大家可能觉的ISO27001标准跟经书一般,但是呢它确实是好东西,很重要,必须好好学习,对于标准的理解,也不是一蹴而就的,需要慢慢深入。还记得我有个师哥学习ISO9000四次,但是依然不敢说自己对于这个标准有着太深入的了解。因此我们要抱着一种谦虚谨慎的态度来认真的学习标准。
其实ISO27001核心要点是“面向风险”“基于措施”的ISMS的“PDCA过程”:
1、面向风险:是在特定的ISMS实施范围内实施风险评估的重要性 需要做到面向特定环境的面向风险的控制措施取舍结果就SOA无论是否以通过体系认证为目标,都需要对ISO27001附录A中的控制措施集合进行裁剪和补充 。
2、基于措施:其实说的就是控制措施的实施ISO27001附录A 给出了对控制措施分类的一个参考模型,我们姑且将其称为控制措施集合的结构模型,虽然大多数管理控制措施都是基于过程的 但是我们可以用这个静态结构模型,说明控制措施彼此之间的结构关系
3、 PDCA过程:这是一个基于过程的模型,对ISMS形成闭环的管理周期,认证审核对其中的所需管理步骤都很关注,所以PDCA的管理过程和管理记录的完整性很关键。
标准本身也有一定的局限性。标准的制订者只是从一个方面来考虑问题,而作为一个企业的管理者来说,他必须要权衡各方面的利益冲突。标准既然称之为标准,那么必然是非常成熟的。而成熟同时也意味着相对的滞后。标准只是提出一些方法论(诸如PDCA循环),不会涉及到具体的业务操作(各个组织都有不同)。正如标准提的“要求”,只告诉大家应该做到哪些(what to do),而没有告诉我们怎么做(how to do),但是应该看到这些方法论或理念,对于组织来说,要在深入领会标准理念、方法论的基础上,结合本行业、本企业的实际情况,对其进行传新和提升。 大家如果做过体系的话,那些标准都会要求形成一定的文件(如文件控制、记录控制、内部审核、纠正预防措施等等)。形成文件是有一定的好处的,如可重复性,可作为内部培训的教程等等。但是体系并不是文件的简单堆砌,文件是基础,更重要的是运行与实施。
看过ISO20071的应该都知道,安全策略是最顶层的,然后有制度规范,最后有实施指南和操作手册。 对如用户来说,通过宣贯标准,让他知道框架,可能的话帮助用户建立制度规范,而且应该有用户的配合,然后,用户自己的各个部门应结合标准和制度规范制定适合自己部门的实施指南和操作手册,还有就是一些流程文件。
|