有玩儿ISO27001信息安全管理体系的同学吗？ - 金融行业 - ITPUB论坛－专业的IT技术社区

我们有通过，基本上要先做资讯资产的盘点，然后标注影响等级，接著根据这些影响等级制定相对的规范及管理细节，最后是落实(文件记录等等...)。
当然一般而言的资讯安全作业（密码、文件的处理等等）就不在话下...
通过后每半年要复评一次...
seestyle 发表于 2012-6-27 14:42

我们有通过，基本上要先做资讯资产的盘点，然后标注影响等级，接著根据这些影响等级制定相对的规范及管理细 ...
我们的重点是 主要做资产评估和风险管理的
家住海淀 发表于 2012-6-27 22:00

我们的重点是 主要做资产评估和风险管理的
资产的评估和风险管理是ISO27001中一定要做的，而这些评估的结果和导出后续文件的颗粒度有关。
基本上，ISO27001是一个标准的流程，但要做到多细，那就要视行方的理念。
我们是订了很多很多的表单，很多很多的规范，然后不定期的检讨更新文件。
有的银行是一张表单吃全部，这也也可以。
此外，通过ISO27001后接著再倒入ISO20000那会比较容易，但还是一句话：行方的态度和认知会决定后续的效能。
seestyle 发表于 2012-6-28 08:52

资产的评估和风险管理是ISO27001中一定要做的，而这些评估的结果和导出后续文件的颗粒度有关。
基本上 ...
“行方的态度和认知会决定后续的效能”，又是这句话。对一家刚通过这个的单位进行审计的时候，感触挺多的。现在我认为：一个管理上的事情搞得怎么样，看领导的政绩、部门的业绩、个人的成绩是相互之间联系情况就可以知道了。
seestyle 发表于 2012-6-28 05:52

资产的评估和风险管理是ISO27001中一定要做的，而这些评估的结果和导出后续文件的颗粒度有关。
基本上 ...
赞同，说的没错