前事不忘、后事之師。在已經(jīng)開展ISO27001信息安全體系建設(shè)的公司中發(fā)生的問題，已經(jīng)直接影響了安全管控效果，造成ISO27001信息安全管理體系僅僅停留在文件上，未能有效地改變企業(yè)內(nèi)部的管理模式、行為方式、思想意識(shí)，未能解決實(shí)際存在的問題。
導(dǎo)致這些問題的原因很多，從ISO27001體系的計(jì)劃、建立和導(dǎo)入、實(shí)施和運(yùn)作、監(jiān)控和評(píng)審、維護(hù)和改進(jìn)等體系管理階段的角度看，主要包括：
未能采用科學(xué)的方法進(jìn)行ISO27001體系構(gòu)建對(duì)自身風(fēng)險(xiǎn)識(shí)別、分析不足，沒有規(guī)范的風(fēng)險(xiǎn)評(píng)估流程，不能覆蓋安全管理的所有方面，不能采取針對(duì)性的管控措施，明確自己存在的不足和努力方向。
脫離實(shí)際，套用ISO27001標(biāo)準(zhǔn)對(duì)標(biāo)準(zhǔn)進(jìn)行生搬硬套，沒有針對(duì)企業(yè)的現(xiàn)狀進(jìn)行詳細(xì)的“望聞問切”，基于個(gè)體現(xiàn)狀，參考案例，結(jié)合經(jīng)驗(yàn)進(jìn)行定制開發(fā)，造成安全管理體系與公司現(xiàn)有的管理方法、制度和流程沖突、脫節(jié)，不能適應(yīng)公司的人員和組織現(xiàn)狀、文化氛圍。
人員思想不統(tǒng)一，積極性不高安全管理需要領(lǐng)導(dǎo)支持、全員參與，不是系統(tǒng)管理、維護(hù)人員的幾個(gè)人的事情，人員思想不統(tǒng)一就不能集中力量，達(dá)成目標(biāo)。尤其是在安全管理體系建設(shè)剛起步時(shí)，面臨著大量人員兼職的情況，不會(huì)主動(dòng)、積極的參與安全管理工作，尤其是在缺乏有效激勵(lì)措施的情況下。
缺乏強(qiáng)制性的技術(shù)配置措施有些安全管控措施的落實(shí)，單憑制度約束是很難得，尤其是在制度與其人員自身利益沖突，且其違反制度的成本極低，或其不當(dāng)行為不易被發(fā)現(xiàn)的情況下。缺乏有效的、強(qiáng)制性的防護(hù)、監(jiān)控、審計(jì)措施，就不能保證體系的切實(shí)落地和執(zhí)行。
對(duì)問題的解決，也需要從這三個(gè)方面進(jìn)行入手和解決。


如何依法保護(hù)知識(shí)產(chǎn)權(quán)？
好聽的服裝商標(biāo)起名有哪些？
專利侵權(quán)訴訟的五個(gè)關(guān)鍵問題和相關(guān)原則
申報(bào)中國315誠信企業(yè)要多少費(fèi)用
如何申報(bào)ISO9001質(zhì)量管理體系認(rèn)證要多少錢
iso26262認(rèn)證流程包括哪些步驟
企業(yè)參加招投標(biāo)的一般都需要提供的資質(zhì)證書
建設(shè)網(wǎng)絡(luò)安全-ISO27001信息安全體系有效保證企業(yè)可靠性