[原创] 得标准者得天下_IT项目管理，软件开发版_国内最热门的项目管理经验交流论坛_国内PMP聚集社区

项目管理者联盟 | 中国工程管理网 | 中国研发管理网

会员中心

资料库

适合敏捷开发项目
敏捷项目管理最佳实践

重视项目商业分析
商业价值与需求分析能力

产品管理国际认证
全球产品管理最佳实践

单项目管理经典指南
年轻项目经理首选

北京 | 直播 | 录播

大型复杂项目全球标准
定位高级项目管理层

链接战略与项目
实现组织资源投资回报

信息系统项目管理师
系统集成项目管理工程师

计划 | 报名 | 经验

论坛
	价值源于交流与分享

会员区：

功能区：公告建议 | 帖子搜索 | 管理团队 | 荣誉版主 | 帮助手册

论
坛
导
航
区

项目型组织	项目管理	工程项目	科技项目	项目化管理	管理软件	资格认证	职业休闲
EPM体系与流程	综合集成管理	总承包管理	IT软件开发	项目型制造	P3E/P6	PMP \| PgMP	职业发展探讨
组织与人力资源	进度,范围,成本	国际工程	生物制药	专业服务	微软PROJECT	IPMP \| PRINCE2	管理学堂
项目管理信息化	团队建设与沟通	房地产	汽车设计开发	生活项目	PowerOn专版	软考项目管理	英语角\|读书版
多项目与大项目	质量与风险	监理与咨询	手机数码	文体娱乐		注册建造师	房车吃游
PMO建设与管理	采购与合同	工程设计				项目管理硕士	闲聊版\|商务版

俱乐部：北京 | 大连 | 福州 | 广州 | 杭州 | 南京 | 山东 | 上海 | 深圳 | 四川 | 天津 | 武汉 | 西安 | 郑州 | 申请成立

TOP榜：精华 | 最新 | 最热 | 会员

版面信息

说明：失败的IT项目比比皆是，进度延迟，预算超支，客户需求多变，成员加班抱怨...IT项目（软件开发.，信息系统实施等）寻求新生

	精华区		发表帖子
	投票区		发起投票
	资料区		上传资料

本版版主

camer
登录：2013/7/2
次数：867
注册：2003/3/3
发帖：2745

dorothy
登录：2016/12/15
次数：804
注册：2004/9/6
发帖：993

steveli2008
登录：2009/5/26
次数：464
注册：2003/5/12
发帖：1026

zhf_karen
登录：2015/6/2
次数：346
注册：2005/6/13
发帖：469

俱乐部导航

北京	大连	福州	广州	杭州
南京	山东	上海	深圳	四川
天津	武汉	西安	郑州

联盟·近期活动

社区热点

精彩专题

如何做好项目沟通计划

软件项目质量管理

国际工程索赔与反索赔

社区圈子

集团企业生态体.
圈主：ETPPM
行业：综合应用

HG信用盘0出租
圈主：de123
行业：综合应用

生态系统体系下.
圈主：ETPPM
行业：综合应用

西安IT项目管理
圈主：muzud
行业：IT软件

房地产项目管理
圈主：13935823
行业：房地产

联系社区管理员

[原创] 得标准者得天下 [发表于 2008/7/14]

状态开放帖 浏览量 449

复制该帖链接收藏本帖

[回复] [引用]

