今天跟大家唠唠我搞的这个“20001”项目,一开始我也是一头雾水,啥是20001?后来才知道,,原来是信息安全管理体系标准。
领导说要搞这个认证,我心里咯噔一下,心想这又是个啥玩意儿?又要折腾但是没办法,领导安排的任务,硬着头皮也得上。
我先是上网搜资料,查各种文档,把20001标准仔仔细细的啃了一遍。标准写的挺晦涩难懂的,全是术语,看着就头大。
然后,我开始着手梳理公司现有的信息安全管理制度。这一梳理不要紧,问题一大堆。有些制度早就过时了,有些制度根本就没落实,还有些制度之间互相矛盾,看得我脑壳疼。
没办法,只能一点一点的改,一点一点的完善。我拉着各个部门的人开会,讨论怎么改进制度,怎么落实措施。大家都不太配合,觉得这玩意儿没啥用,浪费时间。
我就耐着性子跟他们解释,说这不光是为了认证,更是为了提高咱们公司的信息安全水平,防止数据泄露,保护客户隐私。慢慢的,大家也开始理解了,开始积极配合我的工作。
就是编写各种文档。这可是个体力活,要根据标准的要求,把公司的信息安全管理体系的所有方面都写清楚,写明白。我每天加班加点,熬夜写文档,眼睛都熬红了。
好不容易把文档写完了,还要组织内部审核。我请了几个懂行的朋友来帮忙,对文档进行审核,找出问题,提出改进意见。
审核过程中,我们发现了很多问题,有些地方写的不够详细,有些地方写的不够准确,还有些地方根本就没写到。
我赶紧组织人员对文档进行修改,补充,完善。经过几轮的修改,文档终于达到了可以提交的状态。
然后,就是找认证机构进行认证。我们找了一家比较权威的认证机构,让他们对我们的信息安全管理体系进行评估。
认证机构的专家对我们的体系进行了全面的评估,包括文档审核,现场考察,人员访谈等等。
评估过程中,专家也发现了一些问题,有些地方需要改进,有些地方需要加强。
我们根据专家提出的意见,对体系进行了整改。经过一段时间的努力,我们终于通过了认证。
拿到证书的那一刻,我心里别提有多高兴了。这几个月来的努力总算没有白费。
搞完这个20001项目,我感觉自己都升华了。不仅对信息安全管理体系有了更深入的了解,也提高了自己的组织协调能力,沟通能力,解决问题的能力。
所以说,搞项目虽然累,但是也能让人成长。以后有机会,我还想搞更多的项目,挑战自己,提升自己。
