ISO27001认证到底有什么必要呢?从技术和管理上看,技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程,是实现信启安全目标的必由之路。
在现实的信息安全管理决策当中,必须关注以下几点:
1、应该制定信息安全方针和多层次的安全策略,以便为各项信息安全管理活动提供指引|和支持;
2、应该通过风险评估来充分发掘组织真实的信息安全需求;
3、应该遵循预防为主的理念;
4、应该加强人员安全意识和教育;
5、管理层应该足够重视并提供切实有效的支持;
6、应该持有动态管理、持续改进的思想;
7、应该以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及 成本投入之间的平衡。
因此,保护信息资产,解决信息安全问题,已经成为组织必须考虑的问题。重视信息安全的组织,必然在业务的开展上有更多的保障。