ISO27001信息安全管理体系建立-翻译

作为乙方如何更好的为甲方建立信息安全体系

体系建立的重要几点
1、了解客户的需求；
2、根据需求制定信息安全方案；
3、领导层的支持；
4、全体员工的配合；
5、足够的乙方服务能力

了解客户需求

在项目立项前期，也就是售前阶段需要与客户进行沟通并了解客户为什么做信息安全体系建立，举例如ISO/IEC 27001信息安全管理体系，国内大部分公司主要的意图为以下几种：

1、相关方要求：公司的供应商会对“你”有ISO27001是否通过的需求，如果没有在合作方面会有阻碍；

2、投标：这个投标的话比较直接了当，有些公司为了自己的项目投标，然而他们标书的要求会有一票否决项，不过ISO27001不得参加；

3、“给自己的客户心里安慰”：什么意思？就是做有些公司是to-B的为了给自己的客户心里安慰单纯的为了拿证书；

4、公司自主要求：这一类客户是好客户，配合度高，能够实施落地，并且这种客户以外企为主。

总结一句话：国内企业先赚钱再管理，外企是先管理再赚钱，这就是不同类型企业针对信息安全管理建设的不同差异。

制定安全方案

安全方案就是根据客户的需求来制定，并且需要符合客户的实际情况，我们就拿实打实的做体系建设来说，我之前做过一个客户，某电商平台，国内数一数二的，并且他们有自己的信息安全团队，并且规模很大，通过了解他们日常的信息安全做的很好，并且也依据很多体系标准来制定公司内部的信息安全管理策略，像等保2.0、ISO27001、ISO27018、ISO27701、ISO20000等，他们的自主性很高，通过前期的沟通，他们的痛点是物理环境安全、人员权限和PII数据保护。

物理安全

他们物理安全的痛点有哪些：
1、办公区域无任何隔离，为了追求无约束的办公环境，一些重要的财务、法务、信息安全部门均未进行物理隔离，通过现场查看可以看到他们即使在处理敏感的数据也未进行任何安全防护；
2、由于是电商平台嘛，大部分都是比较年轻化的员工，并不喜欢佩戴员工卡，进出办公区域都是刷脸，并且门禁不是自动上锁的门禁，而且员工自己信息安全方面意识较为薄弱，即使外来人员尾随都没有人意识到，可以自由在办公区域走动；

人员权限

他们的人员权限比较混乱，主要有以下一个方面：
1、不属于该部门的人员拥有该部门所涉及系统的最高权限；
2、作为数据导出专员，可以导出大量的个人数据，并且是落到本地，而且也没有Backup人选；
3、所有人员拥有打印权限。

PII数据防护

作为电商平台接触最多的数据肯定是用户的PII数据，用户在该平台购买东西，他的个人数据姓名、电话、住址都会保存，并且这家企业虽然有相应的管控措施但是也有一些解决不了的问题：
1、客服人员能够接触PII数据并且即使在家办公也会接触，虽然电脑终端有加密软件但是不能够管控到拍照；
2、即使上了加密系统但是该系统有相应的缺陷，从某牛上下载数据不能够主动加密；

以上为他们企业的痛点，但是针对PII数据即使上DLP、加密系统等安全防护产品还是不能防范他们进行拍照，这一风险只有接受，（注：希望大佬给出意见）

最后：下次再聊吧，这个项目我独立完成并且已经完成该企业的ISO27001审核。本人喜欢沟通交流，谢谢。