颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    ISO27001申请体系文件的制定需要解决哪些问题?

    来源: 网络
    日期: 2021-12-31
    浏览次数: 850


    企业在进行ISO27001信息安全管理体系资质申请时,在体系文件制定过程中,经常会出现没意识到或意料外的问题,这些问题主要体现在如下几方面:


    1、目标无法考核

    在管理手册或其他文件中,制定的安全目标或标准要求无法考核。如重大信息安全泄需不超过0起,但是整套体系文件缺少对重大信息安全泄露的定义,什么叫做重大信息安全泄露,2个员工的邮箱信息泄露是不是,高管的个人隐私信息泄蟊是不是,结果就导致该信息安全目标无法考核和衡量。还存在一种情况,如规定年度信息安全培训考核通过率为98%, 但是培训系统的考核故据只保留30天,年底统计数据的时候,发现只有12月份数据,导致该目标无法统计。


    2、内容脱离业务现状

    如在计算机控制程序中,规定晚上10: 00后,计算机必须全部关机,使用终端管理软件执行关机操作。但有些测试部门的设备晚上是不能关机的,必须每晚都以测试性能,该条规定就影响到测试部门的工作,进而影响业务,所以是不合理的。应调研业务部门的实际状况,并根据实际需求,进行分区域管控或分业务管控。


    3、制度要求不被执行

    制底文件发布后,明确了体系的管控要求,但是没有按照要求执行。如计算机控制程序规定要封票U口,但实际并没有,员工可以任意拷贝文件。要求3个月更换密码,实际也没有执行,员工的空码从来不修改等。


    4、制度要求不明确

    如信息安全事件控制程序中,规定信息安全事件需及时上报,这个内容就很模糊,1小时算不算及时、2小时呢、12小时呢?再比如业务连续性管控程序中规定业务持续中断4小时,必须上报总经理,这个内容也是不明确的,所有业务中断4小时都要上报吗?一些非核心系统,如机房进入登记系统,中断4小时也要上报给总经理吗?实际上机房进入登记系统中断4小时,不会对业务造成影响,我们只需要手工登记一下就可以了,没必要上报到总经理层面。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开