开局先废话

安全是一个永无止境的追求，它涉及众多环节，每一环都不可或缺。在探索安全的道路上，我们每前进一步，都会发现更多未知的领域和挑战。随着知识的积累，我们逐渐认识到自身的局限和不足，这也激励着我们不断深入学习，拓宽视野。因此，安全不仅是一项任务，更是一种持续的努力和不断的自我超越。只有保持谦逊和敬畏之心，不断学习和进步，我们才能在安全的道路上走得更远，为自身和他人的安全提供更坚实的保障。

这是个很多年以前的项目了，现在和大家分享一下心得，这里做的ISO27001是旧版的，但是思路和过程有共同性，可以参考借鉴，如有好的想法可以一同探讨。

1.背景介绍

致力于提升公司的整体安全水平，确保包含广大用户个人信息的业务系统得到严密保护。面对公司快速发展与信息化基础建设滞后的矛盾，以及管理不规范、人员技术水平差异大、网络和安全意识薄弱等挑战，我深感责任重大。

尽管公司领导层对安全概念的理解尚待深化，但他们对于已发生的安全事件保持了高度重视，这为我们安全部门推动必要的安全改革提供了外部动力。在此背景下，我们逐步建立起了一套完整的安全流程，并成功实施了ISO27001安全管理体系，最终通过了相关认证。

2.我对ISO27001理解

ISO27001与安全的核心都是紧密围绕业务进行的。确保业务的连续性和稳定性是我们所有工作的出发点和落脚点。

为了实现这一目标，我们首先需要全面了解公司的资产情况，包括各类数据、系统、设备等。紧接着，我们要识别这些资产可能面临的风险，如数据泄露、系统瘫痪等。针对这些风险，我们必须制定相应的处理措施，以降低或消除它们对业务的影响。

在此过程中，遵循PDCA（Plan-Do-Check-Action）原则至关重要。这意味着我们在制定每一项制度和要求时，都要从业务的角度出发，确保其具有可操作性和可执行性。只有这样，我们才能确保所写的制度规范能够得到有效执行，为后续的安全落地提供坚实依据。

同时，我也认识到脱离业务谈安全和脱离安全谈业务都是不切实际的。安全和业务是相互依存、相互促进的。只有将二者紧密结合，才能实现公司的长远发展和持续安全。

3.为什么需要ISO27001

• 外因

随着公司的不断发展和壮大，其安全问题已经不再仅仅是公司内部的事务，而是逐渐扩展到社会、合作和业务发展等多个层面。以我们公司为例，推动ISO27001认证的初衷并非来自安全部门，而是业务部门在市场推广过程中遇到的客户需求。客户系统通过ISO27001认证后，他们要求与之对接的系统也具备一定的安全性，这一要求最终转化为我们公司对ISO27001的追求。

在就业市场，虽然个人能力至关重要，但证书往往成为求职的“敲门砖”。对于公司而言，ISO27001证书就是一张展示其安全管理水平的“名片”。拥有这张证书，不仅有助于提升公司的形象和信誉，还能在业务合作中为客户带来更多的信心。

此外，《网络安全法》的出台进一步凸显了国家对网络安全的重视。政府率先垂范，企业也必将紧随其后。面对这一趋势，与其等待安全事故发生后再采取补救措施，不如从现在开始积极投入安全建设，以ISO27001为标准，全面提升公司的安全防护能力。这样不仅能保障业务的连续性和稳定性，还能为公司赢得更多的市场机会和合作伙伴。

• 内因

每个公司在其成长历程中，随着时间的推移，会逐渐积累并建立起众多的信息化系统。这些系统的正常运行对于公司的日常运营和业务发展来说至关重要。然而，在信息化管理的过程中，很多公司都会遇到一些挑战，如职责不明确、边界模糊、流程和制度不完备等问题。

在这种情况下，公司的操作规范和行为往往依赖于员工之间的默契和约定俗成，缺乏体系化的文档支撑。这种情况可能会导致系统的不稳定运行，增加出错的风险，并影响公司的业务效率和客户满意度。

为了确保这些信息化系统的稳定运行，公司需要明确各部门的职责和边界，建立完善的流程和制度，以及编写体系化的文档来支撑日常的操作和行为。只有这样，公司才能确保信息化系统的稳定性、可靠性和安全性，从而为公司的长期发展奠定坚实的基础。

4.怎么做

4.1先理解

首先ISO27001框架从上到下一共有4个层级

手册：

公司依据其业务需求和战略规划，制定了全面的安全方针及相应目标。这一方针旨在确保公司运营过程中的信息安全、网络安全和数据安全，为公司的稳健发展提供坚实保障。同时，公司设定的安全目标旨在不断提升安全防护能力，有效应对各类安全风险和挑战，确保公司业务持续、稳定、安全运行。

程序文件：

这里的核心目的确实更多地体现在对人的行为的规范和约束上。这是因为，无论技术多么先进，人始终是安全体系中最关键、也最不可预测的因素。通过制定明确的规章制度，我们可以引导员工采取正确的行为，避免因为人为错误或疏忽而导致的安全问题。

这些安全制度包括但不限于：访问控制策略，以确保只有经过授权的人员才能访问敏感数据和系统；数据保护政策，规定了员工在处理、存储和传输数据时应遵循的标准；以及安全培训和教育计划，旨在提高员工的安全意识和技能。

然而，我们也认识到，单纯的约束和惩罚并不是解决所有问题的最佳方式。因此，我们的安全制度还强调激励和引导，鼓励员工自觉遵守安全规定，积极参与安全文化的建设。同时，我们也注重制度的灵活性和适应性，以便随着公司业务的发展和安全环境的变化，能够及时调整和完善这些制度。