ISO27001在日企外包行业实践总结.pdfVIP

ISO27001 在日企外包行业的实践探讨 ISO27001 在日企外包行业的实践探讨 本文编者：北京谷安天下科技有限公司 网 址： 地 址：北京市海淀区中关村南大街2 号数码大厦A 座806 电 话：010（北京） 021（上海） 0755（深圳） 0991-6999166 （新疆） 手 机 1 ISO27001 在日企外包行业的实践探讨 ISO27001 在日企外包行业的实践探讨 作者：陈岌 谷安天下咨询经理 《ISO27001:2005 信息安全管理体系规范》国际标准发布之后，ISO27001 成为炙手可热 的企业信息安全管理体系建设蓝本，各行各业，特别是外包行业，开始广泛参照该标准并结 合企业的实际情况，对信息安全活动进行全面的管理，期望提升安全管理水平。但是现实与 理想总是存在差距，尽管可以用ISO27001 指导各行各业的安全管理活动，但是并不是包治 百病的良药，比如制度难以落实，控制失效等等。是洋标准水土不服还是“病人”身子板太 差？作为信息安全咨询顾问，本人有幸主导实施了多个软件外包公司的ISMS 建设项目并跟 踪了ISMS 在企业的推进情况，颇有感受，在此与大家探讨。 1. ISMS 如何结合企业环境 企业按照ISO27001 建立组织的信息安全管理体系时，要么聘请外部咨询顾问，要么让 企业内部有体系建设经验的专业人士实施，当项目完成之后，企业的安全管理框架基本建立， 但是在体系运行过程当中还存在种种问题，主要表现如下： 1) 安全制度难以落实执行； 2) 推行过程困难重重，很多活动流于形式； ISMS 运行成果的好坏，诚然，由两个方面所决定，一方面是ISMS 搭建者的能力，另一 方面是企业的内部环境。从PDCA 的思路来看的话，归根到底还是取决于企业的内部环境。 人们常说要量体裁衣，建设有效的ISMS 必须考虑企业的实际情况。那么建设ISMS 时，需要 考虑企业环境的哪些因素呢？ 1) 企业组织架构，包括决策，权利分配，责任分工 曾经碰到这么一个客户，他们的ISMS 建设由质量管理部门来主导实施，但是质量 管理部门由开发本部直接领导。试想一下，下级部门督促监督上级部门做某项“费力” 的工作，在这么一个环境中推行安全改进其困难何其大。 2) 全体员工的安全意识水平 员工的信息安全意识简单说是能够对可能发生的安全事件保持一定的警惕心；发散 开来可以理解为以下几个层次：就是能够认知可能存在的安全问题，明白安全事故对组 织的危害，恪守正确的行为方式，并且清楚在安全事故发生时应采取的措施； 3) 企业文化 2 ISO27001 在日企外包行业的实践探讨 企业环境的因素中非常重要的是企业文化，企业文化主导了员工行为方式和企业对 外形象，或规范、或随意等等。在华日企外包企业应该说传承了日本企业基本的文化特 点，体现在： 1) 看重企业诚信，诚信可以成为企业成败的关键 在日本，企业如果发生信息泄露等信息安全事件，按规定是要主动向有关政府部门 报告的，如果隐瞒不报一旦被发现将会严重影响公司信用，后果是十分严重的。不二家 这个创立于1910 年的西点食品连锁企业，就是因为隐瞒使用过期原料进行生产的事实 被曝光而发生严重的信用危机，砸了自己的百年老字号，现在超市已经看不到不二家的 产品了。 2) 企业非常重视信息安全 从ISMS International User Group 对全球通过ISO27001 认证的企业数目上可以