体系咨询

首页 / ISO27001ISO27001

浅谈企业认证ISO27001的误区

添加时间:2017-05-03    

      企业通过ISO27001认证予以相应的补贴是政府鼓励企业通过企业获得国际认证,这是提升国内服务外包企业碧逍蜗蟮挠辛ν揪叮?彩瞧笠祷竦酶?嗟耐獍?滴竦挠辛μ跫??弧5??SO27001信息安全管理体系(ISMS)认证当前在某些企业成了名副其实的面子工程对于标准认证这点,可能是很多从事国际国内认证标准的专业人士心头的痛,ISO9001质量体系认证在国内的情况就是一个例子。对国际标准认证认识的误区无疑将影响认证产业的健康发展,同时也让企业对国际标准的作用产生的怀疑甚至轻视。造成这种局面,体制、文化等方面因素在此我就不多做分析,这本身比较复杂,也不是本文的出发点,我想还是从管理体系标准自身的特点来看,目前当前国际上大部分的管理体系标准都源自于英国标准,而这些管理体系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法,PDCA模型本质是改进模型而不是状态模型,认证公司给企业颁发ISO27001认证证书的最低标准是该企业是否已经建立了PDCA的改进体制以及相配套的制度和流程,而不是这家企业的信息安全防范水平已经达到?掣龅燃丁U獠煌?诟???谟栌判阊??坪攀且愿醚??轮翘宕锏侥掣鲆?螅??皇歉醚??啾茸约旱墓?ビ薪?骄托辛恕?/span>

  PDCA循环又名戴明环,威廉.爱德华.戴明上个世纪五十年代提出的,主要为解决问题的过程提供一个简便易行的方法。1950年,戴明到日本担任产业界的讲师及顾问,其间大力推广企业在持续改善的过程中运用PDCA循环,这个方法重塑了日本产业制度,塑造了风靡世界的日本企业管理模式。

  对于认证的这个误区,我们把眼光投到我们的邻国日本就明白我们真的错了。PDCA方法在日本的成功,我们完全有理由相信,PDCA是企业服务质量持续改善的良好方法。

  3. 对“信息安全”管理体系认识不足

  信息安全管理体系(ISMS)遵循流程的方法,这与其他管理体系,比如在国内广泛实施的质量管理体系是一致的,都是按照PDCA的大的流程来运转和维护管理体系。而对于外包e司来说,由于企业没有复杂的IT应用系统和庞大的复杂网络设施,另外一个也是从成本考虑到角度,一般情况下企业的IT人员的配备不足,技术力量有限。特别是对于软件外包公司来说,为了软件开发的需要,在建立信息e全管理体系(ISMS)之前很多软件企业通过CMMI的认证来提升企业软件开发的能力,以获得发包企业对其开发能力的认可,因此,这些公司都由质量管理部按照CMMI的要求监控和审核软件开发质量,人力资源相对比较充足,e此,企业从整合管理体系节约成本的角度出发,信息安全管理体系(ISMS)也是由质量管理部推动、管理与维护。这本来也无可厚非,每个企业都有自身的e理水平,人员技能等或这或那的问题,外包企业也是如此。殊不知,信息安全管理体系(ISMS)其管理的对象是企业的信息安全风险,而信息安全风险有其专业特性,应该由企业内部IT条线的专业人员负责识别、评价和采取对应的控制措施。质量管理部尽管在体系维护方面经验比较多,但是缺乏的就是对信息系统,网络设备的技术特性的了解。

  正确对待这个问题的办法应该是在综合考虑外包公司现有情况下,质量管理部履行信息安全管理体系(ISMS)的管理工作,制定和颁布信息安全策略,而IT 部门执行信息安全策略,IT部门识别和评价信息安全风险,并提出对应控制措施以及解决方案,质量管理负责审核方案。

  大力发展服务外包产业,加速我国产品结构升级,完成从“世界工厂”到“世界服务”的华丽转变,这是我国产业发展的大局,而对于国内的服务外包公司来说,如何更好适应这个大势,使企业具有更强竞争力,必要途径之一是在信息安全管理方面,服务外包企业要切实正确认识信息安全,切实提升企业的信息安全管理水平。

上海公司:上海市徐汇区龙吴路1500号上海交通大学科技园A栋7层   联系电话:021-51860908   手机:18621296575
北京公司:北京市朝阳区北四环中路6号华亭国际嘉园F座5A              联系电话:010-59461639   手机:13810406181

友情链接: 上海楠贝企业管理咨询中心  |  

2017 © 上海楠贝企业管理咨询中心 版权所有 全国咨询服务热线:18621296575   沪ICP备17012129号