iso27001信息安全體系認證的難點

　　我們在iso27001認證在項目實施過程中，主要的難點包括：

　　a、 如何確定ISMS的范圍?

　　ISMS(信息安全管理體系)范圍的正確訂立是整個實施的基礎和成敗關鍵。它界定了涵蓋的業(yè)務流程、信息流和相關資產(chǎn)，因而也確定了ISO27001信息安全管理體系的邊界和目標，這對于實施周期、實施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。

　　僅就認證目的而言，企業(yè)可以選擇任何部門和系統(tǒng)，但顯然只有與業(yè)務目標一致的范圍定義才有助于體現(xiàn)安全管理對于核心業(yè)務的促進作用。

　　b、 如何進行風險評估?

　　風險評估被公認為ISMS實施過程最關鍵和難以操作的環(huán)節(jié)，因此，ISO27001認證標準的實施并不限定客戶使用什么風險評估方法。

　　(1)風險評估成功與否的關鍵首先不在于技術問題，而在于良好的客戶溝通和會議組織技巧，包括讓管理層和業(yè)務人員理解風險評估的重要性、方法，予以必要的配合、支持，并通過高效的會議組織，獲得較全面的和客觀的調(diào)查反饋信息。

　　(2)應避免風險評估僅限于IT部門和安全專家的參與。在一開始就應把業(yè)務骨干納入到風險評估小組，通過培訓讓所有成員理解風險評估的目的、組織流程和方法。

　　(3)風險評估應始終圍繞企業(yè)的目標和方針進行。

　　(4)成功的風險評估還要避免片面性、主觀性，避免與漏洞掃描或穿透測試混為一談。此外，完整的風險評估應涵蓋物理和邏輯兩方面的因素。
　　上海賽學也因此成為眾多信息安全管理部欽點的iso27001認證咨詢機構(gòu)和iso27001輔導機構(gòu)。賽學免費為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷，出具ISO27001認證方案。