近日,常州检验检疫局召开27000信息安全管理体系发布会,常州局戴云徽副局长出席会议,各部门负责人参加了会议。
会议首先通报了前一阶段信息安全认证工作。综合处介绍了常州局目前信息安全认证工作的进度、现状及下一步工作和计划。
按照全局信息安全认证计划,自从7月12日至今,历经两个多月,目前已实施了“风险评估培训”、“风险评估指导方针及程序评审”、“资产识别汇总”、“风险汇总”、“体系文件编写及评审”。
经过资产识别、威胁库弱点库建立及风险评估,总共识别出常州局信息资产(包括硬件、软件、数据、人员、服务五大类)两千多条,其中重要资产一千两百多条;共识别出风险四千八百多个,其中高风险一千五百多个,中风险近三千个;形成程序文件20份,其中一级文件6份,二级文件14份,覆盖117条控制条款;计划10月份正式运行体系,11月上旬内审员培训及内部审核,12月份进行第三方审核。
戴云徽副局长肯定了局信息安全风险评估小组在信息资产识别、评估和拟制程序文件中付出的努力,并对全局各部门的信息安全工作提出了以下几点要求:
一、提高对信息安全的认识
全员职工应提高认识,守好底线,将27000这一科学的文件化管理体系与ISO9000体系相结合,并充分认识27000信息安全体系的作用:
1、强化信息安全意识,规范信息安全行为。
2、对常州局的信息资产进行有效管理和全面保护。
3、降低信息资产面临的风险和可能造成的损失,保障业务正常运行。
4、利用27000体系,提高全局整体管理水平。
二、安排专人负责,搞好体系运行,克服两层皮现象
按照27000体系的推进计划,将组织两次内审、管理评审和第三方审核
三、将27000体系与ISO9000体系整合,做好科研项目申报
通过此次“信息安全管理体系”的发布,相信常州局的信息安全管理水平将迈向新的台阶。(李长春)
李长春
