近日，常州檢驗檢疫局召開27000信息安全管理體系發布會，常州局戴云徽副局長出席會議，各部門負責人參加了會議。

    會議首先通報了前一階段信息安全認證工作。綜合處介紹了常州局目前信息安全認證工作的進度、現狀及下一步工作和計劃。

    按照全局信息安全認證計劃，自從7月12日至今，歷經兩個多月，目前已實施了“風險評估培訓”、“風險評估指導方針及程序評審”、“資產識別匯總”、“風險匯總”、“體系文件編寫及評審”。

    經過資產識別、威脅庫弱點庫建立及風險評估，總共識別出常州局信息資產（包括硬件、軟件、數據、人員、服務五大類）兩千多條，其中重要資產一千兩百多條；共識別出風險四千八百多個，其中高風險一千五百多個，中風險近三千個；形成程序文件20份，其中一級文件6份，二級文件14份，覆蓋117條控制條款；計劃10月份正式運行體系，11月上旬內審員培訓及內部審核，12月份進行第三方審核。

    戴云徽副局長肯定了局信息安全風險評估小組在信息資產識別、評估和擬制程序文件中付出的努力，并對全局各部門的信息安全工作提出了以下幾點要求：

    一、提高對信息安全的認識

    全員職工應提高認識，守好底線，將27000這一科學的文件化管理體系與ISO9000體系相結合，并充分認識27000信息安全體系的作用：

    1、強化信息安全意識，規范信息安全行為。

    2、對常州局的信息資產進行有效管理和全面保護。

    3、降低信息資產面臨的風險和可能造成的損失，保障業務正常運行。

    4、利用27000體系，提高全局整體管理水平。

    二、安排專人負責，搞好體系運行，克服兩層皮現象

    按照27000體系的推進計劃，將組織兩次內審、管理評審和第三方審核

    三、將27000體系與ISO9000體系整合，做好科研項目申報

    通過此次“信息安全管理體系”的發布，相信常州局的信息安全管理水平將邁向新的臺階。（李長春）