对于软件企业来说信息安全尤为重要，无论是企业的内部还是对外，信息安全管理也是衡量一个企业是否达到客户满意的基本条件，毕竟没有任何一家公司希望自己的信息处于不安全的状态中的。那么企业在进行ISO27001信息安全管理体系认证的时候需要注意哪些问题呢？？

首先在公司投入资金购买的设备在防病毒检测软件安装运行指挥，安全问题依旧存在，公司的安全规定没有执行到部门，部门内没有很好的执行！其次公司的安全规定比较空泛，没有明确的目标，日常员工在执行的时候无法落实到工作中。部分员工知道公司很多核心机密但是不了解机密相关方面公司怎么做，因为这方面的培训比较少员工也没有普遍的安全技能！

其次员工没有接触过ISO27001信息安全管理体系认证，不了解信息资产是什么，公司虽然把信息分级但是标准并未统一，没有做到统一级别的对内和对外分开！公司的纸质合同、标书研发文档、重大项目评审资料没有正式的保密标准，一些公司没有完善的流程以及审批！

第三新员工签订保密协议，以及违反的规定处理没有细化，同时没有细化到可以执行的文件。没有在遇到信息标准后细化的事件处理流程，只有根据突发事件进行的处理！职务说明说没有明确的岗位职责，不利于员工的自觉遵守！

上面上企业在信息安全处理过程中最常遇到也是较为重要的方面，从以上问题可以看出安全策略就是看组织如何安全条例，也是对企业目标理念和责任规范的概括安全策略应该随着时间持续改善，并且独立于特定的技术，同时运用正式的规章制度保证既定策略的执行。所以一个好的策略至少需要包括以下几点：

信息安全的明确定义;

安全策略明确实现的目标;

明确信息安全所包含的各个方面的一般性和特殊性责任;

详细的安全策略应包括合法性需求、安全培训需求，病毒防范和检测策略，业务持续性计划等;可疑安全事件的通报流程;

以上就是企业经常在ISO27001认证中经常遇到的问题以及解决办法，企业只有重视信息安全方面的作用才可以在竞争中立于不败之地。