因此，难以对这些可疑的访问进行了解和监督，也就难以对企业的安全情况进行评估。

(6)缺乏集中的安全系统补丁下载和更新功能

随着网络病毒越发娼狂，系统提示安全补丁的下载更新、大量服务器以及顾客端的时常更新成为1个麻烦的问题。由于作为1个大中型企业，内部设备数量太多，尤其是顾客端数量.仅仅靠少数的管理员进行管理，难以承担如此大量的工作。