<form id="f2xpf"><legend id="f2xpf"><noscript id="f2xpf"></noscript></legend></form>
  • <form id="f2xpf"></form>
  • <wbr id="f2xpf"></wbr>
  • 尊敬的客戶,歡迎您訪問贊永企業官方網站,服務咨詢電話:400-821-3166 認證咨詢服務中心 管理咨詢服務中心 軍工資質服務中心 實驗室咨詢服務中心 產品檢測認證中心
    18101851357

    此頁面上的內容需要較新版本的 Adobe Flash Player。

    獲取 Adobe Flash Player

    您當前位置:贊永企管 > 新聞中心 >「ISO27001」從無到有通過ISO27001認證—建設篇

    「ISO27001」從無到有通過ISO27001認證—建設篇

    時間:2019-03-29 11:09:49 作者:贊永企管

      安全是一個不斷的持續的過程,每個環節都不可缺少,在安全的路上懂的越多發現自己不懂的越多。
      1概述
      我在某做WL的公司負責公司整體安全,保護公司業務系統的安全(這個系統會有大部分看官的個人信息)。公司業務發展很快,但是信息化基礎建設很落后,管理不規范,人員技術水平參差不齊,對網絡和安全沒有認識。領導對安全概念模糊,無法落實;因為是新來的,領導對提出的解決方案有選擇的進行,但是有個好的地方就是公司發展太快,出現過不少安全問題,給我們安全部帶來了外部推動力(雖然不想出事,但是出事了可以加快安全建設的腳步)。

    「ISO27001」從無到有通過ISO27001認證—建設篇

      一年的時間從什么都沒到現在的逐漸成型、各種安全流程的建立和落地,建了ISO27001安全體系(通過了認證),此篇文章進行了一個總結,期間也碰到了的很多坑和挫折,自己也在這個過程中學習了成長了,這里再次感謝幫助過我的朋友們,感謝安全部另外一位X大牛。
      2對ISO27001理解
      通過一年的時間對從0到拿證的過程,簡單說一下我對ISO27001的理解:不管是ISO27001還是安全我覺得都是圍繞著業務進行的,一切的出發點都是保證業務的連續的、穩定的運行,要保證業務的連續的、穩定的運行,你需要知道你有什么資產,資產面臨什么風險,這些風險要怎么處理,這樣一個過程中還要循序PDCA的原則(plan-do-check-action)。做每一個制度和每一個要求的時候從業務角度出發去思考,這樣做才可以最大化的保證所寫的制度規范能執行,為后面落地提供依據。憑空或單純從安全的角度看問題,很容易把問題想的很嚴重,給出的解決方案往往短時間無法執行,后面會簡闡述一下當時的想法。
      脫離業務談安全和脫離安全談業務都是不現實的。
      3為什么要做
      我個人理解做這個事情的2大因素:
      3.1外因
      一個公司發展到一定程度和規模的時候,公司自身的安全已經不是自己的問題了,你會涉及到社會層面、合作層面、業務發展層面。如:我們公司的發起做ISO27001的需求其實就不是來自安全部,是業務部門在推廣業務的過程中遇到了阻力,因為客戶的系統過了ISO27001他們會要求你與他對接的系統有一定的安全性,這個要求就表現為ISO27001。
      我們就業找工作很多時候是看能力,但是有時候證書就像一個門票,沒有門票就無法上車,ISO27001就是一個公司的證書。
      還有重要因素《網絡安全法》出臺了,國家對安全的要求肯定是先從政府自身開始,然后慢慢到要求企業,與其等出事不如從現在開始做。
      3.2內因
      每一個公司通過幾年或更長時間的成長,公司會積累很多信息化系統,保障這些系統的正常運行就很重要,并且在對信息化管理過程中出現的很多職責不明確,邊界不清,流程和制度不全,所有的操作規范和行為都靠約定俗成,沒有體系化文檔支撐,這些都影響系統穩定運行。
      4控制項簡單說明
      ISO27001相信做安全的同學都有接觸,百度有很詳細的說明,我簡單說一下自己的理解,大牛勿噴。ISO27001是一套安全管理類的文檔,為了保證信息化工作和生產正常穩定的運行,一切都是圍繞業務展開的,很多安全管理思路從公司的核心業務出發去考慮很多制度和規范都可以合理的解釋。說個題外話很多做技術的和做管理的都是相互不對路,相互看不起,說句實在很多時候純粹靠技術或純粹靠管理去達到某個防護目標是不可能實現的,技術的實現可以方便和簡化管理,管理制度的要求可以推動技術的落地,2者是相輔相成。
      ISO27001從原來的15項標準要求變為了現在的18項,新增了2項、通信和操作管理拆除為2項。
      5體系運行
      5.1體系發布
      安全的工作如果由上致下會很順利很容易推動,但是,體系的發布一定需要領導層去幫你發布執行,讓全公司知道有這樣一件事情,然后給領導要講解(洗腦)這個東西是做什么的,可以為公司帶來什么好處,讓領導認同或部分認同你的觀點,這樣對后面的體系建設會很有幫助。
      5.2體系分解
      按照正常套路來說ISO27001要做的東西很多,我把安全體系分割為了3大塊:管理、技術、和運行(前面也有提到)。管理:主要是制度、規范約束;技術:主要是實現目標;運行:主要是讓前面的2點不要成為空談,要有定期檢查產出。
      本來在按照公司的現狀我制定的安全是分三步走的:起步-成長-成熟,成熟后運行2-3年再通過ISO27001的審核,在我個人看來毫無壓力。但是由于要拿證時間只有1年,所有的東西都需要重新做沒法按照套路來。
      如果大家的時間較多,建議做一次全面的風險評估,針對風險一個一個完善文檔。
      5.3體系執行
      執行主要是看檢查在上述文檔中的產出,如:發布了《安全運維管理制度》,那么根據要求,可能需要對機房進行周期性巡檢產出《機房巡檢記錄表》,進出機房需要產出《機房進出記錄表》。
      按照個套路檢查一個制度文件的產出,因此我們做了一個表,便于后面的審計:
      可以把一些事情簡單化,什么什么都用文檔很繁瑣,如:
      基于django自主開發的資產管理系統,如果出現什么漏洞可以快速定位。
      上面只是日常的執行要求,ISO27001還會有一個每年的內審和評審,內審:檢查日常工作是否按照要求做好;評審:審核制度體系是否需要跟上公司的業務變化,做錯對應的調整。

