什么是ISO27001信息安全管理體系認(rèn)證呢?要了解ISO27001信息安全管理體系認(rèn)證的含義，我們需要了解信息安全的明確定義，安全策略明確實(shí)現(xiàn)的目標(biāo)，明確信息安全所包含的各個(gè)方面的一般性和特殊性責(zé)任，詳細(xì)的安全策略應(yīng)包括合法性需求、安全培訓(xùn)需求，病毒防范和檢測(cè)策略，業(yè)務(wù)持續(xù)性計(jì)劃等;可疑安全事件的通報(bào)流程等，在企業(yè)實(shí)際從事ISO27001信息安全管理體系認(rèn)證過程中，由于對(duì)ISO27001信息安全管理體系認(rèn)證定義理解并不深刻，往往在操作過程中出現(xiàn)以下問題。

　　在推行ISO27001信息安全管理體系時(shí)，公司常常會(huì)碰到以下問題：

　　1、公司已經(jīng)投入了資金，購(gòu)買了產(chǎn)品，在公內(nèi)部推行了防病毒軟件，但是越做越?jīng)]有安全感，安全問題依然存在。

　　2、已經(jīng)制定了本部門的安全規(guī)定，但是公司內(nèi)部沒有方向性規(guī)定，我們?cè)诓块T也不好強(qiáng)行推行。

　　3、公司的安全規(guī)定太空泛，太多，沒有參考的原則，沒有明確的目標(biāo)，員工日常行為無法落實(shí)。

　　4、部分員工接觸到公司的核心機(jī)密很多，但是不了解公司在這方面的具體要求，不知道該怎么做。

　　5、員工安全培訓(xùn)少，只有特點(diǎn)的職位有培訓(xùn)，員工沒有普遍的信息安全意識(shí)，安全技能嚴(yán)重不足。

　　6、大部分員工沒有接觸過ISO27001信息安全管理體系，對(duì)信息資產(chǎn)不甚了解，不知道何為信息資產(chǎn)。

　　7、公司曾經(jīng)要求部分信息分級(jí)，雖然分為絕密、保密、公司內(nèi)部公開、公司外部公開，但標(biāo)準(zhǔn)不夠統(tǒng)一，致使分出來的級(jí)別不統(tǒng)一。

　　8、公司紙面合同、標(biāo)書、研發(fā)文檔、重大項(xiàng)目評(píng)審資料沒有正式的保密標(biāo)準(zhǔn)。公司系統(tǒng)人員沒有授權(quán)、審批流程

　　9、新員工需簽訂保密協(xié)議，公司有職位和角色的定義，有違反規(guī)定處理。總的來說，公司的安全制度不夠完善，沒有可以細(xì)化到可執(zhí)行的文件，沒有處理流程，只根據(jù)突發(fā)事件處理。

　　10、職務(wù)說明書沒有明確崗位的安全職責(zé)，崗位的安全級(jí)別簡(jiǎn)單與行政級(jí)別掛鉤，不利于員工自覺遵守。

　　從以上問題我們可以看出，制定出完善的安全策略是做好ISO27001信息安全管理體系的關(guān)鍵，而安全策略就是領(lǐng)導(dǎo)一個(gè)組織如何安全運(yùn)作的管理?xiàng)l例，它是對(duì)企業(yè)安全目標(biāo)、理念、規(guī)范和責(zé)任的高度概括。安全策略應(yīng)該隨著時(shí)間持續(xù)改善，并且獨(dú)立于特定的技術(shù)，同時(shí)運(yùn)用正式的規(guī)章制度保證既定策略的執(zhí)行。

　　我們的項(xiàng)目咨詢輔導(dǎo)老師在前期輔導(dǎo)過程中，對(duì)于ISO27001信息安全管理體系認(rèn)證的核心概念需要詳細(xì)解釋，幫助企業(yè)深刻理解其含義，在體系化運(yùn)作過程中，員工才能夠很好的按標(biāo)準(zhǔn)化文件執(zhí)行。