24小时咨询热线

0731-83293508

我眼中的信息安全管理:ISO27001认证

2018-05-14 乐业智投顾问 4

  我眼中的信息安全管理:ISO27001认证

  感悟

  1.产品和技术,要通过管理的组织职能才能发挥最佳作用;

  2.技术不高但管理良好的系统远比技术高超但管理混乱的系统要安全;

  3.“三分技术,七分管理”是信息安全管理的精髓。

  18年的3月结束,总结、汇报和材料准备中,已然18年过去四分之一。借着这股东风,也认真回顾总结并反思了下半年的重要工作之一:ISO27001信息安全体系认证。

  首先说说,为什么要做这个认证

  前因确实不了解,因为我也是半路接手这项工作(之前的负责人被调走搞基建了),做下来之后,总结有三:

  1.获得认证,就能提高竞争力,更快更好的接项目、谈合作,甩掉对手(之前我们是被甩的,呜呜);

  2.用系统化的方法论指导内部IT建设,提升管理水平,改进团队绩效;

  3.更好的塑造企业品牌形象,营造良好的宣传和营销点。

  然后说说,我眼中的ISO27001认证

  从最初的懵懂到现在的初步熟悉,在我看来,ISO27001认证是立足安全,涉及从需求到开发到运行维护整个IT系统全生命周期的管理体系,关键点是管理,是因为这是一项高难度的工作,会变革和规范所有人的工作习惯和工作方法,如果没有管理层的大力支持和大刀阔斧改革的决心,项目最终可能就沦为“过审拿证”了。

 

长沙ISO认证

 

  有效方法

  1.重视管理,技术和产品是基础,管理是关键。

  2.建立良好的管理框架,确保好的安全策略可以在框架内重复实施并不断得到修正,就会拥有持续安全。

  接着说说,做完ISO27001认证的感受

  也不能说做完,只能说完成某个阶段了。毕竟在引入ISO27001之后,不是在评审,就是在准备评审的材料(让我哭会儿。。)。不过,ISO27001和等级保护很不一样,不会对某个审核点有特别具体的要求,不会明确说,你必须做到什么什么程度才行。制定的安全目标不一样,真正落实和投入程度就不一样,这样企业就有很大的发挥空间,可以结合自身的特点和运行情况,本地化ISO27001的各项内容。然而,做惯了选择题的我们,面对如此OPEN的要求,居然有无从下手的感觉。

  乐业智投顾问经常被问到:这一点能明确一下具体要求吗?能告诉我们下一步怎么做吗?说实话,这种问题,我有心无力,我也不知道标准答案是什么或者说,就没有标准答案,只要是合理的,能够解释得通,能够被组织认可的过程和解决方案,都是正确答案。这就是一个自我净化和循环的过程,也就是常说的PDCA(Plan-Do-Check-Act)过程,针对企业、部门和个人均是如此。

  举个栗子,比如标准里边说:需要进行备份,防止数据丢失。那么,用什么方式进行备份,是全库备份还是增量备份,什么频率的备份,备份文件怎么保存、保存多久等等这些,都是企业内部相关人员或部门要考虑沟通的问题,只要制定出切实可行的方案和策略,被组织接受和认可,按照策略去执行,确保所有过程文档化可控就行。所以说,哪怕27002有113项安全控制措施,也没有明确告诉我们,下一步怎么做。【计划—执行—检查—改进】,这样就好。

  最后,说说运维人员的心声

  好吧,这节可能和ISO27001没有太大的关系,但是在与专业审核员沟通的过程中,还是学到了很多。我所在的技术岗位,于公司而言不重要,因为没有创造直接的经济价值;于部门而言可有可无,因为不会影响领导的考核指标;于领导而言恨铁不成钢,因为没有看到这个人的存在和成长;于个人而言成长瓶颈明显,因为技术的钻研无法跟上源源不断的非技术类任务和需求。这可能是每个运维人员的烦恼和困扰,特别是没有KPI和岗位要求的运维人员。然而,职业素养和责任心还是驱动我们去做好每件事,因为做到位了,所以大家才会忘了我们(继续哭会儿。。),我们是不是该考虑,明年如何刷下存在感呢?!

  我眼中的ISO27001是这样,希望没有误入歧途,也没有偏离初衷。


标签:  长沙ISO22000认证 株洲IATF16949认证 衡阳ISO9000认证
湖南乐业智投管理咨询有限公司 版权所有 违者必究 闽ICP备17002241号-1 网营师