公司在推行ISO27001信息安全管理體系時(shí)，常常會(huì)碰到以下問(wèn)題：
1、公司已經(jīng)投入了資金，購(gòu)買(mǎi)了產(chǎn)品，在公內(nèi)部推行了防病毒軟件，但是越做越?jīng)]有安全感，安全問(wèn)題依然存在。
2、已經(jīng)制定了本部門(mén)的安全規(guī)定，但是公司內(nèi)部沒(méi)有方向性規(guī)定，我們?cè)诓块T(mén)也不好強(qiáng)行推行。
3、公司的安全規(guī)定太空泛，太多，沒(méi)有參考的原則，沒(méi)有明確的目標(biāo)，員工日常行為無(wú)法落實(shí)。
4、部分員工接觸到公司的核心機(jī)密很多，但是不了解公司在這方面的具體要求，不知道該怎么做。
5、員工安全培訓(xùn)少，只有特點(diǎn)的職位有培訓(xùn)，員工沒(méi)有普遍的信息安全意識(shí)，安全技能?chē)?yán)重不足。
6、大部分員工沒(méi)有接觸過(guò)ISO27001信息安全管理體系，對(duì)信息資產(chǎn)不甚了解，不知道何為信息資產(chǎn)。
7、公司曾經(jīng)要求部分信息分級(jí)，雖然分為絕密、保密、公司內(nèi)部公開(kāi)、公司外部公開(kāi)，但標(biāo)準(zhǔn)不夠統(tǒng)一，致使分出來(lái)的級(jí)別不統(tǒng)一。
8、公司紙面合同、標(biāo)書(shū)、研發(fā)文檔、重大項(xiàng)目評(píng)審資料沒(méi)有正式的保密標(biāo)準(zhǔn)。公司系統(tǒng)人員沒(méi)有授權(quán)、審批流程
9、新員工需簽訂保密協(xié)議，公司有職位和角色的定義，有違反規(guī)定處理。總的來(lái)說(shuō)，公司的安全制度不夠完善，沒(méi)有可以細(xì)化到可執(zhí)行的文件，沒(méi)有處理流程，只根據(jù)突發(fā)事件處理。
職務(wù)說(shuō)明書(shū)沒(méi)有明確崗位的安全職責(zé)，崗位的安全級(jí)別簡(jiǎn)單與行政級(jí)別掛鉤，不利于員工自覺(jué)遵守。
從以上問(wèn)題我們可以看出，制定出完善的安全策略是做好ISO27001信息安全管理體系的關(guān)鍵，而安全策略就是領(lǐng)導(dǎo)一個(gè)組織如何安全運(yùn)作的管理?xiàng)l例，它是對(duì)企業(yè)安全目標(biāo)、理念、規(guī)范和責(zé)任的高度概括。安全策略應(yīng)該隨著時(shí)間持續(xù)改善，并且獨(dú)立于特定的技術(shù)，同時(shí)運(yùn)用正式的規(guī)章制度保證既定策略的執(zhí)行。所以，一個(gè)好的安全策略至少包括以下幾點(diǎn)：
信息安全的明確定義;
安全策略明確實(shí)現(xiàn)的目標(biāo);
明確信息安全所包含的各個(gè)方面的一般性和特殊性責(zé)任;
詳細(xì)的安全策略應(yīng)包括合法性需求、安全培訓(xùn)需求，病毒防范和檢測(cè)策略，業(yè)務(wù)持續(xù)性計(jì)劃等;可疑安全事件的通報(bào)流程;


5項(xiàng)政策匯總 | 創(chuàng)小、專精特新、專精特新“小巨人”、科小、高企分析對(duì)比
在韓國(guó)注冊(cè)申請(qǐng)商標(biāo)需知道什么呢？
ISO9001審核中20個(gè)方面常見(jiàn)問(wèn)題
雙軟認(rèn)證證書(shū)是什么
IECQ-HSPM QC080000認(rèn)證適用的產(chǎn)品范圍和條件
什么情況需辦理商標(biāo)轉(zhuǎn)讓而不是商標(biāo)變更？
企業(yè)申請(qǐng)ISO26000認(rèn)證的好處是什么?
如何注冊(cè)澳大利亞商標(biāo)？