什么是ISO27001信息安全管理體系認證呢?要了解ISO27001信息安全管理體系認證的含義，我們需要了解信息安全的明確定義，安全策略明確實現的目標，明確信息安全所包含的各個方面的一般性和特殊性責任，詳細的安全策略應包括合法性需求、安全培訓需求，病毒防范和檢測策略，業(yè)務持續(xù)性計劃等;可疑安全事件的通報流程等，在企業(yè)實際從事ISO27001信息安全管理體系認證過程中，由于對ISO27001信息安全管理體系認證定義理解并不深刻，往往在操作過程中出現以下問題。

　　在推行ISO27001信息安全管理體系時，公司常常會碰到以下問題：

　　1、公司已經投入了資金，購買了產品，在公內部推行了防病毒軟件，但是越做越沒有安全感，安全問題依然存在。

　　2、已經制定了本部門的安全規(guī)定，但是公司內部沒有方向性規(guī)定，我們在部門也不好強行推行。

　　3、公司的安全規(guī)定太空泛，太多，沒有參考的原則，沒有明確的目標，員工日常行為無法落實。

　　4、部分員工接觸到公司的核心機密很多，但是不了解公司在這方面的具體要求，不知道該怎么做。

　　5、員工安全培訓少，只有特點的職位有培訓，員工沒有普遍的信息安全意識，安全技能嚴重不足。

　　6、大部分員工沒有接觸過ISO27001信息安全管理體系，對信息資產不甚了解，不知道何為信息資產。

　　7、公司曾經要求部分信息分級，雖然分為絕密、保密、公司內部公開、公司外部公開，但標準不夠統一，致使分出來的級別不統一。

　　8、公司紙面合同、標書、研發(fā)文檔、重大項目評審資料沒有正式的保密標準。公司系統人員沒有授權、審批流程

　　9、新員工需簽訂保密協議，公司有職位和角色的定義，有違反規(guī)定處理?？偟膩碚f，公司的安全制度不夠完善，沒有可以細化到可執(zhí)行的文件，沒有處理流程，只根據突發(fā)事件處理。

　　10、職務說明書沒有明確崗位的安全職責，崗位的安全級別簡單與行政級別掛鉤，不利于員工自覺遵守。

　　從以上問題我們可以看出，制定出完善的安全策略是做好ISO27001信息安全管理體系的關鍵，而安全策略就是領導一個組織如何安全運作的管理條例，它是對企業(yè)安全目標、理念、規(guī)范和責任的高度概括。安全策略應該隨著時間持續(xù)改善，并且獨立于特定的技術，同時運用正式的規(guī)章制度保證既定策略的執(zhí)行。

　　我們的項目咨詢輔導老師在前期輔導過程中，對于ISO27001信息安全管理體系認證的核心概念需要詳細解釋，幫助企業(yè)深刻理解其含義，在體系化運作過程中，員工才能夠很好的按標準化文件執(zhí)行。