ISO27001信息安全管理體系的建(jian)(jian)(jian)設(she)(she)需要(yao)(yao)并非一日(ri)之功,需要(yao)(yao)進行長期(qi)的有序建(jian)(jian)(jian)設(she)(she)和(he)完善。從國(guo)外的建(jian)(jian)(jian)設(she)(she)經(jing)驗(yan)看,一般要(yao)(yao)經(jing)過3-5年的逐步(bu)推進,且還需要(yao)(yao)長期(qi)維(wei)護和(he)調整。根據(ju)經(jing)驗(yan),信息安全體系的建(jian)(jian)(jian)設(she)(she)可按照(zhao)如下順(shun)序有序建(jian)(jian)(jian)設(she)(she):
(1)省公司某IT部門ISO27001信息(xi)安全管理體系建設
(2)其他部(bu)門(men)及下屬分公司(si)技術(shu)部(bu)門(men)ISO27001安全管(guan)理體系建(jian)設
(3)省公司某業務(wu)部門試點
(4)其(qi)他業(ye)務部門(men)及下屬分(fen)公(gong)司業(ye)務部門(men)ISO27001安全管(guan)理體系建設
(5)ISO27001信息安全管理體系整(zheng)體改進和(he)完善
成功的關鍵因素根據對行業現狀的理解,在信息安全管理體系咨詢方面的經驗,公司成功落實安全管理體系的關鍵因素為:
(1)強有力的(de)(de)管(guan)理(li)領導組織安全(quan)管(guan)理(li)體(ti)系的(de)(de)落(luo)實必然(ran)后(hou)會(hui)對現有的(de)(de)管(guan)理(li)職責、權力分布帶來變化(hua),必然(ran)會(hui)對公司的(de)(de)人員產生營銷(xiao),也(ye)會(hui)受到一些(xie)阻力和營銷(xiao)。必須高層領導的(de)(de)支持,強力的(de)(de)推進(jin)安全(quan)管(guan)理(li)體(ti)系的(de)(de)落(luo)實。
(2)有效的(de)(de)(de)激勵(li)措(cuo)施采取(qu)有效的(de)(de)(de)激勵(li)措(cuo)施,調動員(yuan)(yuan)工的(de)(de)(de)積極性、主動性,并(bing)與其工作績效掛鉤。當然,這(zhe)一些(xie)都離不開人的(de)(de)(de)參與。一支對(dui)ISO27001標準(zhun)有著透徹理(li)解、對(dui)相(xiang)關(guan)標準(zhun)能夠(gou)融(rong)會貫通(tong)和利用(yong)運用(yong)、對(dui)問(wen)題能夠(gou)深(shen)入洞察和分析、有著豐富(fu)的(de)(de)(de)管理(li)經(jing)驗的(de)(de)(de)人員(yuan)(yuan)隊伍對(dui)成功至(zhi)關(guan)重要(yao),這(zhe)離不開培訓(xun)和教育(yu)。