当你负责公司的信息安全管理工作时，体系在实施运行过程中，碰到了意想不到的难题。有些部门抱怨说，体系中的一些制度措施严重妨碍他们的工作；有些部门嘲笑说，体系中的一些制度措施根本是南辕北辙；有些部门反对说，体系中的一些制度措施没法执行，否则业务就别做了。在体系执行上，各部门普遍表现被动，推一下动一下。

总感觉在信息安全管理体系上有说不清的原由，“信息安全管理体系为什么难落实？”。
想要建立信息安全管理体系的客户规避这种困境，帮助已有信息安全体系的客户走出这种困境，使信息安全管理体系真正有效运作起来，为业务的发展起到保驾护航的作用。通过深入研究，我找到了一些信息安全管理体系难落实的原因和应对的解决方法。信息安全管理体系难落实，其他部门没有很好执行只是其中的一个小原因，最大的原因在于信息安全管理体系本身。有些问题是在体系建立阶段就埋下的，有些问题是在体系推行阶段考虑不周造成的，有些问题是在体系运作阶段保障机制不当引起的。下面按照体系建立、体系推行、体系运作三个阶段，分别对这些问题进行分析并给出相应的解决方案。

体系建立阶段
在体系建立阶段，问题往往体现在需求挖掘不深入不全面，没有充分地了解现状和分析企业的信息安全需求。
具体表现如下：
1. 对企业的状况只做基本了解，没有充分挖掘企业的信息安全现状和对信息安全的内在需求。
2. 由一个专门的小组撰写制度要求，没有让利益相关部门参与进来，他们的要求和意见没有得到充分表达和体现。
3. 没有为信息安全管理体系的制度要求设计适当的措施进行支撑。
应对上述问题的药方如下：
1. 对企业的信息安全现状和信息安全需求进行全面深入地挖掘。要真正用好差距分析和风险评估的方法，而不是走过场。
2. 制度的制定和措施的选择，要充分考虑业务的需求和企业文化的特点。对于每项制度和措施，采用虚拟小组的形式，让相关部门都参与进来，共同探讨和确定。
3. 所有的制度要求，优先考虑技术手段和流程来支撑，让员工在工作中不知不觉地就做好了信息安全工作。

体系推行阶段
在体系推行阶段，问题的焦点在于没有组织支撑、对信息安全管理体系的培训宣传不到位和采取大跃进式的推行方式。
具体表现如下：
1. 依靠个人或者不适宜的组织推行信息安全管理体系，推广的效力不足。
2. 信息安全管理体系的内容没有得到充分的宣传和培训，领导和员工知之甚少。
3. 将信息安全管理体系的全部制度要求一下子推广到所有部门，对现有的工作造成较大冲击。
应对上述问题的药方如下：
1. 建立与体系推行范围相适应的信息安全组织，确保组织的效力是足够的。
2. 按部门、岗位和管理层级，大力开展有针对性的信息安全管理体系的宣传和培训，确保所有人员熟知与其相关的要求。
3. 采用制度分步推行（把制度按优先级进行分类，重要的先推行）、部门试点、边试边改、循序渐进的方式推行信息安全管理体系。

体系运作阶段
在体系运作阶段，问题往往表现在被动执行信息安全管理体系，缺乏持续改进的机制。
具体表现如下：
1. 信息安全管理组织定期对体系的执行情况进行审核并提出改进要求，但是各部门落实改进要求时阳奉阴违，导致体系审核的效果大打折扣。各部门基本上处在推一下动一下的状态，更严重的推了还不一定会动。
2. 实施信息安全管理体系搞运动，缺乏持续改进的机制；制度要求没有得到有效更新，日益偏离企业的信息安全需求，成为可有可无的摆设，严重的甚至成为绊脚石。
应对上述问题的药方如下：
1.        建立以自审为常规活动，以内审为督促改进，以外审为强化提升的三级审核体系。通过三级审核体系，将改变信息安全管理体系的执行从被动变为主动，从单体活动变为全体活动。
1.1自审：由每个部门或每个岗位自己操作，按照体系的要求，定期开展自查自纠活动，并将自查自纠情况上报给体系内审部门。通过自审，每个部门和岗位都会主动检视自己的执行情况和改进不足之处。
1.2内审：由体系内审部门操作（一般是信息安全管理组织中的某个职能），按照体系的要求，对每个部门或每个岗位进行审核，提出改进要求并跟踪改进执行情况。
1.3外审：由外部专业机构操作（财务审计、信息安全管理体系审计、专业的信息安全机构、监管机构等），按照特定的标准和信息安全准则对企业的信息安全状况进行审核，并提出改进建议或要求。
2. 通过定期开展风险评估、内审和管理评审活动，建立信息安全管理体系持续改进的机制，保障 体系得到有效执行，并保证体系根据安全需求的变化及时进行更新。

写的好啊~

实际工作当中，各部门的自审是很难做到的，如果有独立的风险控制部门，企业的内审活动可由风控部进行，内审发现的问题，必须引起各部门甚至公司管理层高度重视，定期检查整改结果，与绩效挂钩。
外部审计很重要，特别是行业的监管机构的检查结果会对企业有一定的威慑作用。因此，内审效果不佳的情况下，可充分利用外审的力量推行体系的落地，会有意想不到的结果。

不错不错，顶一下

有领会，赞