得标准者得天下
作者：亚远景科技 www.cmmcn.com
关键字：ISO27001标准，ISO27001的重要性。
某公司遇到这样的难题：
A．当公司的项目经理面对客户时，客户会问：“你如何保障我的信息在你们公司是安全的？你如何保证我公司的信息不会透露给第三方？”
B．当项目经理为此客户解决了所有问题，双方的合作仅差一步时，项目经理却遇到这样的问题：“下个月就需要交付了，本来工期就比较紧，该死的病毒将我上周的数据资料全删掉了，我该怎么办？”
C．经理很无奈地说：“又一个骨干员工离职了，多少公司的信息又会被传播出去呀。”
D．最后事情到了总经理那里，总经理却感到：“客户在抱怨；项目不能如期交付；对客户的承诺要食言，公司机密在外传；公司的经营要出现危机，怎么办？”
这是一个已经通过CMM认证公司的无奈。想必在很多企业中，这类问题也是屡见不鲜的，在面临这类问题时也是束手无策。俗话说“三分技术七分管理”，目前企业普遍采用现代化通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、缺乏完整的信息安全管理制度、相应的管理措施不到位。导致了许多信息安全事件的发生：系统瘫痪、黑客入侵、病毒感染、网页改写，甚至客户资料的流失，以及公司内部资料的泄漏等等。这些给企业的经营管理、生存及安全都带来了严重的影响。
一、ISO27001的引入
企业信息化给企业能够带来高效的工作，持久的竞争力，但同时也带来了更多的风险。为了化解这种风险可能造成的恶劣结果，信息安全的重要性得到了越来越多企业管理者们的认可。
早期时候，人们把信息安全的希望寄托在加密技术上面，认为一经加密，什么安全问题都可以解决。随着互联网络的发展，一段时期我们又常听到“防火墙决定一切”的论调。在防火墙的神话破灭之后，入侵检测，PKI，VPN和UTM等新的技术应用又被接二连三地提了出来，信息安全的技术创新从未停止。
然而，企业在采购大量安全设备，采用大量的安全技术之后，仍然不能走出信息安全问题的阴影。原因何在？
实际上，对安全技术和产品的选择运用，这只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。Gartner曾经在一份安全报告中指出：“各类令企业损失惨重的安全违规事件归根到底都是人所造成的，并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问题，但这是行不通的。”
归根到底，信息安全并不是技术过程，而是管理过程。
信息安全管理提供管理程序，技术和保证措施，是商业管理者确信商业交易的可信性，确保信息技术服务的可用性，能适当地抵抗不正当操作、蓄意攻击或者自然灾害，并从这些故障中恢复；确保拒绝没有经过授权地访问重要的机密信息。关于信息安全管理的标准和规范也没有安全技术那么众多，最有代表性的，就是ISO27001。
二、ISO27001 在企业中的重要性
上述公司认为企业达到了CMM标准就足以应付这些问题，可事实上CMM 无法使其摆脱这些问题所带来的困扰。在经过一段时间探试和研究后，该公司采用了ISO27001 标准。
ISO27001 标准是由英国标准协会（British Standards Institution, BSI ）针对信息安全管理方面而制定的，最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织发布为正式的国际标准，用于组织的信息安全管理体系的建立，保障组织的信息安全，采用相关指定方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。是目前世界上唯一的信息安全管理标准，已被全球五千多家政府机构和知名企业所采用。如今是否通过ISO27001 在某些行业中，已经成为一些客户的要求条件之一。目前除英国外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对ISO27001 标准感兴趣；我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。这套标准注重体系的完整性，强调对法律法规的符合性，并且可与ISO9000 标准有很强的兼容性。
该公司通过ISO27001体系建设和实施，建立了完备的信息安全管理体系，为公司各项安全相关活动提供了明确的目标和操作指南。同时，通过系统的方法建立起组织保障体系，具备了信息安全风险驾驭能力，保证了公司核心业务的可持续运行。通过把ISO27001 的要求引入业务流程，使现有的业务运作更加安全规范，全面提升了公司本身和客户信息资产的安全度，尤其是加强了对客户知识产权和商业秘密的保护，提高了对客户信息安全的保障水平。不仅如此，在公司通过ISO27001 标准认证过程中，强化了员工的信息安全意识，规范了组织信息安全行为，在信息系统受到侵袭时，仍然可以确保业务持续开展并将损失降到最低程度。
二、ISO27001 认证过程
据英标管理体系认证有限公司（BSI）相关人员介绍，信息安全对每个企业或组织来说都是需要的，从目前获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。通过一个独立的第三方的评审，公司的管理体系或产品可以成功通过某种标准的认证，为公司提供了一个向客户表明其体系或产品符合国家或国际标准的系认证和产品认证，其过程会有所不同。首先要得到标准并通读，可以了解到该标准的要求。从而，得知实施该标准对公司来说是不是有意义。之后是充分了解标准，通过各种媒介有相当多的已公布的信息可以用来帮助企业了解和实施一个标准。当然，采用一个特定的管理体系应该是公司的一个战略性的决定，除了指派一个专门的团队具体负责体系的开发与实施外，资深高层经理的参与往往是成功的关键。其次是人员培训。负责实施与维护管理体系的人员需要了解标准的全部细节，有一些专门的培训正好提供了这方面的帮助。
但是在很多时候，大部分企业限于自身经验、意识、技能的欠缺，往往在如何合理规划和有效实施方面陷入困境，毕竟信息安全建设是一项技术性很强而且尚处于探索阶段的全新课题，另一方面，ISO27001所要求建立的信息安全管理体系，较之纯粹的信息安全技术又更显得“务虚”和“高端”，是和组织的整体经营紧密相关的。面对这样全新而复杂的难题，传统行业内机构通常都会自叹摸不着头脑，大有“门外汉的感觉”。即便是始终走在信息通信领域前沿的高技术性企业，也不见得在信息安全管理方面有足够的积累。于是越来越多的组织选择求助于专业的咨询机构。独立的咨询机构可帮助设计一个可行、实际、成本合理的执行计划。
当公司对于标准的准备工作做好后，可以进行实施，以检测系统的有效性。沟通与培训是成功实施的关键。在实施阶段，公司各部门按已经建立的程序文件运作以展示系统的有效性。确保实施无误后可进入预评审阶段。可以考虑邀请一家认证机构来对公司的管理体系进行一下预评审，目的是在接受正式认证评审之前，公司了解哪些与标准不符的方面，并采取相应的改正措施，得到一个不符合项，表示公司管理体系的某个方面与标准不符。最后，选择一家权威的认证机构，来公司进行认证。目前，能够进行ISO27001 标准体系认证的机构主要有挪威船级社（DNV）和英标管理体系认证（北京）有限公司（BSI）。这些认证机构都会举行相关的培训，让更多的企业了解ISO27001 标准。此外企业在认证过程中也可通过对相关咨询公司的咨询来辅助企业通过标准的认证。

如需交流，可发邮件至 Wangj@cmmcn.com 联系。

声明：本文版权归亚远景科技所有，转载请注明作者及出处。
（www.cmmcn.com）

>>> 由论坛统一发布的广告：

楼主

yayuanjingke

职务无
军衔一等兵
来自上海
发帖 37篇
注册 2007/9/19
PM币 288
经验 127点

！您尚未登录，不能回复主题。现在登录注册

建设运营：共创时网络