网络安全行业：ISO／IEC27001

要点一 安全文化形成

    毕马威认为，信息安全管理体系的核心是其持续改进的信息安全管理机制，以及如何通过在企业内部实施体系，形成全员的信息安全文化，因此在体系的建设过程中，应抓住企业当前信息安全管控的痛点，并将关注点着重于安全文化与安全机制的形成。

    要点二 安全治理开展

    企业内部往往常将信息安全工作定位为安全管理人员的工作或者IT 部门的职责，这导致在实际安全工作开展过程中，缺乏其它业务部门、运营支持部门的配合，安全工作无法顺畅开展。毕马威通过对当前信息安全职责分配落实情况人员的深入分析，识别当前组织层面存在的问题，结合客户实际信息安全管理需求，明确决策、管理、执行层面的相应部门、团队、及其所应承担的职责，理清各个条线在信息安全工作过程中的职责界限，使得信息安全管控工作得以高效开展。

    要点二 安全管理落地

    一个没有落地的安全体系仅仅是空中楼阁。基于以往丰富的信息安全管理体系设计及实施辅导经验，毕马威总结了一套切实有效机制来保证信息安全策略体系的落地。企业应通过建立全员参与的团队、明确的控制执行要求、定期的沟通和汇报机制辅以自动化的流程控制设计、多样化的宣传和动员、密切的跟踪机制来保证体系的切实落地，同时也保证了能够对整个管理体系的监控、审计和绩效考核。