江苏企业：ISO/IEC 27001:2022 信息安全管理体系认证

什么是 ISO/IEC 27001:2022？

ISO27001认证是一种guojibiaozhun，用于评估组织信息安全管理系统（ISMS）的完整性和有效性。该认证证明组织已经采取了一系列措施来确保信息安全，并且能够持续改进其信息安全管理体系。ISO27001认证可以帮助组织保护其重要信息资产，遵守法律法规和合同义务，提高客户信任度，并为组织带来商业竞争优势。

ISO/IEC27001:2022对于保护企业的信息资产、维护业务运营和满足合规要求具有重要意义。为想要系统地了解其缺陷并识别信息安全风险的组织提供了全面的指导和支持，通过信息资产风险评估实施过程，企业能够建立一个更加强大和适应性强的信息安全管理体系，以向客户、监管机构和其他利益相关者证明组织信息的可用性、完整性和保密性。

 ISO/IEC 27001:2022 认证流程

ISO 27001是信息安全管理体系标准，适用于任何类型、规模的组织。认证流程的步骤：1.制定计划：组织确定计划，包括确定ISO 27001的范围、目标、时间表和资源2.实施ISMS：组织开始实施信息安全管理体系（ISMS），并确保符合ISO 27001标准的要求。3.进行内审：组织进行内部审核，以评估ISMS的有效性和符合性。4. 进行管理评审：组织进行管理评审，以确保ISMS符合ISO27001标准的要求，并进行必要的纠正和预防措施。5. 进行认证审核：组织选择认证机构进行认证审核，以确定ISMS是否符合ISO27001标准的要求。6. 进行认证：当ISMS符合ISO 27001标准的要求时，组织获得ISO27001认证，并可以使用认证标志。

申请认证的条件

1、 具备独立的法人资格或经独立的法人授权的组织；2、 按照ISO/IEC27001标准的要求建立文件化的信息安全管理体系；3、已经按照文件化的体系运行三个月以上，并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。

Q

企业信息资产与安全管理中易忽视的问题点及具体场景如下：

问题1: 风险评估流程缺乏系统性

问题点

1、信息资产识别不全

2、C I A赋值不准确

3、信息资产识别的责任分配单一

4、内部风险评估逻辑不合理

5、风险处置措施缺乏针对性

6、评估时间节点不明确

典型案例

C I A赋值不准确（缺乏对三性的平衡关注）:例如一家生产工厂，自动化生产设备要求比较高，不能停产、精度要高，但只重点关注了保密性，在完整性、可用性方面关注度不够

信息资产识别分配责任单一：某中型企业开展信息资产识别时，采用传统方法由一个部门主导来识别全公司的信息资产，导致其余部门对公司的信息资产不了解，容易出现随着业务发展和技术的更新，单一部门主导对资产更新和维护的不及时，影响信息安全管理的持续性和有效性，缺乏跨部门的视角导致风险评估不全面，影响风险管理策略的制定

评估时间节点不准确：某中型企业在实施信息安全管理体系时，未明确区分信息资产风险评估处置时间和信息资产风险评估计划处置时间，没有为每个阶段设定明确的时间框架，导致资源分配不均，一些重要的风险评估被忽视，而已制定的风险措施又因为缺乏系统的评估显得仓促和不充分

问题2: 多场所审核的规范性问题

问题点

1、内部审核和管理评审未涉及全场所

2、认证范围-总部或职能中心的产品范围与子公司产品范围未明确区分

典型案例

认证范围的描述不准确：部分企业在开展多场所认证时，没有将所有场所的名称、地址和认证范围清晰的描述出来，易出现总范围和各点范围的混淆

问题3 ：控制项缺乏系统性管理

问题点

1、信息安全策略和信息安全方针混淆

2、信息安全策略定期评审未保留相关证据

3、威胁情报预防机制缺乏

4、信息分级、标记、传输不到位

5、云服务信息安全忽视

6、身份管理与隐私权限问题

7、设备网络隔离及密钥安全

8、设备时钟不同步

9、设备终端敏感信息的管理

……

典型案例

敏感信息问题：某中型企业没有设置屏幕保护自动打开的功能，当员工离开工作岗位时，因没有第一时间锁屏，导致桌面的某些敏感信息或文件泄露

生产工厂内部的公共桌面、员工办公桌上随意摆放秘密的文件，没有妥善保护导致重要信息泄露的事件发生

云服务信息安全问题：企业容易忽视云服务信息安全问题，经常遗漏的云服务软件包括企业微信、云服务的邮箱、Teams、Onedrive、office365、腾讯会议等

时钟不同步：企业很多CCTV的时钟、门禁的时钟、制造车间的信息化系统时钟，因为没有连接网络，导致溯源某个特定事件时，难以准确确定事件发生的时间，增加调查的难度和复杂性