企业在进行ISO27001信息安全管理体系资质申请时,在体系文件制定过程中,经常会出现没意识到或意料外的问题,这些问题主要体现在如下几方面:
1、目标无法考核
在管理手册或其他文件中,制定的安全目标或标准要求无法考核。如重大信息安全泄需不超过0起,但是整套体系文件缺少对重大信息安全泄露的定义,什么叫做重大信息安全泄露,2个员工的邮箱信息泄露是不是,高管的个人隐私信息泄蟊是不是,结果就导致该信息安全目标无法考核和衡量。还存在一种情况,如规定年度信息安全培训考核通过率为98%, 但是培训系统的考核故据只保留30天,年底统计数据的时候,发现只有12月份数据,导致该目标无法统计。
2、内容脱离业务现状
如在计算机控制程序中,规定晚上10: 00后,计算机必须全部关机,使用终端管理软件执行关机操作。但有些测试部门的设备晚上是不能关机的,必须每晚都以测试性能,该条规定就影响到测试部门的工作,进而影响业务,所以是不合理的。应调研业务部门的实际状况,并根据实际需求,进行分区域管控或分业务管控。
3、制度要求不被执行
制底文件发布后,明确了体系的管控要求,但是没有按照要求执行。如计算机控制程序规定要封票U口,但实际并没有,员工可以任意拷贝文件。要求3个月更换密码,实际也没有执行,员工的空码从来不修改等。
4、制度要求不明确
如信息安全事件控制程序中,规定信息安全事件需及时上报,这个内容就很模糊,1小时算不算及时、2小时呢、12小时呢?再比如业务连续性管控程序中规定业务持续中断4小时,必须上报总经理,这个内容也是不明确的,所有业务中断4小时都要上报吗?一些非核心系统,如机房进入登记系统,中断4小时也要上报给总经理吗?实际上机房进入登记系统中断4小时,不会对业务造成影响,我们只需要手工登记一下就可以了,没必要上报到总经理层面。