    「ISO27001」從無到有通過ISO27001認證—建設篇

      5.4體系培訓
      體系制度已經發布后,執行是有阻力的,因為打破了原有的約定俗成,增加了各個部門的工作量,這個需要非常耐心的去解釋解答(這個過程很多人會找碴),需要培訓去使大家有一定認識,從而配合你做事情。當然最重要的是從領導層面推動,那樣阻力就少很多,我們在這個過程中也沒少發生申請事件,被刪文件夾、中勒索病毒、數據庫被暴力破解還有來自合作伙伴的漏洞通報。
      培訓可以從以下幾塊做:
      ?新員工培訓
      ?平時公司內部培訓、討論、講座
      ?真實案例延時(滲透測試、當場干公司的系統,順便展示實力,不過這個度自己要把握好)
      多拋頭露面準沒壞處。
      7總結
      簡單介紹了ISO27001的建設,一個體系文件寫下來,深深的覺得這個東西就是套路,環環相扣,都是相互引用的。在剛開始的時候壓力、阻力會很大,但是做好了后面是一勞永逸,讓制度執行幾個月后做內審和評審,發現問題并解決,做完這些就基本可以申請外審了。
      最后如果大家有想法要做的話可以先看一次標準,理解一下,再結合實際情況進行編寫,因為在制度文檔里面寫到的就需要實現,外審的時候就要查的,盡量實事求是。



    「涉密資質認證」涉密資質認證

    ICP備案:滬ICP備050540265號 版權所有 贊永企業 Copyright ? 2005-2016

    www.sexcars.cn Corporation,All Rights Reserved. txt地圖 XML地圖

    熱 線:4008213166 、021-64698535 、0851-83809690

    上海地址:(上海贊永)上海市徐匯區漕溪路125弄15號5樓

    貴州地址:(貴州贊永)貴州省貴陽市小河黃河路碧園花城4棟18樓

    跑狗图新版老版论坛 台南县| 东平县| 闽清县| 天祝| 新余市| 兰州市| 隆林| 江达县| 南安市| 通河县| 峨眉山市| 台湾省| 五峰| 平凉市| 沈丘县| 运城市| 安化县| 武宣县| 三亚市| 乃东县| 城固县| 柯坪县| 清水河县| 河津市| 庆元县| 扶沟县| 广丰县| 隆尧县| 育儿| 天全县| 蚌埠市| 遂溪县| 万荣县| 华容县| 本溪市| 高唐县| 富宁县| 盐城市| 隆安县| 益阳市| 海城市| http://ba6lu1.cn http://game.hj6z7u.top http://so.ea33ee.top http://www.able18p.top http://wap.sinak8l.pw http://china.lsj34m.pw